El phishing es una técnica de ciberdelincuencia que utiliza el fraude, el engaño y el timo para manipular a sus víctimas y hacer que revelen información personal confidencial.
¿Qué es exactamente el phishing?
El phishing es una de las estafas más antiguas y mejor conocidas de Internet. Podemos definirlo como un tipo de fraude en las telecomunicaciones que emplea trucos para obtener datos privados de sus víctimas.
Un ataque de phishing tiene tres componentes:
- El ataque se realiza mediante comunicaciones electrónicas, como un correo electrónico o una llamada de teléfono.
- El atacante se hace pasar por una persona u organización de confianza.
- El objetivo es obtener información personal confidencial, como credenciales de inicio de sesión o números de tarjeta de crédito.
Este es el engaño del que el phishing obtiene su nombre: el ciberdelincuente sale de «pesca» («fishing», en inglés, con la misma pronunciación que «phishing») con un «cebo» atractivo para ver si alguna víctima pica en el vasto «océano» de los usuarios de Internet.
Las letras ph de «phishing» proceden de una afición de mediados del siglo XX, el llamado «phone phreaking», que consistía en experimentar con las redes de telecomunicaciones para averiguar su funcionamiento.
Phreaking + fishing = phishing.
¿Cómo funciona el phishing?
Independientemente de si se desarrollan por correo electrónico, por redes sociales, por SMS o mediante cualquier otro sistema, todos los ataques de phishing siguen los mismos principios básicos.
El atacante envía una comunicación dirigida con el fin de persuadir a la víctima para que haga clic en un enlace, descargue un archivo adjunto o envíe una información solicitada, o incluso para que complete un pago.
¿Cuáles son los efectos del phishing?
La mayor parte del phishing puede dar como resultado el robo de identidades o de dinero, y también es una técnica eficaz para el espionaje industrial y el robo de datos.
¿Cuál es el coste del phishing?
No solo hay daños financieros: en estos casos también se produce una pérdida de confianza.
Tipos de Phishing
Phishing por correo electrónico: los mensajes de correo electrónico son, de largo, el método más común para entregar el cebo del phishing. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados.
Phishing por sitio web: los sitios web de phishing, también conocidos como sitios falsificados, son copias falsas de sitios web que conoce y en los que confía.
Los hackers crean estos sitios para engañarlo de modo que introduzca sus credenciales de inicio de sesión, que a continuación utilizarán para conectarse a sus cuentas. Las ventanas emergentes son otra fuente habitual de phishing por sitio web.
Vishing: esta abreviatura de «voice phishing» (phishing de voz) hace referencia a la versión sonora del phishing de Internet.
El atacante intenta convencer por teléfono a las víctimas para que revelen información personal que pueda utilizarse más adelante para el robo de identidad.
Smishing: el smishing es phishing mediante SMS.
Recibe un mensaje de texto donde se le pide que haga clic en un enlace o descargue una aplicación. Sin embargo, al hacerlo se le engaña para que descargue en su teléfono un malware que puede captar su información personal y enviarla al atacante.
Phishing por redes sociales: algunos atacantes pueden colarse en las cuentas de redes sociales y forzar a la gente a enviar enlaces maliciosos a sus amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.