El phishing es una forma de ciberdelincuencia que consiste en engañar a las víctimas para que revelen información personal o financiera, como contraseñas, números de tarjeta de crédito o datos bancarios, mediante el envío de mensajes fraudulentos que suplantan la identidad de una entidad de confianza, como un banco, una empresa o una administración pública. El phishing puede tener graves consecuencias para los afectados, como el robo de dinero, el fraude, el secuestro de cuentas o la suplantación de identidad.
El phishing se aprovecha de la ingeniería social, es decir, de la manipulación psicológica de las personas para que hagan lo que el atacante quiere. Para ello, utiliza técnicas como el miedo, la urgencia, la curiosidad o la recompensa para incitar a las víctimas a hacer clic en un enlace malicioso, descargar un archivo adjunto infectado o proporcionar sus datos personales. El phishing se suele realizar a través del correo electrónico, pero también puede emplear otros medios como las redes sociales, los mensajes de texto o las llamadas telefónicas.
Tipos de phishing
Existen diferentes tipos de phishing según el método, el objetivo o la sofisticación del ataque. Algunos de los más comunes son:
- Phishing generalizado: Es el más simple y masivo. Consiste en enviar mensajes genéricos a un gran número de destinatarios sin personalizarlos, esperando que alguno caiga en la trampa. Por ejemplo, un correo que simula ser de una empresa de paquetería y solicita confirmar los datos personales para recibir un envío.
- Phishing dirigido o spear phishing: Es más elaborado y selectivo. Consiste en enviar mensajes personalizados a un grupo reducido de destinatarios, utilizando información previa sobre ellos para ganarse su confianza. Por ejemplo, un correo que simula ser del jefe o del departamento de recursos humanos y solicita acceder a un enlace para verificar los datos salariales.
- Phishing avanzado o whaling: Es el más sofisticado y peligroso. Consiste en enviar mensajes muy personalizados y convincentes a una sola víctima, que suele ser una persona con alto poder o influencia dentro de una organización, como un directivo o un político. Por ejemplo, un correo que simula ser de un socio o un proveedor y solicita realizar una transferencia urgente a una cuenta bancaria.
Cómo detectar y evitar el phishing
El phishing puede ser difícil de detectar si se hace con profesionalidad y se aprovecha de la falta de atención o conocimiento de las víctimas. Sin embargo, existen algunas señales que pueden ayudarnos a identificar y prevenir el phishing:
- Revisar el remitente: Hay que comprobar si el nombre y la dirección del remitente coinciden con los de la entidad que dice representar, y si tienen algún error ortográfico o algún carácter extraño. También hay que desconfiar si el remitente usa un dominio genérico (como gmail.com) en lugar del oficial (como oficial.es).
- Revisar el contenido: Hay que prestar atención al tono y al estilo del mensaje, y si tiene faltas de ortografía o gramaticales. También hay que desconfiar si el mensaje usa un saludo genérico (como estimado cliente) en lugar de uno personalizado (como estimado José), o si solicita información personal o financiera que normalmente no se pide por ese medio.
- Revisar el enlace: Hay que verificar si el enlace que se adjunta en el mensaje coincide con el de la entidad que dice representar, y si tiene algún error ortográfico o algún carácter extraño. También hay que evitar hacer clic directamente en el enlace, y preferir escribirlo manualmente en el navegador o buscarlo en un buscador.
- Revisar el adjunto: Hay que comprobar si el archivo adjunto tiene sentido con el contexto del mensaje, y si tiene una extensión conocida y segura (como .pdf o .docx). También hay que evitar descargar o abrir el adjunto sin antes escanearlo con un antivirus actualizado.
- Revisar la web: Si se accede al enlace del mensaje, hay que verificar si la web tiene un aspecto profesional y si coincide con la de la entidad que dice representar. También hay que comprobar si la web tiene un protocolo seguro (https) y un candado verde en la barra de direcciones, que indican que la conexión está cifrada y protegida.
Conclusiones
El phishing es una amenaza online que puede poner en riesgo nuestra seguridad y privacidad. Para protegernos del phishing, debemos estar atentos y desconfiar de los mensajes que nos llegan por correo electrónico u otros medios, y que nos piden información personal o financiera, o que nos incitan a hacer clic en un enlace o descargar un adjunto. También debemos contar con un software de ciberseguridad que nos ayude a detectar y bloquear los intentos de phishing.
Si creemos que hemos sido víctimas de un phishing, debemos actuar rápidamente para minimizar los daños. Algunas medidas que podemos tomar son:
- Cambiar las contraseñas: Si hemos revelado nuestras credenciales de acceso a alguna cuenta, debemos cambiarlas lo antes posible por unas más seguras y únicas. También debemos activar la verificación en dos pasos si está disponible.
- Contactar con la entidad suplantada: Si hemos recibido un mensaje fraudulento que suplanta la identidad de una entidad de confianza, debemos contactar con ella para informarle del hecho y seguir sus indicaciones. También debemos denunciar el mensaje como spam o phishing en nuestro servicio de correo electrónico.
- Contactar con el banco o la policía: Si hemos facilitado nuestros datos bancarios o hemos realizado alguna transferencia a una cuenta sospechosa, debemos contactar con nuestro banco para informarle del hecho y bloquear nuestra tarjeta o cuenta. También debemos poner una denuncia ante la policía o la guardia civil para iniciar una investigación.
- Contratar a un perito informático: Si necesitamos aportar pruebas de que hemos sido víctimas de un phishing en un proceso judicial, debemos contratar a un perito informático que pueda realizar un informe pericial que certifique la autenticidad y la integridad de las evidencias digitales. Un perito informático puede utilizar diferentes técnicas y herramientas para determinar si un mensaje, una web o un archivo ha sido manipulado o infectado.