El phishing es un ciberdelito que consiste en engañar al destinatario para que realice una determinada acción mediante la suplantación de la identidad de una autoridad, un jefe o alguien de su confianza.

El término phishing proviene de la palabra inglesa "fishing" (pesca), en referencia a la necesidad de que las víctimas "muerdan el anzuelo" y se utiliza desde mediados de lo años 90.

Cómo funciona el phishing

Todo phishing comienza con el envío de un mensaje fraudulento disfrazado de legitimidad. Cuanto mejor sea la imitación, más probabilidades de éxito.

Los delincuentes copian y clonan correos electrónicos legítimos enviados anteriormente que contengan un enlace o un archivo adjunto y los sustituyen por los fraudulentos.

Estos mensajes invitan al/a la usuario/a a realizar acciones como hacer clic en un enlace, revelar determinada información, actualizar contraseñas, indicar sus datos para recoger un supuesto premio...

Para conseguir sus fines, los ataques de phishing se basan en la ingeniería social y en la manipulación psicológica; es decir, utiliza las relaciones de confianza, la cercanía, la posición o la buena reputación de una persona e incluso la adulación.

¿Qué se consigue con el phishing?

El phishing es una puerta abierta al ciberdelicuente y le permite conseguir múltiples objetivos y datos:

  • Sabotear dispositivos o sistemas operativos

  • Suplantar la identidad

  • Conseguir datos e información confidencial de clientes

  • Robar contraseñas

  • Realizar operaciones bancarias

  • Acceder a servicios de proveedores

  • Instalar malware

Tipos de phishing

Hay muchos tipos diferentes de phishing, en función de los canales y métodos de ejecución utilizados, aunque la intención final siempre es la misma. Algunos de los más habituales son:

  • Phishing “estándar”. En su forma más genérica, el phishing consiste en el envío masivo de correos que contienen archivos maliciosos.

  • Vishing. En este caso, el engaño se realiza por vía telefónica. Un clásico es la llamada de teléfono en la que, haciéndose pasar por su banco o empresa proveedora de algún servicio, se pide al usuario su código o contraseña.

  • Smishing. Los ciberdelicuentes utilizan sms o whatsapps.

  • Qrishing. Utiliza los códigos QR para suplantar páginas web auténticas y provocar el clic en urls fraudulentas.

  • Whaling. Se trata de un phishing más sofisticado y personalizado, con mensajes directos a personas con accesos o responsabilidades en áreas críticas.

Cómo detectar un ataque de phishing

Las técnicas de phishing, como todas las relativas a delitos informáticos, son cada día más elaboradas y difíciles de detectar.

Sin embargo, hay una serie de recomendaciones básicas que puedes tener en cuenta para detectar ataques de phising.

  • Los correos o mensajes suelen contener el logotipo o la imagen de marca de la entidad, aunque muchas veces no son idénticos (colores, tipografía, tamaño) e incluyen errores gramaticales y/o caracteres extraños.

  • Los mensajes recibidos transmiten urgencia y prisas y dejan entrever cierta amenaza si no se realiza de manera inminente la acción solicitada.

  • Correos y enlaces llevan a urls similares pero que no concuerdan exactamente con las legítimas.

  • Revisa con detenimiento el remitente para confirmar que es quien dice ser.

  • Descarga actualizaciones o programas siempre desde las páginas oficiales o de reconocida credibilidad.

Y, en general, recuerda que empresas e instituciones nunca van a pedirte información personal y confidencial de esa manera. En caso de duda, no hagas nada y contacta con el remitente a través de los canales oficiales.

Por otro lado, si sufres o crees que has sufrido un ataque de phishing, siempre es buena idea contactar con los organismos especializados, como el INCIBE y, en Galicia, el CSIRT.gal.