El phishing es una de las formas más frecuentes que utilizan los hackers para adueñarse de información confidencial o sensible como contraseñas, números de tarjetas de crédito y similares. En otras ocasiones lo que quieren es que el usuario instale algún programa malicioso en el ordenador.
¿Cómo lo logran?, ¿cuáles son los tipos de phishing que existen? y ¿cómo puedes protegerte? Las respuestas están en este artículo.
¿Qué es phishing y cómo funciona?
Phishing es una palabra que viene del término inglés fishing (pescar) y hace alusión a un hacker que lanza un cebo para que alguien pique en él.
Teniendo esto en cuenta, podemos definir esta práctica como una estafa en línea en la que se suplanta la identidad de una empresa o institución con el fin de engañar a un usuario de internet para que aporte información confidencial que será finalmente robada.
Por lo general, para lograr esto los hackers envían un correo electrónico a nombre de la empresa e incluyen un enlace que lleva a un sitio web o formulario, en apariencia legítimos; cuando el usuario escribe los datos que se le piden o inicia sesión, los datos son robados por el atacante.
Pongamos un ejemplo:
Juan recibe un correo electrónico a nombre de una entidad bancaria de la que es cliente, y en el mismo le indican que su contraseña ha vencido y debe cambiarla haciendo clic en cierto enlace. Juan ve que el correo tiene la apariencia normal del resto de comunicaciones enviadas por su banco: logo, nombre, colores…en fin, no ve nada raro.
Así que hace clic en ese botón que le lleva al sitio web del banco y se le indica que para cambiar la contraseña debe escribir su nombre de usuario y contraseña actual. Juan ingresa la información y hace clic en Aceptar. En ese momento, su información ha sido robada por el atacante quien la puede usar para ingresar a la página web del banco y hacer transacciones a su nombre.
Tipos de phishing
Las formas de phishing son diversas, pero las más conocidas son estas:
Spray and pray
Se trata del tipo de phishing que menos esfuerzo requiere por parte del atacante. Básicamente lo que hace es enviar un mismo correo electrónico a una gran cantidad de destinatarios a la vez. En él, le anuncia al usuario, por ejemplo, que se acaba de ganar un móvil de última generación pero que para recibirlo debe indicar algunos datos personales.
Este tipo de correos pueden incluir un enlace a una página web o simplemente el atacante solicita que se responda al correo con los datos solicitados.
Para los internautas más expertos, este tipo de phishing es fácilmente reconocible, pero ha resultado ser un cebo altamente efectivo para quienes tienen menos experiencia quienes caen en la trampa y terminan enviando los datos.
Spear phishing
Son ataques bien planificados que se dirigen a un público específico aumentando así la posibilidad de que las personas caigan en la estafa.
En este, los atacantes replican un correo electrónico para que tenga las mismas características que los enviados por una marca o empresa de la que los destinatarios son clientes.
En este tipo de estafa encaja perfectamente el ejemplo de Juan del que te hablamos antes; recibe un correo electrónico para cambiar su contraseña y es redirigido a una página web falsa que roba sus datos.
Este tipo de phishing suele tener éxito porque el atacante se encarga de diseñar la plantilla del correo electrónico y el sitio web de la forma más similar posible a los originales.
Clone phishing
El hacker clona un correo electrónico que has recibido recientemente y lo envía desde una dirección muy parecida a la original, cambiando los enlaces o los archivos adjuntos para que seas redirigido a sitios maliciosos o suplantados.
Whaling
También conocido como fraude del director ejecutivo, es un tipo de estafa que se dirige a los altos cargos de empresas y organizaciones. El atacante envía un correo electrónico haciéndose pasar por un superior dentro de la organización con el objetivo de tener acceso a información sensible sobre la misma empresa.
Sitios web falsos
En esta forma de phishing, los hackers diseñan una página similar a una web autentica. Por lo general, se copian las páginas de inicio de sesión o de pagos pues suelen ser muy fáciles de replicar.
Pharming
Es un tipo de phishing que solo los hackers más avanzados dominan porque para lograrlo deben manipular las DNS de una web para que cuando un usuario introduzca su URL se le muestre una página falsa en la que el visitante introduce datos que son robados.
Typosquatting
En este tipo de estafa, el hacker crea una página web con una URL lo más parecida posible a la original. Por lo general solo agrega, suprime o cambia una letra, para así aprovecharse de los errores de tipeo de los usuarios al escribir la dirección en la barra de direcciones de su navegador web.
Clickjacking
Los hackers se aprovechan de botones legítimos y le superponen otros con enlaces a sitios fraudulentos o que descargan software malicioso al equipo cuando se hace clic en él.
Búsqueda del navegador
Para este tipo de ciber estafa, los hackers crean una página web sobre una empresa o marca, y aplican técnicas de black hat seo para posicionarla por encima de la página oficial. Cuando el usuario realiza una búsqueda en Internet de esa empresa, verá la página falsa en primer lugar y probablemente entrará en ella sin asegurarse de que sea legitima.
Smishing
El phishing no solo se realiza a través de correo electrónico, sino que incluso se hace presente en forma de mensajes de texto. Aunque varía el medio, el funcionamiento sigue siendo el mismo. Se envía un mensaje de texto con información falsa y se invita al usuario a hacer clic en un enlace, responder al mensaje con datos sensibles o realizar una llamada en donde le pedirán esos datos.
Cómo detectar el phishing
Existen varias señales que pueden ayudarte a identificar si estás frente a un ataque de phishing, las principales son:
- No has recibido antes un correo de esa cuenta.
- La dirección de correo electrónico o la URL están mal escritas, tienen errores ortográficos o incluyen signos extraños.
- Si te piden información confidencial por correo es casi seguro que estás frente a una estafa.
- El correo incluye enlaces o archivos adjuntos sospechosos.
- En el texto o el asunto del mensaje se evidencia cierta urgencia por parte del remitente para que respondas o realices cierta acción.
- Incluye una oferta que es demasiado buena para ser cierta o te anuncia que te has ganado el primer premio de un concurso al cual no te apuntaste.
Recomendaciones para prevenir el phishing
Entonces, ¿cómo puedes protegerte de ataques de phishing? Tomando en cuenta estas recomendaciones:
- Instala un antivirus con protección ante fraudes por phishing. Un buen antivirus analizará los enlaces incluso antes de que accedas a ellos y te informará si estos son fraudulentos o si de entrar a ellos corres el riesgo de ser estafado.
- Guarda en favoritos las páginas web que visitas regularmente y accede a ellas desde ese enlace guardado.
- Nunca hagas clics en enlaces sospechosos.
- Si recibes alguna comunicación de tu banco solicitándote información personal o pidiéndote que realices alguna acción, comunícate con la entidad bancaria por otra vía para así comprobar la veracidad de esta solicitud.
- No creas en todas las ofertas de internet.
Todas estas recomendaciones deben ir de la mano del sentido común, que a fin de cuentas es una de las mejores armas para combatir el phishing.