¿Olvidaste tu contraseña?

×
Phishing: ¿qué es y cómo protegernos?

Phishing: ¿qué es y cómo protegernos?

por Santiago Borges en Artículos

Trabajar en Internet puede ser peligroso, ya que ahí fuera hay gran cantidad de personas malintencionadas que buscan robar nuestros datos. Esto puede ocurrir de muchas formas distintas, pero una de las técnicas más utilizadas por los delincuentes de la red es el llamado phishing.

¿Qué es el phishing?

El phishing está entre los ataques más comunes que podemos sufrir en la red. Consiste en utilizar un engaño para obtener información sensible, una maniobra muy común dentro de la ingeniería social.

En el phishing, generalmente se utiliza un correo, un mensaje de texto o un sitio web falso que se hace pasar por uno legítimo. El objetivo principal de esta técnica es robar datos sensibles, como pueden ser por ejemplo números de tarjeta de crédito, credenciales de cuentas bancarias, credenciales de acceso a sistemas protegidos, entre otros.

A menudo, quienes lanzan un ataque de phishing se hacen pasar por instituciones bancarias, agentes del gobierno o representantes de servicios populares de Internet, como por ejemplo Facebook, Gmail, entre otros.

Como decíamos, el phishing hace uso de la ingeniería social, es decir que la idea es manipular a la víctima para creer que está hablando con una persona legítima o para que crea que está introduciendo datos en un sitio web legítimo.

Para engañar a sus víctimas más fácilmente, los delincuentes que emplean esta técnica a menudo tratan de instaurar en la persona una sensación de miedo, de urgencia, de alarma o simplemente de curiosidad, todo lo cual puede hacer que se tomen decisiones precipitadas.

Si bien puede parecer una técnica simple, lo cierto es que el phishing es una de las que más éxito tiene, no en vano su uso ha aumentado mucho en años recientes, de hecho la empresa de ciberseguridad Kaspersky indicó en 2023 que hubo un aumento de un 617% en ataques de phishing en América Latina.

La palabra phishing es de origen inglés y no tiene una traducción directa al español. Esta palabra procede de “fishing” (pescar), en alusión a que se trata de una técnica usada para “pescar” datos mediante el uso de un “cebo” para llamar la atención de la víctima.

Qué es el phishing

Funcionamiento del phishing

Ahora que ya sabemos en qué consiste esta técnica, vamos a adentrarnos un poco más en lo que es su funcionamiento, porque en realidad con lo explicado en el punto anterior sólo estamos viendo la punta del iceberg. El funcionamiento del phishing está basado en 4 pasos que detallaremos a continuación.

Lo primero que hace el atacante es «lanzar el anzuelo», es decir enviar un mensaje o un email a la víctima, haciendo parecer que viene de una fuente legítima como podría ser un banco, una compañía reconocida, un colega del trabajo, un familiar, etc.

El paso 2 es el de la carnada. El mensaje recibido está redactado de forma que pueda instaurar urgencia o curiosidad en la víctima, buscando una reacción rápida. A menudo los mensajes de este tipo suelen decir algo como “Tu cuenta está por ser suspendida” o “Has recibido un documento compartido”.

La siguiente fase es la trampa, donde la víctima por lo general es llevada a un sitio web falso. Dependiendo del ataque este sitio web puede ser similar al de un banco, al de servicios online, o incluso similar a la página de inicio de sesión de un email. La idea es que la víctima coloque sus credenciales u otra información valiosa en el sitio falso, de forma que los datos puedan ser robados fácilmente.

El paso final ocurre cuando la víctima termina de caer en la trampa y suministra los datos sensibles. Aquí es cuando el asunto se pone más serio que nunca, ya que el delincuente tendrá una información valiosa en sus manos y puede provocar toda clase de problemas con ella, desde robo de dinero hasta suplantación de identidad o incluso robo de datos corporativos.

El problema del phishing es que este tipo de mensajes se están volviendo cada vez más comunes y más sofisticados, al punto de que incluso personas con muchos conocimientos en informática y/o en seguridad pueden caer en este tipo de trampas si no tienen cuidado.

Tipos de phishing más comunes

Tipos de phishing

El phishing puede adoptar muchas formas dependiendo del método usado y de quién sea la víctima, así que veamos ahora cuáles son los tipos de phishing más comunes que podemos encontrar.

  • Phishing de email: es el tipo de phishing más común y el más utilizado. En este tipo de ataque, el atacante envía un email masivo haciéndose pasar por alguna entidad oficial, buscando que algún usuario ingrese en enlaces maliciosos o proporcione datos valiosos. El uso del registro SPF y del registro DMARC es imprescindible para combatirlo.
  • Spear phishing: estos son ataques cuidadosamente fabricados que suelen tener como víctima una persona en particular, y son comunes dentro del email spoofing. El atacante suele hacer una investigación y seleccionar a la víctima cuidadosamente. Suelen ser ataques con un porcentaje alto de éxito, pero no son tan populares como los del primer tipo.
  • Ataque de whaling: esta es una forma de phishing masivo pero en menor medida, y apunta principalmente a ejecutivos o miembros de alto rango dentro de una empresa o entidad. Para captar la atención suelen usarse mensajes relacionados a temas legales o de negocios.
  • Smishing: el smishing es un phishing realizado por medio de un envío masivo de SMS. Estos mensajes suelen tener links maliciosos o números de teléfono que pretenden hacerse pasar por bancos, servicios online, etc.
  • Vishing: son ataques realizados por medio de una llamada telefónica. En este caso, el atacante pretende ser representante de un banco, trabajar en el área de soporte de una empresa o ser un oficial del gobierno.
  • Phishing de clonación: en este tipo de ataque, el delincuente ha logrado infiltrarse en una cadena de correos legítima, la cual posteriormente clona y modifica algún detalle como un enlace o un archivo adjunto para engañar a la víctima. Es una maniobra que suele tener mucho éxito.

Señales de advertencia

Si bien algunos mensajes de phishing suelen verse bastante convincentes, a menudo también contienen pequeñas pistas que nos ayudan a identificar que algo no está bien. Conocer estas señales de advertencia nos puede ayudar a evitar caer en la trampa.

En primer lugar, muchos mensajes de phishing tienen faltas de ortografía y errores gramaticales. Las empresas y servicios legítimos suelen revisar lo que envían antes de hacerlo, así que si notas algún mensaje con varias faltas ortográficas, una estructura extraña o palabras raras o mal empleadas, es posible que estés frente a un mensaje de phishing.

Otra red flag bastante común son la dirección del emisor y la URL a la cual nos quieren hacer llegar. A menudo serán nombres familiares o que parecen legítimos, pero es importante examinarlos cuidadosamente, por ejemplo no es lo mismo recibir un correo de soporte@paypal.com que de soporte@paypa1.com (nótese el 1 reemplazando a la letra L). Ante la duda es buena idea ver las cabeceras del correo para comprobar si viene de una fuente legítima.

Los enlaces extraños y archivos adjuntos inesperados también son otra posible señal. Si no esperabas un archivo adjunto o un enlace, entonces no los abras, mucho menos si en el mensaje te urgen a hacerlo.

Otro caso común son los mensajes genéricos que empiezan con “Querido cliente” o “Querido usuario” y similares en vez de tu nombre, esto puede ser una señal de un envío de phishing en masa.

La sensación de urgencia o las amenazas también van de la mano con el phishing. A menudo se suele indicar que hay pagos pendientes o que la cuenta de un servicio pronto será suspendida. Si bien este tipo de mensajes pueden ser perfectamente legítimos, debemos revisarlo con cuidado para no caer en posibles trampas. En todo caso, podemos consultar al proveedor real del servicio si nos enviaron dicho mensaje.

Finalmente, otra característica común es la solicitud de información personal o de información financiera. Las empresas legítimas rara vez te solicitarán tu contraseña, tu número de tarjeta o detalles sensibles de tu cuenta bancaria.

Cómo protegernos

Si bien es cierto que las técnicas de phishing han ido evolucionando con los años, lo cierto es que hay varias formas en las que podemos protegernos.

  • Verificar antes de hacer click: antes de ingresar en un enlace, pasa el puntero por encima a ver si te dirige a la dirección correcta. Si ves algo extraño, no hagas click. Revisa la dirección del remitente y su dominio.
  • No compartir información sensible: como ya hemos dicho, las empresas legítimas rara vez te solicitarán datos importantes como contraseñas, y mucho menos mediante email. Ante la duda, contacta a la compañía en cuestión mediante sus canales oficiales.
  • Activar la autenticación multifactor: la autenticación multifactor (MFA) añade una capa extra de seguridad a nuestras cuentas, de esta forma incluso si alguien logra obtener tus datos no podrá acceder completamente a tu cuenta sin tener el código MFA correcto (el cual nunca deberías compartir con nadie).
  • Usa un antivirus con protección en tiempo real: los antivirus que incorporan funciones de protección en tiempo real son capaces de identificar URLs maliciosas que estén en su base de datos, y así impedir que ingreses en ellas incluso después de haber hecho click en un enlace malicioso.
  • Utiliza filtros antispam: los filtros antispam son estupendos para bloquear el phishing, ya que son capaces de identificar diversos patrones y verificar la procedencia del correo, a menudo descartando el mensaje automáticamente o marcándolo como spam, según cómo esté configurado.
  • La educación es imprescindible: tomar lecciones sobre ciberseguridad regularmente es buena idea, y no nos referimos a cursos enteros, sino a asistir a charlas puntuales o ver videos online sobre los intentos de estafa y phishing que están de moda. Es buena idea que las compañías realicen jornadas de capacitación sobre seguridad para entrenar a sus empleados, principalmente aquéllas que están menos relacionadas al sector IT.

Conclusión

El phishing representa una amenaza real que no podemos subestimar. Por más simples que parezcan, estos ataques son efectivos y están en constante evolución. La buena noticia es que, con un poco de atención y algunas buenas prácticas, podemos reducir considerablemente el riesgo. Estar informados, dudar ante lo sospechoso y reforzar nuestra seguridad son pasos clave para navegar con mayor confianza en Internet.

¿Te gustó el artículo? Compártelo:

Santiago Borges

Escrito por Santiago Borges

Departamento Técnico VIP, asignado a brindar soporte de forma exclusiva a clientes de alto tráfico y con requerimientos de programación. Además, es un experimentado SysAdmin, que se encargará de que recibas la mejor asistencia ante cualquier problema. Actualmente está cursando estudios de RHCE y posee certificaciones en Inglés por la Universidad de Cambridge. Conoce más sobre él desde su perfil de LinkedIn.

    Recibe en tu correo electrónico toda la información sobre hosting, desarrollo web y dominios

    Términos y Condiciones de Servicio

    Infranetworking Internacional - Copyright 2002-2025
    Todos los derechos reservados.