¿Qué es el phishing?

El phishing es una técnica de fraude cibernético que engaña a la víctima para extraerle datos o información relevante a través de mensajes en nombre de organizaciones oficiales que son falsos. Si quieres saber más sobre el phishing te lo explicamos aquí con detalle.  

¿En qué consiste el phishing? 

Con el nombre de phishing se conoce un tipo de ataque informático o ciberataque basado en el envío de correos electrónicos que aparentemente proceden de fuentes de confianza pero que en realidad pretenden manipular al receptor para robar información confidencial. 

El término «phishing» proviene de una combinación de las palabras «fishing» (pesca) y «phreaking» (piratería de teléfonos), y se utiliza para describir el proceso de «pescar» información confidencial de manera fraudulenta. 

Este ataque suplanta la identidad de compañías u organismos públicos que solicitan información personal y bancaria al usuario. Emplean un enlace que se incluye en el email se redirige al usuario a una página web fraudulenta para que introduzca su número de tarjeta de crédito, DNI, la contraseña de acceso a la banca online, etc. 

¡Fórmate en Curso de Especialista en Ciberseguridad!

Descarga gratis la guía formativa

¿Cómo son los ataques de phishing? 

En el mail de un ataque de phishing el enlace web se trata de parecer lo máximo posible al de la empresa real e invita a la víctima a introducir sus datos personales. El mail incluye también el logotipo o la imagen de marca de la entidad y puede llevar un archivo adjunto con software malicioso para pasárselo al equipo del destinatario y robar así su información personal, datos bancarios etc. 

Existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas potenciales de los hackers.  

El mail suele ser el método más empleado para el phishing, pero existen otras vías de comunicación empleadas por el ciberdelincuente como los sms o los mensajes instantáneos en diferentes redes sociales.  

Existe el phishing de voz o smishing pero realizado a través de una llamada telefónica.  

¿Qué tipos de phishing existen? 

A continuación, te contamos qué tipos de phishing te puedes encontrar:  

• En el phishing angler los atacantes se hacen pasar por organizaciones legítimas y solicitan información personal de las víctimas con tarjetas de regalo, descuentos etc.  
• El phishing pop-up contiene una oferta o un mensaje de advertencia en una ventana emergente, que generalmente lleva un enlace malicioso para solicitar datos personales.  
• El spear phishing se dirige a personas específicas cuyos detalles personales el atacante ya conoce hasta cierto punto.  
• En el whaling los atacantes se dirigen a ejecutivos u otros miembros importantes de una organización para conseguir información que les dé acceso privilegiado al entorno.  
• El clone phishing, se caracteriza porque los atacantes envían correos electrónicos a las víctimas con apariencia de proceder de remitentes en los que la víctima confía.  
• En el phishing evil twin los atacantes atraen a las víctimas con un punto de acceso wifi de aspecto confiable y luego llevan a cabo ataques de intermediario, interceptando la transferencia de datos de las víctimas a través de la conexión.  
• En el caso del pharming, los atacantes secuestran la funcionalidad de un servidor del sistema de nombres de dominio (DNS) para que redirija a los usuarios a un sitio web falso malicioso. 

Un ejemplo claro de phishing es por ejemplo una persona que recibe un correo electrónico o un mensaje de texto. En este mensaje le habla de una oferta especial a punto de caducar o una sospecha de robo de identidad y solicita que inicies sesión en su cuenta bancaria. Se vincula a una página web de inicio de sesión simulada y la víctima le da al atacante de este modo y sin enterarse sus credenciales de inicio de sesión. 

¿Cómo detectar y prevenir el phishing? 

Un mensaje sospechoso de phishing suele llevar diferentes llamadas a la acción e indicaciones de urgencia. El objetivo es conseguir que el usuario actúe de inmediato ante el estímulo sin pararse a pensar en los posibles riesgos que conlleva la acción. 

No siempre es sencillo reconocer un mensaje de phishing, sin embargo, no es habitual que empresas públicas o privadas te pidan datos personales a través de correo electrónico. 

Habitualmente estos mails suelen tener faltas de ortografía o incoherencias. Debemos fijarnos en la dirección del remitente para comprobar si se trata de un remitente oficial o no. Comprueba si contiene caracteres o palabras que no son propios de la compañía en nombre de la que recibes ese mail. 

Si accedes al enlace que figura en el mail, evita ante todo dejar tus datos bancarios o personales en ese link. 

En el caso de que el mail venga con un archivo adjunto, no lo descargues bajo ningún concepto. No facilites datos confidenciales o contraseñas. Comprueba que tu sistema operativo, navegador y aplicaciones de tu dispositivo estén actualizadas.  

Para evitar el phishing es importante contar siempre con un antivirus profesional. 

 Descarga las aplicaciones desde webs oficiales, no lo hagas desde enlaces incluidos en este tipo de comunicaciones. Vigila que los sitios web donde introduces tus datos personales sean seguros. El primer paso de un sitio web seguro es que empiece por «https://», lo que implica que sigue el protocolo de transferencia de hipertexto, y que el navegador muestre el icono de un candado cerrado. Revisa facturas y cuentas bancarias online cada cierto tiempo para estar al tanto de cualquier irregularidad en las transacciones. 

El mejor consejo para evitar el phishing es que seas lo más prudente posible y que no abras nada que sea mínimamente sospechoso. 

¿Qué estudiar para saber más sobre phishing? 

Si deseas saber más sobre phishing, lo ideal es que te formes de manera especializada con un curso de especialista en ciberseguridad. Con un curso en esta materia te convertirás en un profesional con conocimientos avanzados en informática y en materia jurídica (derecho informático) para el examen apropiado del material electrónico, del cual se deben extraer las evidencias digitales que serán tenidas en cuenta como pruebas en cualquier litigio. 

Esta profesión se ha convertido en altamente demandada en el entorno laboral debido a que los delitos digitales son cada vez más comunes. Solo en España, en el año 2020 se registraron más de 1 millón de infracciones cibernéticas. 

Los especialistas en ciberseguridad son los aliados perfectos para mantener a raya a estos criminales. Si estás pensando en dedicarte a la protección de la seguridad en la red, necesitarás una gran especialización y conocimientos avanzados en derecho e informática. 

Entre los contenidos de este tipo de curso en ciberseguridad vas a ver algunos como peritaciones en áreas diversas, seguridad en equipos informáticos, auditoría de seguridad informática, gestión de incidentes de seguridad informática, sistemas seguros de acceso y protección de datos 

En el entorno de la ciberseguridad existen también cursos de hacking ético donde conseguirás unas competencias elementales para penetrar en los sistemas, detectar vulnerabilidades y sentar las bases para protegerlos de ciberataques. 

Ahora ya sabes qué es el phishing, en qué consiste y cómo puedes prevenirlo. Si deseas conocer más sobre este tema y formarte de manera profesional puedes optar por una academia a tu medida y especializada como Campus Training. ¿Comenzamos?