¡Recién Publicado!
cerrar [X]

Qué es el phishing y por qué todos estamos expuestos (y los diferentes tipos que existen)

3
Todo lo que tenés que saber
Todo lo que tenés que saber

El phishing es un fraude. Su objetivo es el de captar o robar datos privados de los usuarios: nombres de acceso a cuentas bancarias, contraseñas, datos de las tarjetas de crédito, etc. Para obtener esta información se recurre a la falsificación de páginas que el usuario conoce (empresas o administraciones públicas comunmente), se duplican y se pide que se introduzcan en ella los datos confidenciales que se quieren obtener.

 

No hay una palabra en castellano para ello, sino que se usa el anglicismo. Pero viene del verbo pescar. Y realmente, pesca al usuario, lo engaña, como un cebo lo hace con un pez, y consigue hacerse con sus informaciones para poder robarle sus datos.

A grandes rasgos, para comprender esta práctica en su versión más corriente, debes conocer que al usuario le llega un mensaje de texto (SMS) al móvil, un correo electrónico a su cuenta de mail o un mensaje en alguna app como WhatsApp, Telegram o Facebook Messenger. Ese mensaje puede ofrecerle un regalo de una empresa (normalmente se usan firmas conocidas), pedir un favor como si viniera de un amigo u ofrecer un servicio común que las personas tienden a necesitar o la solución a un servicio (por ejemplo, decir que tu banco, la hacienda pública o una empresa de mensajería necesita unos datos para realizar una tarea convencional).

En general, esta práctica se apoya en la ingeniería social y su éxito se basa en la confianza que tienes en la empresa o institución o persona que están siendo suplantadas.

Estos mensajes vienen acompañados de un link. Al entrar al enlace, llegarás a otra página. Hay veces que es fácil ver que la página no está bien diseñada y hasta tiene graves faltas de ortografía. Pero los ataques sofisticados muestran páginas que parecen totalmente reales. Y en esa otra página debes introducir una información. Normalmente relacionada con tus datos bancarios y personales. Si la introduces, se la estás regalando al creador de la estafa y, con esa información, podrá realizar las compras que quiera mientras tú no seas consciente y hables con tu banco para que tome medidas y cambie tu tarjeta o cancele tus pagos por un tiempo.

 

Cómo surgió el phishing

El phishing es un fraude antiguo que, a pesar del paso de los años, no pierde fuelle. El término «phishing» se documentó por primera vez a comienzos del año 1996 por parte del grupo de noticias Usenet denominado AOHell y quiso denominar un estafa que estaba usando al gigante AOL para conseguir datos privados de los usuarios.

25 años después, el phishing sigue fuerte. Casi no hay semana en la que Genbeta no tenga que informar de importantes casos de phishing que están aterrizando en las bandejas de entrada del mail de los usuarios, en alguna red social o en sus SMS del teléfono. No hay cifras globales sobre el dinero que esta técnica consigue robar de empresas y de ciudadanos cada año, ya que no todo el mundo denuncia lo que sucede. Es más, en ocasiones, el robo a cada uno de los usuarios es de poco dinero, por lo que las personas no se molestan en ir detrás de la estafa. Pero si tenemos en cuenta que millones de personas pueden llegar a ser víctimas de una de estas estafas, resulta una práctica beneficiosa.

Lo que sí está claro es que, tras el malware, el phishing es la segunda técnica más usada en cuanto a ciberataques en el mundo, si echas un vistazo a los estudios de grandes empresas, como Cisco, sobre los principales tipos de ataques informáticos.

 

Tipos de phishing

Para identificar uno de estos ataques, lo mejor que puedes hacer es conocer los tipos que hay. Los más comunes son:

  • Deceptive phishing. El más común. Deceptive significa engañoso. Un hacker envía al usuario un mensaje de correo electrónico haciéndose pasar por una persona, empresa o entidad. Si lo que envía es un SMS entonces se conoce como Smishing. Solicita algún tipo de información personal o contiene un enlace malicioso que envía al usuario a una página web fraudulenta donde se le solicita los datos de inicio de sesión. Si es un ataque bien preparado, suele llevar el logo de la empresa, usar una tipografía similar o el nombre de la web a la que te redirecciona es similar al de la página real (pero no es el mismo). Bajo cualquier excusa solicita al usuario que introduzca información personal sensible que posteriormente, es capturada por el atacante. Los casos de phishing suplantando a FedExDHL o ING en las últimas semanas, entran dentro de estos ataques más comunes.

  • Phishing basado en malware. En este caso, el usuario recibe un mail que suplanta la identidad de una marca incluyendo además como documento adjunto un archivo que es malicioso y que una vez abierto, infecta el dispositivo de la víctima. Una forma habitual de este phishing basado en malware es como si fuera una empresa de servicio que te adjunta tu última factura en formato PDF para que la descargues. Una vez abierto, infecta el equipo. Este 2021 en España empezó con un ataque que suplantaba a Correos para infectar un equipo con malware. En diciembre se propagó mucho un mail que adjuntaba un fichero que supuestamente informando de restricciones por la Covid-19 pero que infectaba un PC o móvil.

  • Vishing. La palabra mezcla los términos voice (voz) y phishing. No es tan común porque requiere de gran elaboración para conseguir su objetivo. Estos ataques utilizan ingeniería social para engañar a las víctimas a través de llamadas telefónicas. El atacante, que realiza llamadas, se hace pasar por un trabajador, técnico o una organización y bajo este pretexto intenta que la víctima le facilite datos personales o bancarios o realice alguna aportación económica. Como en el caso del 'phishing', el gancho del vishing puede ser muy distinto en cada ocasión. Desde participar en un sorteo, recoger un cheque regalo o recibir soporte técnico.

  • SEO Phishing. Usando las técnicas del posicionamiento SEO en los buscadores, los atacantes consiguen que una página engañosa se sitúe de entre las más importantes de un buscador como Google o como Bing. Así, si un usuario busca, por ejemplo, información de su banco, el objetivo es que esta web aparezca de entre los primeros resultados y la persona piense que está efectivamente entrando en la web de su banco o para realizar compras. Al realizar las compras o acceder con credenciales, estará dando información muy importante que el atacante puede robar.

 

3 comentarios Dejá tu comentario

  1. Cómo elegir ventanas, alimentación saludable, el litio, el phishing. Qué cantidad de notas de ¿"relleno"? o de ¿"evitación"? Serán los nuevos auspiciantes.

  2. Podrían escribir por qué se puede hablar de oligarquía en referencia al peronismo/kirchnerismo. Claro que a menos que tengan que cambiar las cortinas.

  3. Ok, todo bien...pero hay una manera de saber claramente si uno es víctima de phishing o no. Paso hace semanas con Netflix. Fijarse en direccion de mail del remitente. Ahí sale cualquier cosa, lo cual da pauta de que NO es una dirección de correo electrónico oficial. Deberia decirlo usted, Montefiore. No yo.

Dejá tu comentario

El comentario no se pudo enviar:
Haga click aquí para intentar nuevamente
El comentario se ha enviado con éxito
Tu Comentario
(*) Nombre:

Seguinos también en

Facebook
Twitter
Youtube
Instagram
LinkedIn
Pinterest
Whatsapp
Telegram
Tik-Tok
Cómo funciona el servicio de RSS en Tribuna

Recibí diariamente un resumen de noticias en tu email. Lo más destacado de TDP, aquello que tenés que saber sí o sí

Suscribirme Desuscribirme

¿Valorás el periodismo independiente?
Municipio de Moron. Corazón del Oeste
Mokka Coffee Store
Cynthia Gentilezza. Analista en seguros


 

Notas Relacionadas

Estafas virtuales bancarias en pandemia... ¿hasta cuándo?

Datos recientemente arrojados por la Unidad Fiscal Especializada en Ciberdelincuencia indican que entre 2019 y 2020 crecieron un 3.000% las denuncias asociadas a "phishing" y delitos de contenido económico. No hay dudas de que el "phishing" bancario es uno de...