Phishing: ¿Qué es y cómo puedes evitarlo?

Para mantener tus datos seguros cuando navegas en internet te explicaremos qué es el phishing y cómo evitarlo. Lo primero que vamos a hablar es sobre cómo funciona esta actividad delictiva y cuáles son los tipos de phishing que hay. También te explicaremos de manera detallada cómo reconocer un mensaje de un estafador digital y cuáles son los pasos que tendrás que hacer para evitar el phishing. No te pierdas de ningún detalle porque vamos a darte una lista con consejos para protegerte contra el phishing y poder proteger tu información confidencial de manera segura. Echa un vistazo a todo lo que hemos preparado para ti.

😨 ¿Qué es phishing?

Saber qué significa el phishing te ayudará a mantener tus contraseñas seguras de cualquier ataque por internet. El phishing es una forma de estafa en línea en la que un atacante intenta instigar a un usuario para que revele información privada, tales como credenciales de acceso, números de tarjeta de crédito o datos bancarios.

Estas tácticas se realizan a través de correos electrónicos o sitios web falsos que imitan el aspecto de sitios de internet de confianza. A menudo, el phishing se hace con el objetivo de engañar a los usuarios a que ingresen su información de modo sutil y sin que se den cuenta de que están en una web falsa, pero con características similares a la original.

🤔 ¿Cómo funciona el phishing?

Te diremos a continuación cómo funciona el phishing para que estés a salvo cuando navegues por internet:

El estafador envía correos electrónicos o mensajes

Para que el phishing pueda robar información confidencial, es necesario que el usuario ingrese engañado a una página maliciosa creada por el pescador digital. La única manera de lograrlo es burlando a la víctima y haciéndole creer que un organismo o institución real (el cual es de confianza del usuario) le envió un correo electrónico, mensaje instantáneo por redes sociales o mensajes textos. Dentro del cuerpo del aviso se le advierte a la víctima de alguna situación poco frecuente.

Se añaden link o archivos ejecutables dañinos

Cuando el destinatario del correo abre el mensaje, aparece un aviso que contiene enlaces o archivos adjuntos maliciosos, los cuales permiten descargar un software espía o malware que se instalará en la computadora o celular.

Los estafadores crean sitios falsos

Los atacantes más sofisticados usan técnicas de ingeniería social para engañar a los usuarios al proporcionarles información personal, tales como nombres, números de cuenta bancaria y fechas de vencimiento de tarjetas de crédito. A este trabajo lo acompañan con sitios web falsos que parecen legítimos, con el fin de recopilar información confidencial de los usuarios.

La víctima es estafada

Una vez que el usuario hace clic en el enlace, descarga el archivo ejecutable o ingresa al sitio propuesto por el estafador colocando su información personal, el atacante toma conocimiento de los datos más importante del usuario. Esto lo va a utilizar para acceder con sus contraseñas a entidades bancarias, tarjetas de créditos, seguros, servidores de correos electrónicos y a cualquier plataforma de interés.

😧 Tipos de phishing

Los distintos tipos de phishing que se conocen en la actualidad son:

Phishing por correo electrónico

Consiste en enviar correos electrónicos falsos con el fin de engañar a un usuario para que revele información confidencial. Se lo conoce también como Bulk Phishing, Spray and pray, General o Tradicional.

Phishing en sitios web

Implica la creación de sitios web falsos para atraer a usuarios desprevenidos y persuadirlos para que ingresen su información. Con el URL Phishing se crean sitios web que suelen ser una réplica casi exacta de la página legítima a la que pretenden imitar.

Phishing por SMS

Esta forma de phishing, llamada en algunos ataques como Smishing, se lleva a cabo a través de mensajes de texto falsos que se envían a los usuarios con el fin de engañarlos para que proporcionen información sensible.

Phishing telefónico

Conocido también como Vishing, por la unión de voice y phishing. Está relacionado con el Phishing SMS, ya que el atacante necesita acceder al teléfono de la víctima por alguna clave recibida en el celular. Una vez que obtiene el token, el estafador consigue la información confidencial que buscaba.

Search Engine Phishing

El Phishing Search Engine es un fraude en el que se emplea un sitio web de phishing indexado para que aparezca en los principales motores de búsqueda. Pueden mostrar una lista de productos a precios muy baratos, empleos increíbles o premios con cifras millonarias. Una vez que la víctima se registra en la web falsa, se accede a toda su información sensible.

Phishing por VoIP

Se trata de una forma de phishing telefónico en donde los estafadores realizan llamadas de voz por IP a los usuarios con el fin de obtener información confidencial.

Phishing por Mensajería

En este caso, los piratas informáticos envían mensajes directos a través de aplicaciones de mensajería como WhatsApp, Facebook Messenger y demás plataformas para engañar a los usuarios y convencerlos de ingresar información sensible.

Recuerda que la palabra phishing significa suplantación de identidad, por lo que es imperativo que lo evites.

Phishing por Wifi o Addline

El phishing Addline es una técnica de phishing a la que recurren los ciberdelincuentes para engañar a los usuarios que se conectan a redes de Wifi públicas. Al compartir la misma red con el estafador, la víctima autoriza, sin saberlo, la conexión de cualquier dispositivo conectado a su estructura de nodos.

Phishing por código QR o Qrishing

En esta práctica fraudulenta el atacante crea un código QR para que la víctima escanee el gráfico con su teléfono y abra un enlace de phishing. El atacante distribuye el código QR de varias formas, incluyendo: como una imagen adjunta en un correo electrónico, publicándolo en una red social e imprimiéndolo y distribuyéndolo en lugares públicos.

Phishing Whaling

Es un tipo de ataques de phishing dirigidos de forma específica a los altos ejecutivos o personas importantes. El ataque se centra en controlar la cuenta de correo electrónico con información confidencial para cometer fraude. Los estafadores pueden hacerse pasar por un compañero de trabajo, cliente o proveedor para capturar información financiera.

Phishing BEC (Business Email Compromise)

Esta forma de fraude se dirige, por lo general, a departamentos financieros y contables por medio de un correo electrónico que se hace pasar por un gerente de alto nivel, un proveedor de confianza o un socio de negocios. Los delincuentes tratan de engañar a los destinatarios para que realicen transferencias bancarias importantes o compartan información sensible.

Spear Phishing

Esta técnica de phishing se enfoca en una persona específica, objetivo o grupo para obtener nombres de usuarios y contraseñas y con ello, acceder a cuentas bancarias. Es más precisa que el phishing común y es más difícil de detectar, ya que se dirige a un objetivo específico enviando un mail directo al objetivo con un mensaje personalizado.

Hardware Phishing

Se lo conoce también como Hishing, se trata de una técnica en la cual el atacante crea dispositivos que imitan a un hardware de entrada de confianza, como un mouse, teclado o memoria USB. Los elementos falsos permiten al autor del ataque tomar control completo del dispositivo objetivo y robar información confidencial.

🤓 ¿Cómo saber si una página es confiable?

Para saber si una página es confiable, es importante que tengas en cuenta estos aspectos:

  • Controla si el dominio contiene HTTPS: el protocolo de seguridad es fundamental para evitar que terceros intervengan en la transmisión de datos. Por lo general, la URL de los sitios de phishing comienzan con HTTP, dejando de lado la última letra.
  • Verifica la dirección URL: una forma sencilla de saber si un sitio web es legítimo es revisando su dirección web. La dirección de los sitios de phishing a menudo contiene errores de ortografía, el nombre está mal escrito o existe suplantación de números por letras.
  • Controla los detalles de tu sitio de confianza: en caso de que seas un asiduo visitante a una web de tu confianza y notas que los gráficos han cambiando o te pide que ingreses tu contraseña y usuario para acceder, no lo hagas porque es un sitio falso que emula a una web original.
  • Busca el sello de seguridad: los sitios web confiables normalmente tienen un sello de seguridad en la parte inferior de la página que indica que se han tomados pasos adicionales para garantizar la seguridad de los usuarios.
  • Lee los términos y condiciones: asegúrate de leer todos los términos y condiciones para entender cuáles son tus derechos y responsabilidades al usar el sitio. Si la terminología y los términos son confusos o poco claros es mejor buscar otra página.
  • Busca información sobre la página: lee reseñas en línea sobre el sitio web para ver cuáles son las opiniones de otras personas sobre la experiencia de usuario.
  • Verifica la privacidad de la información: esta es una de las formas más importantes de saber si un sitio web es legítimo o no. Revisa si hay información sobre la privacidad y cómo se manejan tus datos.

📝 ¿Cómo reconocer un mensaje de phishing? Guía Paso a Paso

Te mostraremos a continuación una guía para saber cómo reconocer un mensaje de phishing, empecemos:

Verifica la dirección de correo electrónico del remitente

La mejor manera de revisar la dirección de correo electrónico del remitente para evitar el phishing es comparar la dirección de correo electrónico indicada con la dirección de correo electrónico real del remitente. Si hay alguna diferencia, es posible que se trate de un intento de phishing. También es importante buscar cualquier error ortográfico o palabras extrañas en la dirección de email.

Examina la dirección URL del enlace

Siempre es mejor examinar la dirección URL antes de hacer clic en un enlace. Si la dirección URL no es de confianza o no es la dirección oficial de la organización, quiere decir que podría tratarse de un mensaje de phishing. Si los primeros caracteres del enlace contienen “https://”, es una buena señal de seguridad, ya que significa que la conexión se realiza de forma confiable. También se debe comprobar si la dirección contiene un nombre de dominio que difiere del que supuestamente se requiere.

Busca errores gramaticales y de tipeo

Los mensajes de phishing generalmente tienen errores gramaticales u ortográficos. Puedes verificarlo de la siguiente manera:

  • Utiliza un corrector ortográfico.
  • Revisa el uso de palabras en mayúsculas o busca signos de admiración al redactar el texto.
  • Lee con atención todas las palabras.
  • Presta atención al cambio de letras por números y viceversa.

Presta atención a errores de diseño en el mensaje y en la web

Los mensajes de phishing usualmente tienen errores de diseño, calidad baja en imágenes, colores y textos desalineados. Es conveniente que el mensaje contenga el logo y el nombre de la empresa o institución que lo ha enviado, pero recuerda que esto no es garantía. Si se trata de una página web, es crucial que cuente con un certificado SSL válido para ofrecer la seguridad de los sitios legítimos.

Examina el asunto del email

Los mensajes de phishing tienden a tener asuntos urgentes para hacer clic en el vínculo, lo cual es una señal de un intento de phishing. Piensa con calma antes de acceder a una página que te ofrece beneficios muy grandes o desean contactarse contigo para ofrecerte una gran recompensa.

💪 ¿Cómo evitar el phishing? Guía Paso a Paso

Si quieres saber cómo evitar el phishing y mantener tus datos seguros, presta atención a nuestra guía con el paso a paso que tendrás que seguir:

No abras correos o mensajes dudosos de tus contactos

Nunca abras correos, mensajes o archivos adjuntos cuando los remitentes son conocidos para ti, pero la relación que tienes con esa persona no trata de temas referidos en el mensaje en cuestión. Si conoces a alguien cuyo nombre aparece como remitente del mail, habla con él para constatar el contenido. Además, si los enlaces incluidos en el correo no son del tipo que esperabas, entonces es mejor no acceder a ellos, ya que podrían contener datos suplantados.

Utiliza un software antivirus

Uno de los mejores y más utilizados software antivirus para evitar el phishing es el ESET Internet Security, aunque puedes elegir cualquier herramienta que proporcione una protección avanzada para bloquear el acceso a sitios web sospechosos, detectar y bloquear el phishing. Lo importante es que sea fácil de configurar y gestione la seguridad de tu PC de modo online.

No instales archivos ejecutables

Los archivos están compuestos por un nombre seguido de una extensión, la cual sirve para saber qué tipo de archivo es y qué trabajo es capaz de hacer. Los archivos que te recomendamos que nos los abras tendrán alguna de estas extensiones:

ExtensiónFormatoDescripción
.exeArchivo ejecutable.Es una aplicación que se ejecuta en Windows o en basados en este sistema operativo.
.batArchivo de procesamiento por lotes.Es un archivo de texto con comandos ejecutables.
.comArchivo ejecutable.Comandos ejecutables en MS DOS.
.tmpArchivo temporal.Son creados de forma automática para el almacenamiento no definitivo. En phishing muchos archivos ejecutables se esconden bajo esta extensión.

Desconfía de los emails que recibas

Siempre debes analizar la dirección de la URL del sitio antes de ingresar tus credenciales o información sensibles. Nunca abras archivos adjuntos o hagas clic en enlaces de emails de remitentes desconocidos y, en caso de que, estés invitado a visitar un sitio seguro, nunca uses enlaces que hay en los emails para acceder a él, sino ingresa de forma directa a la dirección de la página que conoces que es segura.

Actualiza el sistema operativo y el antivirus

Debes asegurarte de mantener al día tus software y sistemas, ya que los programas antispam pueden ayudarte a bloquear los emails de phishing. También es recomendable mantener activa la autenticación de dos factores en tus cuentas online para que tengas un extra de seguridad.

Ten en cuenta que las instituciones bancarias no solicitan datos mediante mensajes o correos, por lo que si te los solicitan, definitivamente se trata de un mensaje phishing.

✨ Consejos para protegerse contra el phishing

Te recomendamos que tengas en cuenta estos consejos para protegerse contra el phishing:

Utiliza una solución de seguridad

Al emplear en tu computadora: al utilizar una solución de seguridad como un antivirus o herramientas de antispyware, tendrás una protección adicional contra el software malicioso diseñado para realizar el phishing. Recuerda mantener actualizado estos programas para detectar el malware más reciente.

Verifica la dirección URL

Ten cuidado y presta atención a la dirección URL antes de ingresar sus datos personales en un sitio web. La dirección URL de un sitio web falso suele ser ligeramente diferente del sitio web legítimo.

No abras emails sospechosos

Los correos electrónicos falsos aparentan provenir de instituciones bancarias, sitios web populares y organizaciones de confianza. No abra dichos correos electrónicos ni intentes acceder a páginas que te recomiendan en el cuerpo del mensaje. Tampoco debes entrar en las redes sociales del remitente del mensaje, ya que en esas plataformas también agregan links para estafar.

No hagas clic en los enlaces de dudosa procedencia

Puede que los enlaces que recibes en un correo electrónico parezcan legítimos, pero cuando pulsas en ellos, los usuarios pueden redireccionarte a páginas web falsas que contengan software malicioso. Por tanto, no hagas clic en los enlaces de dudosa procedencia, especialmente los remitidos vía correo electrónico.

Franco Barriga
Franco Barriga
Experto en Marketing desde 2006. Fanático de Android y redes sociales. Manejo herramientas audiovisuales que complementan mi trabajo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir a la barra de herramientas