¿Seguro que ese correo que acabas de recibir viene realmente de tu banco? ¿Crees que puedes hacer clic en ese enlace sin problemas? ¿O estás a punto de convertirte en la última víctima de una estafa de phishing?
El phishing o suplantación de identidad es un ataque creativo que se usa desde hace años para engañar a la gente. Si tiene éxito, puede poner tus datos y tu dinero en manos de delincuentes y llenar tus dispositivos de malware y virus.
A continuación, te explicamos cómo detectar este tipo de estafas y cómo protegerte de ellas.
¿Qué es el phishing?
La palabra «phishing» viene del inglés «fishing» (pesca), ya que este tipo de estafa consiste en atraer a la víctima poniéndole un «cebo» para que pique. El delincuente es quien sujeta la caña y, como puedes imaginar, el pez eres tú.
Existen diferentes técnicas de phishing. Los métodos más frecuentes se valen del correo electrónico, aunque en los ataques más complejos, ese no es más que el principio.
Para que los correos de phishing funcionen, deben usar un buen disfraz. El delincuente se hace pasar por un contacto de confianza, un amigo o una empresa legal y prepara su mensaje en consecuencia, añadiendo un asunto que llame la atención y todos los elementos de un correo auténtico.
Tipos de phishing
Estos son tres de los tipos de phishing más habituales.
Extorsión directa
El ejemplo más famoso quizá sea la llamada «estafa del príncipe nigeriano». Consiste en que el delincuente inicia una conversación con la víctima hasta que consigue convencerla de que le transfiera dinero. Con frecuencia, el atacante se hace pasar por un rico extranjero y promete un pago cuantioso a cambio de una «pequeña» inversión económica.
En los últimos años, algunos delincuentes han empezado a abordar a los usuarios en las aplicaciones de citas. Tras ganarse la confianza de la víctima y convencerla que siente un verdadero interés por ella, el estafador suele inventarse una situación en la que necesita dinero urgentemente.
Por suerte, este tipo de estafas van siendo más conocidas, por lo que cada vez menos personas se dejan engañar.
Sitios web falsos
En algunas estafas de phishing, el primer correo electrónico no es más que el punto de partida para un delito más complejo.
La trampa es la misma que la del correo con un enlace peligroso, pero en este caso, el enlace lleva a las posibles víctimas a una página web diseñada expresamente por el delincuente. Esta página utiliza el mismo tema y el mismo disfraz que el correo electrónico. Si el estafador se hace pasar por tu banco y te pide que restablezcas tu contraseña, la página imitará los colores y el diseño de la web del banco.
Si finalmente introduces los datos que te solicitan (contraseñas o datos de la tarjeta), la información no se cifrará y el delincuente podrá verla.
Tipos de ataques de phishing
Los ataques de phishing adoptan distintas formas. La principal diferencia entre unos y otros es el medio por el cual se llevan a cabo. Estos son algunos de los tipos más comunes.
Phishing por correo electrónico
El phishing por correo electrónico es posiblemente la modalidad más habitual. Como su nombre indica, se lleva a cabo por correo electrónico. Por lo general, los delincuentes envían correos que imitan a remitentes auténticos para engañar a los usuarios incautos y que revelen datos confidenciales.
Spear phishing
La diferencia principal entre el spear phishing y otros tipos de phishing es que, en el primer caso, los delincuentes se centran con mucha precisión en un único objetivo. En la mayoría de los casos, dichos objetivos son personas u organizaciones concretas.
Whaling
El Whaling, a veces llamado «fraude del CEO», es un tipo de ataque que se centra en un único objetivo, al igual que el spear phishing. La diferencia es que, normalmente, se dirigen a ejecutivos de alto rango u otros altos cargos de la organización para conseguir acceso no autorizado a datos financieros confidenciales o a sistemas informáticos.
Vishing and Smishing
El principal factor que diferencia el Vishing and Smishing de otros tipos de phishing es que, en ambos casos, se ataca exclusivamente el teléfono móvil de la víctima. El vishing hace referencia al phishing por voz; por ejemplo, llamadas fraudulentas que se hacen pasar por un banco o que ofrecen oportunidades de inversión muy lucrativas. El smishing, por otro lado, se realiza exclusivamente mediante mensajes de texto, pero el objetivo del ataque y la forma en que está diseñado son muy similares al phishing normal por correo electrónico.
Estadísticas relativas al phishing
Actualmente, los ataques de phishing se cuentan entre los ciberdelitos más frecuentes y peligrosos a los que se enfrentan a diario las empresas y los particulares.
Un reciente estudio de ESET desveló un aumento del 7,3 % en los ataques de phishing por correo electrónico entre mayo y agosto de 2021. Otro estudio, realizado por IBM, descubrió un aumento del 2 % en dichos ataques entre 2019 y 2020. El informe de Verizon sobre filtraciones de datos de 2021 señaló que los ataques de phishing están implicados de una u otra forma en aproximadamente el 36 % de las filtraciones de datos.
A lo largo de los años, los ataques de phishing no solo se han hecho cada vez más frecuentes, sino también más sofisticados. Aunque los investigadores de Tessian descubrieron que el 76 % de los correos de phishing no contenían archivos adjuntos maliciosos, el Informe sobre ciberamenazas de SonicWall de 2021 detectó un pronunciado aumento del número de archivos maliciosos en formato PDF y Microsoft Office entre 2018 y 2020. Probablemente, este aumento se debe a que la mayoría de las personas tienden a confiar en esos tipos de documentos. La prueba de esta confianza es que Microsoft es una de las marcas más suplantadas según Check Point, que descubrió que hasta el 43 % de los correos falsos se hacían pasar por este gigante tecnológico. Otras organizaciones por las que suelen hacerse pasar los estafadores son DHL, Amazon y LinkedIn.
Según el informe de Verizon, en la mayoría de los casos de phishing, los tipos de datos más robados son las credenciales (contraseñas, PIN, nombres de usuario) y datos personales como nombres, direcciones de correo e información médica, incluidas reclamaciones a seguros y números de la seguridad social. El informe también señala que las pérdidas ocasionadas por un correo de empresa comprometido ascienden a 30 000 $ de media.
Los informes de Cisco sobre tendencias en cuanto a amenazas de ciberseguridad de 2021 analizaron los sectores que sufren más ataques de phishing y concluyeron que el principal objetivo es el sector de los servicios financieros. Otros sectores a los que se suelen dirigir los ataques son el comercio al por menor, la fabricación, alimentación y bebidas, investigación y desarrollo y tecnología.
¿Qué señales delatan un intento de phishing?
Una gran parte de las estafas de phishing intentan aprovecharse del sentimiento de miedo. Con frecuencia, los correos de phishing informan a los usuarios de que se ha producido algún tipo de problema en su cuenta y les piden que hagan clic en un enlace malicioso o que descarguen un archivo adjunto para solucionar el falso incidente. En consecuencia, es normal que la mayoría de estos correos expresen una sensación de urgencia en el asunto.
Los atacantes también se dedican a crear dominios que llegan a ser muy parecidos a los de las marcas de confianza, e incluyen logotipos de la marca para engañar aún más a los incautos.
Cómo detectar el phishing
Existen varias señales de advertencia que permiten identificar si un correo es de phishing.
Lo primero en lo que debes fijarte es si el mensaje utiliza tu nombre o no. Si se dirige a ti con expresiones como «estimado cliente» o «a quien corresponda», ten cuidado.
Con frecuencia, los estafadores envían una gran cantidad de mensajes idénticos sin dirigirse a personas concretas. Si fuera una empresa de verdad la que te ha escrito, lo normal es que supiera cómo te llamas.
También debes fijarte en el lenguaje que se utiliza en los correos de phishing, ya que a veces contienen expresiones extrañas, una gramática deficiente o faltas de ortografía flagrantes. Un mensaje auténtico de tu banco no contendría ese tipo de errores.
Por supuesto, la dirección del remitente también es importante. Comprueba si parece legítima. En caso de duda, compárala con la de otros correos que hayas recibido de esa organización.
Por último, ten cuidado si el mensaje expresa sensación de urgencia. Si te exigen dinero o te presionan para que hagas clic en un enlace «antes de que sea demasiado tarde», no es buena señal. A menudo, los delincuentes intentan que la víctima se asuste o que actúe de forma precipitada, sin pararse a examinar el correo más detenidamente.
¿Y si haces clic en un enlace de phishing o descargas un archivo adjunto malicioso?
Si picas en este tipo de estafa, es casi seguro que los estafadores informarán a otros de que el ataque ha tenido éxito en tu caso. En consecuencia, es muy probable que empieces a recibir todavía más ataques de phishing.
Además, si eres víctima del phishing, podrías perder datos personales como tu nombre, dirección, teléfono y otros datos que te identifiquen personalmente, lo que podría ocasionar todavía más problemas, como el robo de identidad.
Si el ataque de phishing se dirige a una empresa y tiene éxito, podría provocar una fuga masiva de datos, lo que hoy en día podría suponer perfectamente el fin de la empresa en cuestión.
Cómo evitar el phishing
Piensa y no te precipites.
Esto es muy importante. No sigas ciegamente las instrucciones de un correo que has leído deprisa y corriendo. ¿Te están instando a hacer clic inmediatamente en un enlace para cobrar un premio? ¿Te piden que entres en una página web y cambies tus contraseñas lo antes posible? Para un momento y, antes de hacer nada, comprueba que el correo sea auténtico.
No sigas los enlaces directamente.
La mayoría de los correos de phishing te piden que hagas clic en un enlace, lo que podría abrir las puertas al malware, los virus y el ransomware. Para evitar este problema, no hagas clic nunca en los enlaces que aparecen en los correos, salvo que procedan de un remitente verificado y de confianza.
En caso de duda, abre una pestaña nueva y accede a la página real de la empresa. Para asegurarte del todo, puedes incluso escribir o llamar directamente a la organización y preguntarles si te han enviado alguna comunicación recientemente.
No confíes ciegamente en los filtros antispam.
Tu correo electrónico filtra el spam y los mensajes no deseados y los envía a una carpeta aparte para borrarlos más tarde, pero no siempre acierta. No des por hecho que un mensaje es automáticamente seguro solo porque haya pasado los filtros. Este tipo de errores suceden constantemente, así que ten cuidado.
Pregúntate si has tenido contacto previo con el remitente.
Si un banco del que no eres cliente te envía un correo pidiéndote que inicies sesión en tu cuenta mediante un enlace que aparece en el propio mensaje, es seguro que se trata de una estafa. La mayoría de los correos de phishing se envían con la esperanza de que hagas clic en el enlace sin pensar. Pregúntate si realmente tienes una cuenta o alguna relación con la empresa que el remitente dice representar. Si la respuesta es no, ignora el mensaje o bórralo.
En resumen
Los correos de phishing pueden ser muy efectivos y son una de las estafas más antiguas que existen en internet. La mejor defensa es estar alerta y aplicar el sentido común.