¿Qué es el phishing?
Técnica utilizada para
que los atacantes pueden vender o utilizar indebidamente con fines nefastos, como la extorsión, el robo monetario o la suplantación de identidad.¿Alguna vez has recibido un correo electrónico, un mensaje de texto u otra forma de comunicación electrónica aparentemente procedente de un banco u otro servicio en línea popular, que te pedía que "confirmaras" las credenciales de tu cuenta, un número de tarjeta de crédito u otra información confidencial? Si es así, ya sabes cómo es un ataque de phishing común.
Origen del término
Este concepto fue descrito por primera vez en una conferencia en 1987 de Jerry Felix y Chris Hauck llamada "Seguridad del sistema: La perspectiva de un hacker" (1987 Pleitos Interex 1:6). Argumentaba la técnica de un atacante que imitaba una entidad o servicio con una buena reputación. La palabra en sí es un homófono de "pescar" víctimas, puesto que usa la misma técnica de "cebo-presa". La "ph-" del principio es una referencia a “phreaks”, un grupo de hackers de los sistemas de telecomunicaciones que exploraba ilegalmente sus límites en los 90.
¿Cómo funciona el phishing?
El phishing lleva en funcionamiento muchos años y en todo este tiempo los atacantes han desarrollado un amplio conjunto de métodos para atacar a las víctimas.
La técnica más común de phishing es hacerse pasar por un banco o entidad financiera por correo electrónico para tentar a la víctima a completar un formulario falso en el mensaje o adjunto a él o visitar una página web solicitando la entrada de los detalles de la cuenta o las credenciales de inicio de sesión.
Leer más
La información robada de las víctimas se usa de forma ilegítima para vaciar cuentas bancarias o se vende por Internet.
También se pueden realizar ataques similares mediante llamadas telefónicas (vishing) así como mediante mensajes SMS (smishing).
Spearphishing
Se trata de un método de phishing más avanzado donde mensajes que parecen auténticos llegan a las bandejas de entrada de determinados grupos, empresas o incluso individuos. Los autores de correos de spearphishing realizan antes una investigación detallada de sus posibles víctimas, dificultando que se identifique el contenido como fraudulento.
Los ataques dirigidos a determinados altos cargos de empresas, tales como directivos o CEOs se clasifican como whaling, debido al tamaño de la posible recompensa (los chicos malos persiguiendo al "pez gordo").
¿Cómo reconocer el phishing?
En el pasado, a menudo se utilizaban para este fin nombres de dominio mal escritos o engañosos. Hoy en día, los atacantes incorporan métodos más sofisticados, haciendo que los enlaces y las páginas falsas se parezcan mucho a sus homólogos legítimos.
Un correo electrónico o mensaje puede contener logos oficiales u otros signos de empresas con buena reputación y aun así proceder de ciberdelincuentes. A continuación te ofrecemos algunos consejos que pueden ayudarte a detectar un mensaje de phishing.
Señales sospechosas
- Saludos genéricos o informales: Si a un mensaje le falta personalización (por ej. "Estimado cliente") y formalidad, entonces probablemente hay algo equivocado. Lo mismo es aplicable cuando se usan números de referencia falsos y aleatorios
- Solicitud de información personal: Lo suelen usar frecuentemente los creadores de phishing, y lo evitan los bancos, las instituciones financieras y muchos otros servicios online
- Gramática pobre: Faltas de ortografía, tipografía y una redacción incorrecta a menudo indican que se trata de un correo falso (pero la ausencia de éstas no es ninguna prueba de legitimidad)
- Correspondencia inesperada: Es muy inusual que un banco o proveedor de servicios por Internet contacte con nosotros y por tanto es muy sospechoso
- Sensación de urgencia: Los mensajes de phishing a menudo intentan inducir a una acción rápida o tomada con menos consideración
- ¿Una oferta que no puede rechazar? - Si el mensaje parece demasiado bueno para ser verdad, casi seguro que lo es
- Dominio sospechoso: ¿Crees que un banco español te enviaría un correo electrónico desde un domino chino?
Cómo protegerse contra el phishing
Para evitar ser víctima de phishing, ten en cuenta los indicadores anteriores según los cuales los mensajes de phishing suelen delatarse a sí mismos. Sigue estos sencillos pasos:
Mantente alerta a las nuevas técnicas de phishing
Sigue las noticias de los medios de comunicación sobre ataques de phishing, ya que los atacantes pueden idear nuevas técnicas para hacer caer a los usuarios en una trampa.
No facilites tus datos personales
Permanece siempre alerta si un mensaje electrónico de una entidad aparentemente fiable te pide tus credenciales u otros datos confidenciales.
Antes de hacer clic, piénsatelo dos veces
Si un mensaje sospechoso incluye un enlace o un archivo adjunto, no hagas clic ni lo descargues. Podría llevarte a un sitio web malicioso o infectar tu dispositivo con malware.
Comprueba regularmente tus cuentas online
Incluso si no sospechas que alguien está intentando robar tus credenciales, comprueba tus cuentas bancarias y otras cuentas en línea en busca de actividad sospechosa. Por si acaso.
Utiliza una solución antiphishing fiable
Aplica estas técnicas y "Disfruta de una tecnología más segura".
Ejemplos destacables
El phishing sistemático empezó en la red de America Online (AOL) en 1995. Para robar las credenciales de cuentas legítimas, los atacantes contactaban a las víctimas mediante la Mensajería Instantánea de AOL (AIM), fingiendo en ocasiones ser empleados de AOL que estaban comprobando sus contraseñas de usuarios. El término "phishing" apareció en un grupo de Usenet que se centraba en una herramienta llamada AOHell que automatizaba este método, y el nombre permaneció. Después de que AOL implementara medidas contra ello en 1997, los atacantes se dieron cuenta de que podían usar la misma técnica en otras partes de Internet, y pasaron a fingir que eran instituciones financieras.
Más información
Uno de los primeros intentos, aunque fallido, ocurrió en 2001 aprovechándose del caos que generaron los ataques terroristas del 11 de septiembre. Los creadores de phishing enviaron correos electrónicos pidiendo a algunas de las víctimas que comprobaran su identidad, intentando aprovecharse de la información obtenida para robar la información financiera del servicio de moneda digital e-gold.
Pasaron tres años más hasta que el phishing ganó un punto de apoyo firme en Internet y en 2005 ya había costado a los usuarios estadounidenses más de 900 millones de dólares.
Según la encuesta APWG Global Phishing, se observaron más de 250.000 ataques de phishing únicos en 2016, usando el récord de nombres de dominio registrados maliciosamente superior a la barrera de los 95.000. En los últimos años, los creadores de phishing han tendido a centrarse en la banca y en servicios financieros y monetarios, clientes de comercio electrónico y en las credenciales de redes sociales y correo electrónico.
ESET te ofrece la mejor protección antiphishing
ESET HOME Security Premium
Protección multicapa eficaz para cifrar datos confidenciales, gestionar contraseñas fácilmente, proteger transacciones en línea y mucho más. Una solución fácil de usar para mejorar la privacidad en línea. Protege dispositivos Windows, macOS, Android e iOS.