Qué es el phishing

Protégete de esta ciberamenaza

Los datos no dejan lugar a dudas. Solo en 2023, el Ministerio Fiscal registró 23.486 procedimientos judiciales relacionados con ciberdelincuencia y, según el Balance sobre Criminalidad elaborado por el Ministerio del Interior, la ciberdelincuencia en España ha aumentado un 25,5% en el conjunto de investigaciones de todos los cuerpos policiales, especialmente en estafas y defraudaciones donde el incremento alcanza el 27%.  

De entre las múltiples fórmulas que incluyen el uso de ordenadores e internet para delinquir, la ingeniería social se ha convertido en una de las más populares. A través de diferentes técnicas, los ciberdelincuentes engañan a los usuarios para conseguir datos confidenciales. Archivos con malware, correos electrónicos fraudulentos, webs infectadas… Las fórmulas son cada vez más sofisticadas y la evolución del phishing es un claro ejemplo de ello. 

0:00

¿Qué es el phishing?

El engaño está en la base del phishing, que es un término derivado del inglés que significa ‘pescar’.  Este fraude informático está diseñado para robar información confidencial (contraseñas, datos bancarios, números de tarjeta de crédito..). Si bien no es la técnica más sofisticada de ingeniería social, lo cierto es que suele resultar bastante efectiva. Haciéndose pasar por entidades de confianza, empresas o, incluso, familiares o amigos, los ciberdelincuentes envían mensajes que buscan engañar a las víctimas para que proporcionen datos sensibles.

Correos electrónicos, mensajes de texto o enlaces infectados son algunas de las herramientas más frecuentes empleadas por los atacantes. ¿Alguna vez has recibido un mensaje sospechoso de tu entidad bancaria solicitando que verifiques tus datos? ¿Una notificación de una empresa de transporte sobre el envío de un pedido que no recuerdas haber tramitado? Puede que nunca te los hayas planteado pero estos mecanismos son ejemplos de phishing frecuentes. 

Entre las señas de identidad que explican cómo funciona el phishing están el miedo y la urgencia. Frases como “su cuenta será bloqueada si no actúa en las próximas 24 horas”, “su pedido quedará cancelado” o similares, son comunes en estos ataques y su objetivo no es otro que presionar a las personas para que actúen sin pensar demasiado.

Cómo funciona el phishing

Para entender mejor cómo funciona el phishing, es importante reconocer que los ciberdelincuentes son expertos en las técnicas de ingeniería social. En la práctica, esto lleva a explotar emociones humanas como el miedo, la curiosidad o la confianza para completar su propósito delictivo. 

Aunque cada vez son más sofisticados y hay que estar atentos para no caer en la trampa, la mayoría de los ejemplos de phishing suelen seguir un esquema similar que incluye:

  • Mensajes falsos. Los ciberdelincuentes diseñan un correo o mensaje convincente, a menudo usando logotipos, estilos de redacción y remitentes que parecen auténticos.
  • Enlaces o archivos. El mensaje con el que los ciberdelincuentes buscan engañar a los usuarios suele incluir un enlace a una página web falsa o un archivo adjunto malicioso.
  • Obtención de datos. La víctima, creyendo que interactúa con el remitente real -ya sea una empresa, entidad bancaria, institución…-, facilita información sensible como contraseñas o datos bancarios, sin ser consciente del riesgo. 
  • Uso de la información. Los datos recabados de manera ilícita son empleados para cometer distintos fraudes. Algunos de los más habituales van desde compras no autorizadas, hasta el robo en las cuentas bancarias de los afectados, pasando por la venta de datos en mercados ilegales… 

Tipos de ataques de phishing

Pese a que siguen estructuras similares en lo que tiene que ver con el diseño de los mensajes, un ataque de phishing no es siempre igual. Existen diferentes fórmulas que tienen que ver, por ejemplo, con el objetivo perseguido por los delincuentes o el método utilizado. Algunos de los más comunes son:

  • Phishing por email. El phishing que es más conocido es el que emplea el correo electrónico para llegar hasta el usuario. El mensaje en cuestión suele solicitar a la víctima que pinche un enlace, descargue un archivo o acuda a una web falsa. Si el usuario cae en la trampa, perderá el control de sus datos quedando expuesto a todo tipo de fraudes. Un ejemplo típico sería un correo que imita a tu banco, pidiendo que verifiques tu cuenta. 
  • Smishing. El origen del término está en la combinación de phishing y SMS y es que, este tipo de fraude informático utiliza mensajes de texto (SMS) para engañar al usuario. Como ocurre en el caso del phishing a través del correo, el engaño es la base de esta práctica que se aprovecha del exceso de confianza o el despiste de las víctimas para hacerse con sus datos.  
  • Vishing. El ataque conocido como vishing se realiza mediante llamadas telefónicas fraudulentas. Como ocurre con el ataque phishing que emplea SMS, en este caso el juego de palabras combinando voice y phishing da origen al término. Los ciberdelincuentes se hacen pasar por empleados de una empresa con la que el usuario tiene servicios contratados para obtener datos sensibles.
  • Spear phishing. Esta variante de ataque phishing es algo más sofisticada. Se trata de un ataque dirigido a una persona o a una empresa concreta con lo que los mensajes están más personalizados y, en consecuencia, es más difícil de detectar. De hecho, algunos de los datos del mensaje pueden haber sido copiados de un correo real, incluso, apropiándose de hilos de conversación anteriores. Sin embargo, detectar un remitente sospechoso o urgencia en la respuesta (haciendo clic en un enlace o descargando archivos que no esperábamos) puede hacer sospechar. 

Ejemplos de phishing

Hay ejemplos de phishing de lo más variopinto aunque aprender a reconocerlos puede ayudarte a evitar caer en estas trampas. Algunos de los fraudes informáticos más populares son:

  1. Correo del “banco”.
    Recibes un correo que parece provenir de tu banco, indicando que hay un problema con tu cuenta. Incluye un enlace para “verificar” tu información. Si haces clic, serás redirigido a un sitio falso donde los atacantes robarán tus datos.
  2. Premio.
    ¡Sorpresa! La suerte está de tu lado y un mensaje te informa que ganaste un premio o un sorteo en el que nunca participaste. Para reclamarlo, debes ingresar tus datos personales o bancarios, si lo haces abrirás la puerta a los ciberdelincuentes.
  3. Actualización de software.
    Es otro de los ejemplos de phishing más populares. La escena se desarrolla así: recibes un correo con un enlace para descargar una actualización urgente de un programa pero al descargarlo, lo que haces es instalar un malware en tu dispositivo.
  4. Falsa factura pendiente. 
    Un correo aparentemente de una compañía de servicios te informa que tienes una factura pendiente y amenaza con cortar el servicio si no realizas el pago inmediatamente. El enlace dirige a un sitio fraudulento donde buscan obtener tus datos bancarios. ¿La clave para evitarlo? Habla directamente con la compañía antes de hacer nada.
  5. Problemas con tu perfil.
    En la era de las redes sociales recibes un mensaje diciendo que alguien intentó acceder a tu cuenta. Te piden que confirmes tu identidad haciendo clic en un enlace que en realidad lleva a una página falsa. Una versión de phishing vinculada también a las redes sociales tiene que ver con promociones irresistibles. Un enlace ofrece productos a precios increíbles pero una vez pinchas e ingresas tus datos de pago, descubres que la tienda nunca existió.

Como ves, estos y otros ejemplos de phishing muestran cómo los ciberdelincuentes juegan con emociones y situaciones cotidianas para ganarse la confianza de las víctimas y robar su información.

Cómo protegerte de esta ciberamenaza

Cada vez son más las empresas y entidades de todo tipo que toman medidas anti-phishing. Pero poniendo en práctica algunos trucos sencillos, tú también puedes protegerte frente a los estafadores de la red. Aquí tienes algunos que pueden serte de gran utilidad.

  • No te asustes ante mensajes urgentes:

Si recibes un mensaje diciendo que tu cuenta será bloqueada o que has ganado un premio inesperado, detente y piensa. No te apresures a hacer clic ni a dar información. Primero, revisa si el mensaje es real. ¿Te suena raro? ¿Te piden datos personales? Lo mejor es llamar directamente a la empresa o persona que supuestamente lo envía pero, eso sí, usando el número oficial, no el que te aparezca en el mensaje.

  • No hagas clic en enlaces sospechosos:

Si un correo o mensaje tiene un enlace, pasa el ratón por encima (sin hacer clic) para ver la dirección real. Si te parece extraña o no coincide con la empresa que dice ser, ignóralo. Mejor entra directamente en la página oficial desde tu navegador.

  • Protege tu información con herramientas seguras:

Tu teléfono, tableta u ordenador tienen opciones para ayudarte a evitar estos engaños. Mantén todo actualizado, usa un antivirus de confianza y, si es posible, activa la verificación en dos pasos en tus cuentas importantes. Así, aunque alguien consiga tu contraseña, no podrá acceder fácilmente.

  • La información sensible, por canales oficiales:

Si alguien te pide tu contraseña, datos bancarios o información privada por mensaje, correo o llamada, desconfía. Ninguna empresa legítima solicita información sensible por estos canales.En todo caso, ante la duda, pregunta a alguien de confianza o busca ayuda en los canales oficiales.

Repsol contra el fraude informático

La concienciación en ciberseguridad, las simulaciones de phishing o el uso de tecnologías avanzadas para detectar y bloquear amenazas son solo algunas de las herramientas con las que Repsol combate el fraude informático. El crecimiento de este tipo de prácticas ilícitas que, en ocasiones, involucran el uso indebido de nuestra marca, impulsa nuestra colaboración con expertos externos así como la participación en redes de intercambio de información.

Ejemplo de ello es la participación activa de la compañía en iniciativas como el Centro Criptológico Nacional (CCN), organismo que busca contribuir a la mejora de la ciberseguridad en España, protegiendo la información clasificada y sensible de las administraciones públicas y empresas. A través de la colaboración con entidades como Repsol, el CCN facilita el intercambio de información sobre amenazas cibernéticas emergentes, incluyendo el phishing, y promueve la implementación de medidas de seguridad adecuadas.