¿Qué es el phishing y cómo evitarlo?

Ciberseguridad

Tokio School | 06/05/2022

Los timos, las estafas y los engaños son algo que siempre han existido, pero, desde la aparición y masificación del uso de Internet, este riesgo se ha trasladado a la red. Esto es el phishing, una estafa, una serie de técnicas que buscan engañar a empresas o usuarios para poder robar datos o información personal y confidencial.

En este contexto, la prevención del phishing se ha vuelto imprescindible, tanto a nivel usuario como a nivel de empresa. Con los años, las personas se han vuelto hábiles y han estado evitando emails no deseados, pero el phishing puede llegar a crear emails o suplantaciones verdaderamente creíbles.

Por ese motivo, la demanda de expertos en Ciberseguridad ha ido en aumento en los últimos años. Expertos en seguridad informática que se han formado con un máster o un curso de especialista en Ciberseguridad y que son capaces de detectar y prevenir el phishing y otras amenazas a la seguridad de los sistemas.

¿Qué es el phishing?

El phishing es, como decíamos una estafa, un timo como los que se producen fuera del ámbito tecnológico, solo que, en este caso, la estafa emplea la confianza depositada para poder acceder a cuentas y dispositivos de la persona o empresa estafada. El phishing emplea técnicas de ingeniería social para persuadir a sus víctimas para realicen acciones determinadas que les faciliten el acceso a datos o dispositivos.

Los esquemas de ingeniería social que se emplean atraen a las víctimas con confianza. Esto quiere decir, que explotan la confianza que las personas o empresas pueden tener en otros para infectar los dispositivos con malware que facilite el robo de datos, como, por ejemplo, una tarjeta de crédito.

Cualquier persona que emplee Internet o dispositivos móviles es susceptible de sufrir ataques de phishing

¿Cómo pueden engañar a alguien para que ceda sus datos tan fácilmente? Muchas veces, las personas no están atentas a los pequeños detalles y puede ser sencillo colar la estafa. Por ejemplo:

  • Llega un email que parece de la entidad bancaria u organismo oficial, con un link que lleva a una página prácticamente igual que la original.
  • Una vez dentro, se pide que el usuario se identifique con sus credenciales.
  • Mandan al usuario a la página de verdad tras haber pasado los datos, sin que este se haya dado cuenta, le han robado los datos de acceso.

Este es un ejemplo básico de que es y como funciona el phishing, pero, con la mejora en la seguridad de los sistemas y como los usuarios cada vez están más alerta ante este tipo de engaños, las técnicas de phishing se van refinando con el paso del tiempo.

¿Qué tipos de phishing existen?

Existen distintos tipos de phishing y este no solo se limita a los posibles ataques por malware a través de Internet o email. Llamadas de teléfono, mensajes de texto e incluso url suplantadas a sitios web legítimos. Vamos a ver qué tipos de phishing existen:

Phishing por email

Antes citamos un ejemplo de phishing por email o correo electrónico. En este caso, como comentamos, aparece en la bandeja de entrada un email de una entidad oficial y aparentemente legítima que viene con un enlace.

Este enlace puede llevar a una página en la que pidan que se ingrese usuario y contraseña o a la descarga de un archivo que infecte el ordenador con malware.

El diseño del correo que se usa para el phishing puede llegar a ser realmente elaborado y similar al que mandaría la página legítima. Por eso es importante fijarse bien en la dirección del remitente, que es lo que suelen fallar en estos casos.

Suplantación de dominio

Siguiendo el phishing por email, la suplantación del dominio consiste en crear un dominio web que sea similar al original y que normalmente se usa en los correos para que las víctimas lleguen a él e ingresen sus datos.

Una vez que los datos han sido robados, el procedimiento más frecuente es el de redirigir a las víctimas al sitio web legítimo para no levantar sospechas.

Phishing por voz

Este tipo de phishing se produce a través de llamadas telefónicas en las que una persona se puede hacer pasar por un operador o una empresa de confianza para que la víctima proceda a facilitar datos sensibles.

Phishing por SMS

Similar al phishing por correo electrónico, en este caso tan solo cambia el medio por el que se produce. En lugar de un email, la víctima recibe un sms con un enlace a través del cual se le pueden robar los datos.

Uno de los ejemplos más recientes de este tipo de estafa se produjo este mismo año cuando se produjo una campaña de phishing en la que se hacían pasar por BBVA para robar datos de las víctimas.

Phishing en redes sociales

Las estrategias en las estafas de phishing funcionan de manera similar en todos los medios. Igual que con el correo o con los sms, las redes sociales son otra de las formas que tienen los estafadores de intentar engañar a sus víctimas.

El proceso en redes sociales puede ser un mensaje directo, una petición de amistad para abrir conversación, o incluso la suplantación de la identidad de un amigo. Estas tácticas se refinan más para intentar estafar a más gente, pero también hay ataques muy obvios y burdos que son fácilmente detectables por casi todos los usuarios.

Duplicación y clonación

Este tipo de phishing es algo más elaborado y complejo. Consiste en la duplicación o clonación de mensajes legítimos, con enlaces o archivos adjuntos que se sustituyen por los maliciosos. Esto implica que, de entrada, ya se ha producido algún tipo de brecha en algún dispositivo o sistema.

Se trata de un tipo de engaño que se puede producir tanto a través del correo electrónico como de sms o cuentas falsas en redes sociales.

¿Cómo se puede evitar el phishing?

Como hemos dicho, el phishing es una estafa que se centra en explotar las vulnerabilidades de las personas y no tanto de aprovecharse de las brechas de seguridad de los sistemas.

Por tanto, prevenir este tipo de ataques se tiene que centrar en la educación de los usuarios por un lado y en la implementación de medidas en los ordenadores que detecten este tipo de malware para evitar riesgos y pérdidas mayores.

Estas medidas pasan tanto por la instalación de antivirus (algunos ataques de phishing pueden burlar o deshabilitarlos) como por que los usuarios estén atentos a todos los detalles. Y es que, por lo general, las empresas no suelen pedir información sensible a sus clientes. Además, por otra parte, es importante no introducir datos confidenciales en sitios web que no son seguros.

¿Quieres trabajar en la mejora de los sistemas informáticos?

Ahora ya conoces un poco mejor qué es el phishing, que tipos existen y algunas técnicas con las que poder evitar este tipo de estafa en Internet. Si quieres aprender más sobre cómo mejorar la seguridad en los sistemas informáticos, es el momento de que te formes.

En Tokio te ofrecemos un curso de especialista en Ciberseguridad con el que podrás prepararte para convertirte en un profesional y no solo mejorar tu propia seguridad, sino trabajar como experto en Ciberseguridad, un puesto muy demandado en la actualidad.

¿Quieres saber más? ¡No te quedes con dudas! Ponte en contacto con nosotros y descubre más sobre el curso y las opciones que tienes para formarte como experto en Ciberseguridad. ¡Te esperamos!

Recibe información gratis sin compromiso

¡Te preparamos!

Especialista en ciberseguridad


También te puede interesar...