Desenmascarando el phishing: riesgos para tu privacidad y cómo protegerte

El phishing

Los avances tecnológicos aportan muchos beneficios a la sociedad en general, pero también implican riesgos que debemos conocer. En este artículo, analizamos qué es el phishing, una de las formas de ciberataque más extendidas, y qué precauciones tomar para no caer en sus trampas.

¿Qué es el phishing?

El phishing es una técnica de suplantación de identidad con el objetivo de conseguir información confidencial, como contraseñas y datos bancarios.

Los ciberdelincuentes imitan, en ocasiones con gran detalle, la identidad visual de la empresa suplantada. Además, suelen incluir textos gancho que incitan a actuar rápidamente: supuestos premios, bloqueos de cuenta o paquetería pendiente de entrega.

 Los tipos de ataque phishing más comunes

Tendemos a pensar que este tipo de ataques solo llega a través del correo electrónico, pero en realidad existe una amplia tipología de phishing.

Veamos las formas habituales de suplantación de identidad.

1. Phishing de correo electrónico

Los correos electrónicos de phishing son una de las técnicas más clásicas y peligrosas. La ingeniería social es capaz de eludir los filtros de correo no deseado y entregar estos mensajes en nuestra bandeja de entrada.

 2. Phishing de redes sociales

El phishing en las redes sociales es un ataque ejecutado a través de plataformas como Instagram o LinkedIn para hacerse con el control de la cuenta y enviar contenido fraudulento a los contactos de la persona.

 3. Phishing de SMS (smishing)

Los mensajes de texto falsos que llegan al móvil se conocen como smishing. Generalmente, se hace pasar por un banco y solicita seguir un enlace donde se pide información personal, números de cuenta o clave PIN.

 4. Vishing (phishing de voz)

Más sofisticada es la técnica del vishing, porque se ejecuta en dos etapas. En primer lugar, se obtiene información personal de la víctima mediante un phishing clásico. Después, se realiza una llamada suplantando a una entidad para obtener claves y datos confidenciales.

5. Pharming

Mediante un virus o una técnica conocida como envenenamiento de DNS, los ciberdelincuentes logran que las víctimas accedan a una web fraudulenta a pesar de haber tecleado correctamente la dirección en el navegador.

6. Phishing de mensajería instantánea

Las plataformas como Facebook Messenger o WhatsApp se emplean para ofrecer algo supuestamente muy valioso o atractivo, que se conseguiría haciendo clic en un enlace. En ocasiones, se suplanta la identidad de un contacto de la víctima para dar mayor credibilidad a la estafa.

 7. Whaling o spear-phishing dirigido a altos cargos

El whaling es un sofisticado spear-phishing dirigido exclusivamente a ejecutivos o altos cargos de una empresa. El atacante suele hacerse pasar por un CEO de otra compañía, un ejecutivo de mayor rango o un socio.

 8. Phishing de ingeniería social

El phishing de ingeniería social engaña a los visitantes de una web para que ejecuten acciones de riesgo, como descargar software. En algunos casos, el navegador lo detecta y muestra una advertencia, pero no siempre ocurre así.

 9. Phishing por spoofing de páginas web

El spoofing es la suplantación de páginas web de conocidas empresas. Esta técnica se puede llevar a cabo de diversas formas, pero lo habitual es la usurpación de una dirección IP.

Cómo identificar un ataque de phishing

Las campañas de phishing pueden ser muy sofisticadas, pero no son infalibles. Prestando atención a los siguientes aspectos puedes identificar un correo o mensaje fraudulento:

  • El remitente no suele coincidir con la organización a la que supuestamente representa.
  • El mensaje intenta generar sensación de urgencia.
  • Los enlaces invitan a hacer clic y seguir instrucciones.
  • El tono de la comunicación es impersonal.
  • Los errores ortográficos y gramaticales son habituales.

Estos indicios deberían encender todas las alarmas y poner en marcha nuestros mecanismos de defensa antifraude.

Precauciones para evitar el phishing

Recuerda que las empresas e instituciones nunca piden que confirmes tus datos personales haciendo clic en un enlace. Aparte de esto, usa siempre el sentido común:

  • Nunca hagas clic en un enlace si no estás absolutamente seguro.
  • No guardes datos confidenciales en el móvil o el ordenador.
  • Si dudas ante un mensaje, llama a la empresa directamente.
  • No descargues ni ejecutes archivos adjuntos sin verificar su procedencia.

La forma más sencilla de protegerse es ignorar, borrar y marcar como spam.

¿Qué hacer si eres víctima de un ataque de phishing?

Si ha sido víctima de un fraude online, el primer paso es desconectarte de Internet y de otros dispositivos en red. A continuación, conviene tomar medidas:

  • Cambiar las contraseñas de todas las cuentas.
  • Escanear el dispositivo con tu antivirus.
  • Contactar con un técnico informático para que elimine cualquier amenaza.
  • Notificar a la empresa suplantada para que tome medidas.
  • Contactar con tu banco para bloquear las tarjetas.
  • Hacer seguimiento de tus operaciones bancarias.

Además, puedes denunciar el phishing ante la Policía Nacional o la Guardia Civil, que cuentan con unidades especializadas en delitos informáticos.

¿Cómo afecta la aparición de la inteligencia artificial en los ataques phishing?

La generación de lenguaje natural (NLG) y la tecnología deepfake basadas en IA facilitan la creación de textos, audios y vídeos que imitan la comunicación humana y suplantan identidades. Además, la inteligencia artificial ayuda a eludir los sistemas de seguridad convencionales de detección de contenido malicioso.

Afortunadamente, las soluciones de ciberseguridad impulsadas por IA son cada vez más innovadoras y sofisticadas. No obstante, no podemos bajar la guardia. Si quieres saber si estás protegido, nuestro equipo técnico puede realizar una auditoría informática para detectar las vulnerabilidades y formar a tus empleados sobre cómo evitar este tipo de práctica fraudulenta.