¿Qué es phishing? La definición y los 5 ejemplos principales

SoftwareLab Blog

¿Qué es phishing?

El phishing es un intento de adueñarse de la información personal de otra persona con técnicas engañosas. Se realiza con emails y páginas web falsas, y permite a los hackers obtener el acceso a sus credenciales de registro, su información del banco y tarjetas de crédito o su número de la Seguridad Social. Siga leyendo para aprender sobre los tipos más comunes de ataques de phishing y la manera de salvaguardar su seguridad en internet.

¿Qué aprenderá en este artículo?

Con millones de emails de phishing enviados y miles de nuevas páginas web de phishing creadas a diario, usted no debería tomarse a la ligera su seguridad online. Lea nuestra comparación de los mejores software antivirus para mantener su ordenador, sus archivos y su información personal a salvo.

Tibor Moes

Fundador, SoftwareLab

Phishing

Del mismo modo que los pescadores lanzan redes para pescar peces, los “phishers” lanzan emails falsos en el mar que es internet para cazar su información personal. Tal y como los pescadores usan cebos para atraer a los peces, los phishers se sirven de la falsificación y la manipulación para hacer lo mismo con usted. Si usted se convierte en víctima del phishing, podría perder su privacidad, su sustento e incluso su identidad.

¿Qué es phishing?

Phishing es el intento de adueñarse de los datos personales u otros detalles privados de otra persona con artimañas engañosas. Tal vez sea el tipo de fraude prevaleciente en internet. El phishing normalmente implica emails o páginas web fraudulentas que tienen la intención de embaucar a la potencial víctima a que comparta información delicada con el defraudador que se oculta detrás. Más que usar la información que obtienen para sí mismos, muchos delincuentes la venden en la dark web, sobre todo a hackers y cibercriminales especializados en el robo de identidad.

Con los avances en la ciber seguridad, muchas amenazas cibernéticas han ido apareciendo y desapareciendo, pero el phishing se mantiene fuerte todavía. La mayor razón por la que los ataques de phishing se mantienen tan presentes como siempre, es el uso de la falsificación, la manipulación y técnicas de ingeniería social para engañar a las potenciales víctimas. Como norma, los emails de phishing se escriben con tono urgente (sin embargo, falso) como notificaciones de los proveedores de internet, monederos digitales, instituciones financieras y otras organizaciones. Además, muchos de ellos incluyen logos y otras imágenes oficiales.

Comúnmente llamados “phishers”, los defraudadores responsables de estos ataques pedirán a la potencial víctima que entregue una parte vital de información personal, ya sea su número de la Seguridad Social, los detalles de la tarjeta de crédito o su información de registro. Para añadir apariencia de urgencia a su mensaje, ofrecerán un motivo importante por el que la víctima debería hacerlo. Por ejemplo, podrían perder el acceso a su cuenta bancaria o ser expulsados de sus perfiles de redes sociales si no entregan la información requerida en el plazo exigido.

Para recopilar la información que necesitan, los phishers construyen páginas web falsas que parecen reales. Es más, también tienen URLs similares, lo que hace todavía más difícil para las víctimas identificar que son falsas. De acuerdo con las recientes estadísticas, más de 1,5 millón de nuevas páginas de phishing se crean cada mes, con la esperanza de vida media entre tres y cinco días por página. Esto son casi 50.000 páginas nuevas cada día, así que no sorprende que el phishing sea la mayor causa de filtración de datos en todo el mundo.

¿Qué tipos de phishing existen?

Hay varios tipos de estafas de phishing, algunas de ellas posibles solo por teléfono (por ejemplo, phishing con voz o vishing) o mensajes de texto (por ejemplo phishing con SMS o SMiShing). En cuanto a las estafas de phishing en la red, los cinco tipos más comunes son los siguientes:

  1. Phishing “Spray and Pray”

Comúnmente conocido como phishing fraudulento, “spray and pray” es el más antiguo y más primitivo tipo de phishing en la red. Los phishers usan esta técnica para enviar un conjunto de emails con el asunto “urgente”, en el que piden a la potencial víctima que actualice su contraseña de PayPal o que entre sus datos para reclamar una lotería que le ha tocado. Estos emails normalmente contienen enlaces a páginas de registro falsas. Cuando la víctima introduce sus datos en estos formularios falsos, estos se almacenan inmediatamente en un servidor remoto al que los phishers tienen acceso.

  1. Spear Phishing

El spear phishing es mucho más sofisticado que el phishing fraudulento por la simple razón de ser personalizado. En lugar de enviar un mensaje genérico, los phishers atacan a organizaciones específicas, grupos o incluso individuos, con el objetivo de hacerse con su información personal. Recopilan sus nombres, direcciones de email y otras informaciones de redes sociales como LinkedIn o registros de emails pirateados.

Este tipo de phishing ataca principalmente a empresas y organizaciones, que es el motivo por el que los emails de spear phishing son algo diferentes de los emails fraudulentos. Aunque tienen un formato similar, el spear phishing incluye consultas y facturas falsas de socios empresariales. Los phishers pueden asegurar que han adjuntado un documento importante y pedir a la víctima que lo descargue en su ordenador. Cuando lo hagan, el archivo instalará software malicioso que espiará su actividad y recogerá su información personal.´

  1. Fraude del CEO

El fraude del CEO es una forma muy sofisticada de estafa que también puede ser muy exigente para el estafador que está detrás. Se trata de cibercriminales que atacan a empleados, ya sea de departamentos de recursos humanos o departamentos financieros de una organización y haciéndose pasar por el director ejecutivo (CEO) o algún ejecutivo de nivel más alto. Se dedican a intercambiar mensajes con su objetivo y construyen una relación de confianza.

Después de un tiempo, el estafador de repente pedirá a su objetivo que le envíe la información personal de los empleados, o más a menudo, que transfiera fondos a una cuenta que les dan. En la mayoría de los casos, dirán que necesitan los fondos para un nuevo contrato e indican que la transferencia es urgente. Aunque suene muy indignante, de momento, empresas en todo el mundo han perdido más de 5 mil millones como resultado de la estafa del CEO.

  1. Phishing de Alojamiento de Archivos

Muchas personas usan servicios de alojamiento de archivos online, como Dropbox y Google Drive para hacer copias de seguridad y poder acceder a ellos y compartirlos fácilmente. Los phishers saben esto, y eso es por lo que ha habido múltiples intentos de poner en peligro los datos de registro de sus víctimas. El formato del fraude es similar al phishing fraudulento, ya que implica páginas de registro falsas. Sin embargo, en lugar de buscar algo específico, los hackers quieren acceder a los datos que sus víctimas tienen almacenados en la red para recopilar cualquier información valiosa que pueden encontrar allí.

  1. Phishing de Criptomoneda

Las estafas con criptomoneda es una forma relativamente nueva de fraude online. Para ponerlo en marcha, los hackers crean páginas de registro falsas a páginas de criptomoneda. Cuando los usuarios inocentes entran sus datos en estas páginas falsas, los hackers obtienen acceso inmediato a las cuentas digitales de su víctima y pueden retirar fondos en cuestión de segundos. Por ahora solo ha habido un gran ataque relacionado con la criptodivisa, pero como la criptomoneda está en auge, es bastante acertado asumir que habrá más de estos en el futuro.

Ejemplos de ataques de phishing

Entre los ataques más destructivos de phishing de los últimos años se pueden encontrar los siguientes:

  • A finales de 2014, los hackers usaron emails de phishing fraudulento para recoger datos de identificación de Apple de numerosos empleados de Sony Pictures. Con la idea de que la mayoría de los empleados usaba la misma contraseña en varias cuentas online, los hackers posteriormente usaron esas credencias para entrar en sus emails de trabajo. Triunfaron en su misión y procedieron a publicar miles de emails personales y otros documentos confidenciales, y provocaron una tormenta mediática en Hollywood.
  • En 2014 y 2015, los hackers atacaron Anthem, una aseguradora médica de EEUU. Usaron emails de phishing para infectar ordenadores de cinco empleados con keyloggers, un tipo de spyware que registra sus pulsaciones de teclado. Esto permitió a los hackers robar casi 80 millones de historiales médicos de los servidores de Anthem, y todos incluían los números de la Seguridad Social de los pacientes.
  • En 2017, un grupo de hackers envió emails de phishing a los empleados de las tres cadenas de restaurantes más grandes de Estados Unidos, Chipotle, Arby´s y Chili´s. Los emails incluían software malicioso adjunto, que se instaló silenciosamente en los ordenadores objetivo y dio a los hackers acceso a las redes internas de estas empresas. Con el uso de este software, los hackers consiguieron robar más de 15 millones de registros de tarjetas de crédito pertenecientes a los clientes de esas tres cadenas.

Cómo protegerse del phishing

Como con todos los demás tipos de amenazas cibernéticas, la mejor manera de mantenerse a salvo es adoptar hábitos de navegación responsable y usar el mejor software antivirus. Buenas costumbres de navegación son particularmente importantes porque algunos tipos de emails de phishing pueden robar sus datos, ya que pueden esquivar el software de ciber seguridad que usted ha escogido.

Nunca debería divulgar ninguna información personal, ya sea la información de la tarjeta de crédito, datos de registro, el número de la Seguridad Social, en emails o mensajes instantáneos. Si su email, su banco online, su cartera digital o la página principal de la web de compras tienen aspecto diferente, compruebe el texto de la página para ver si hay errores ortográficos y gramaticales, que normalmente son los indicadores de una página web falsa. Busque siempre el prefijo “https” en la barra de direcciones y el icono del candado al lado, para asegurarse de que la información que introduce está a salvo.

No abra emails recibidos de direcciones de email desconocidas, ni haga click en ningún enlace o archivo adjunto que contengan. Hacer click sobre ellos puede instalar spyware en su ordenador y esto podría dar a los hackers acceso a su información personal. Afortunadamente, el mejor software antivirus detectará inmediatamente cualquier programa malicioso en su ordenador y lo eliminará de su disco duro. Además, estos programas examinarán los certificados de seguridad de todas las direcciones que visita y le prevendrán a la hora de acceder a páginas web de phishing.

¿Estás protegido?

Cada minuto, hay más de 400 ataques cibernéticos

SoftwareLab.org is operated by Momento Ventures Inc. © 2019. All rights reserved.

Disclaimer: SoftwareLab.org is not an antivirus, VPN or hosting service provider and does not endorse the use of the products featured on this website for unlawful means. It is the responsibility of the user to adhere to all applicable laws. We have no control over the third-party websites we link to and they are governed by their own terms and conditions. SoftwareLab.org is supported by advertisement in order to be a free-to-use resource. We strive to keep the information accurate and up-to-date, but cannot guarantee that it is always the case.