El phishing es una técnica utilizada por los ciberdelincuentes que consiste en engañar a las personas haciéndose pasar por una empresa o servicio de confianza. El objetivo final es obtener dinero, conseguir nuestros datos y contraseñas personales o instalar malware. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico.
¿Qué es el phishing?
El phishing consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información privada, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico. Nueve de cada diez ciberataques comienzan por un phishing, por lo que en Coremain consideramos fundamental reconocer este tipo de mensajes, que no solo llegan a través del correo electrónico sino a través de SMS, llamadas telefónicas o incluso códigos QR.
¿Cómo reconocerlo?
-El contenido es sospechoso.
-Utiliza fórmulas genéricas en lugar de dirigirse a una persona concreta.
-El mensaje contiene faltas de ortografía o errores gramaticales.
-El texto contiene símbolos extraños.
-Exige hacer una gestión de forma urgente.
-El enlace es sospechoso.
-Desconfía si se solicita la realización de un pago o de grandes ofertas y chollos.
-Pide información personal como datos bancarios o contraseñas.
¿Cuándo surgió?
Los primeros casos de ataques de phishing tal y como los conocemos hoy en día tuvieron lugar a mediados de los años 90 y fueron dirigidos a America Online (AOL). Los ciberdelincuentes usaron el correo electrónico o la mensajería instantánea para lograr las contraseñas de los usuarios para tomar el control de sus cuentas y lanzar envíos masivos de spam.
¿Cómo actuar si detectas un phishing?
-No facilites la información ni contestes a los mensajes.
-En caso de duda, contactar directamente con la empresa por la que se hace pasar el mensaje.
-No acceder a los enlaces facilitados ni descargar ningún documento adjunto que podría tratarse de malware.
-Eliminar el mensaje y alertar a tus contactos para que no caigan tampoco en la trampa.
¿Qué hacer si has caído en la trampa?
-En los casos de phishing bancario, contacta con tu oficina para informarles de lo sucedido.
-Modificar las claves o contraseñas de acceso del servicio implicado.
-Recopilar toda la información que sea posible: capturas de conversaciones, correos, documentación enviada, testimonios…
-Denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado.
Auge del phishing
En los últimos años se ha incrementado de forma notable el phishing por el aumento de las transacciones vía online. El cierre de entidades bancarias y, por tanto el uso de la banca electrónica por parte de usuarios que no están acostumbrados a manejarse en el entorno digital, el exponencial aumento de las compras online tras la pandemia o el hecho de que la sociedad que nos rodea es cada vez más digital convierten a este medio en un lugar idóneo para los ciberdelincuentes.
En el mundo:
- En 2021 se incrementó en un 29% y hubo 873,9 millones de estafas (informe de ZscalerTM).
- El 91% de todos los ciberataques comienzan con un phishing (informe de Deloitte).
- El phishing es el ciberataque más denunciado según el informe del Centro de Denuncias de Delitos en Internet (IC3) del FBI.
En España:
-Las estafas informáticas suponen ya el 13,4% del total de los delitos cometidos en el último año, según datos de la Policía Nacional en el Informe sobre la Cibercriminalidad en España.
-Entre junio de 2021 y junio de 2022 se registraron 236.451 delitos de estafas informáticas.
-Se han incrementado en un 68,5 por ciento desde 2019.
Tipos de phishing
Phishing por correo electrónico o masivo
El ataque se produce a través del envío de un email genérico en el que se suplanta la identidad de grandes organizaciones como Amazon, Correos o PayPal.
Spear phishing o phishing selectivo
Es un phishing más elaborado en el que los ciberdelincuentes han investigado previamente a la víctima y usan información personal para hacer el mensaje más creíble.
Whaling phishing
Conocido como CEO fraud, el mensaje simula proceder de un alto cargo de una compañía y se dirige a su vez a un ejecutivo de una empresa para solicitar información confidencial o transferencias de dinero.
Smishing
Uno de los más frecuentes en 2022 es el smishing, un mensaje de texto vía SMS en el que los ciberdelincuentes se hacen pasar por entidades bancarias, servicios de mensajería o grandes operadores comerciales. Como los demás, contienen un enlace o un número para hacer una llamada telefónica.
Vishing
Es la variante del phishing que utiliza la llamada telefónica suplantando la identidad de una organización para obtener datos e información personal de la víctima.
Phishing basado en malware
El ataque se produce a través de un correo electrónico que es directamente malware, sin que la víctima tenga que abrir ningún enlace o archivo, como sí ocurre en el caso del phishing por email.
QRising
El proceso se realiza a través de un código QR modificado para instalar malware.
Phishing en un motor de búsqueda
También conocido como envenenamiento SEO o troyanos SEO, consiste en conseguir convertir una búsqueda web en la principal mediante los motores de búsqueda para redirigir a las víctimas al sitio web fraudulento del hacker.