Másteres Online

Qué es el phishing y cómo funciona

David Guirado
Persona utilizando un ratón de ordenador con holograma de seguridad

Las estafas en internet se producen diariamente y una de las técnicas más utilizadas por los ciberdelincuentes es el phishing. Según el Ministerio del Interior, en 2020 gestionaron más de doscientas mil incidencias recibidas, aumentando en un 50% respecto al año anterior. Por ello, la ciberdelincuencia es una de las cuestiones que más están siendo perseguidas en los últimos años por los servicios de ciberseguridad de todos los países.

Es por esta cuestión que evitar los ataques phishing se ha vuelto de vital importancia para la gran mayoría de los usuarios con el objetivo de mantener a salvo sus datos. Para comprender mejor en qué consiste esta práctica se analizarán algunos ejemplos de phishings y se plantearán recomendaciones para mantener los datos del usuario asegurados.

¿Qué significa phishing?

El término phishing procede de la palabra ‘fishing’ (pescar) y realiza un símil con la pesca de datos que realizan los hackers en los ordenadores de los cibernautas, empresas e instituciones. Existen varias técnicas para robar los datos del usuario, pero el phishing es el método que más utilizan los hackers para acceder a los datos personales.

Tipos y ejemplos de phishing

  • Phising mediante correo electrónico. En este tipo de phishing, los ciberdelincuentes envían a través de correos electrónicos mensajes suplantando la imagen de empresas o entidades pidiendo información personal , como por ejemplo los datos bancarios, los cuales roban cuando se realizan los pasos que indican con la finalidad de pedir un rescate económico o vender esos datos en el mercado negro.
  • Vishing. La finalidad del fraude vishing es la misma que la del phishing, pero utilizan otro método: las llamadas telefónicas. En este caso los delincuentes se hacen pasar por altos cargos de empresas para robar los datos, dándole a las víctimas del fraude una falsa sensación de autoridad y confianza que les llevan a entregar los datos de manera automática.
  • Spear phishing. Este método funciona exactamente igual que el phishing pero con la diferencia que los mensajes van personalizados a cada usuario, con la intención de llamar la atención de los usuarios ya que por instinto se piensa que al estar personalizado es un mensaje de mayor importancia. Un claro ejemplo de spear phishing son aquellos correos electrónicos donde indican el nombre del usuario con un supuesto regalo que ha conseguido por parte de alguna empresa conocida.
  • Smishing. Los smishing funcionan a través de mensajes SMS. Es un método que todavía utilizan ciertas empresas y entidades para enviar comunicaciones importantes a sus usuarios, de ahí que los hackers utilicen este medio para confundir a las víctimas y robarles sus datos. Por ejemplo, los SMS que se reciben confirmando que el envío se ha realizado correctamente por parte de Correos, cuando el usuario no ha realizado ninguna compra.
  • Malware como phishing. Este tipo de fraude funciona prácticamente igual que el phishing pero con la diferencia que el correo incluye un enlace o un archivo descargable infectado, que al abrirse se activa el malware y roba todos los datos del dispositivo. Un ejemplo de este método son los correos que indican al usuario que su ordenador está saturado de datos y se le recomienda que descargue un programa para hacer una limpieza de este.

Recomendaciones para evitar el phishing

Muchos navegantes son atacados diariamente por hackers para conseguir sus datos. Para reducir el riesgo de un ataque phishing se debe seguir las siguientes recomendaciones.

  • Instalar un antivirus. Para evitar el phishing, los equipos informáticos deben de estar bien protegidos por los mejores antivirus para que los ciberdelincuentes no puedan acceder a tus datos personales.
  • Entrar solamente en webs oficiales. No se debe de realizar clic en los enlaces de los correos electrónicos de dudosa procedencia ya que estos pueden redirigir a páginas web, simulando la original, donde se pueden incluir los datos para su posterior robo. Si el usuario recibe un correo con un enlace que le parezca dudoso, lo mejor es que no entre a través del enlace, sino que vaya directamente a la web oficial. Otro consejo en este sentido puede ser revisar el contacto que envía el mensaje, ya que muchas veces permite detectar el fraude.
  • Prestar atención a los certificados de seguridad. Los usuarios a menudo confunden el significado de los certificados de seguridad. La finalidad de estos certificados es ofrecer seguridad al usuario de los datos que se intercambian para que no puedan acceder terceros e intrusos. Pero estos certificados no dicen nada de la fiabilidad del sitio web, de hecho, las páginas creadas para robar los datos de los cibernautas pueden incluir el certificado SSL sin ningún problema.
  • Formarse en ciberseguridad. Este consejo es fundamental para evitar los ataques phishing en empresas y en el ámbito personal. El Máster en Ciberseguridad enseña cómo funcionan estos tipos de ataques cibernéticos y ofrece los conocimientos para realizar diferentes diagnósticos, identificar vulnerabilidades e implementar las medidas necesarias dependiendo de cada situación.
  • Usar un buen navegador. Los navegadores pueden ayudar a disminuir drásticamente los ataques phishing en un dispositivo. Según un informe del Consejo de Autoridades de Certificación en Seguridad (CASC), los navegadores que más sitios web fraudulentos bloquean son Microsoft Edge, consiguiendo una puntuación de protección del 93,6%, Google Chrome con un 87,9% y Firefox con un 87%.

Utilizando estas recomendaciones se reducirá drásticamente la posibilidad de que los hackers puedan robar los datos de los dispositivos de las empresas y usuarios. Con este objetivo, muchas empresas cuentan con la figura del hacker ético para proteger sus datos frente a amenazas externas.

¿Quieres más información? ¡Pregúntanos!