Qué es el phishing

El engaño está en la base del phishing, que es un término derivado del inglés que significa ‘pescar’.  Este fraude informático está diseñado para robar información confidencial (contraseñas, datos bancarios, números de tarjeta de crédito..). Si bien no es la técnica más sofisticada de ingeniería social, lo cierto es que suele resultar bastante efectiva. Haciéndose pasar por entidades de confianza, empresas o, incluso, familiares o amigos, los ciberdelincuentes envían mensajes que buscan engañar a las víctimas para que proporcionen datos sensibles.

Correos electrónicos, mensajes de texto o enlaces infectados son algunas de las herramientas más frecuentes empleadas por los atacantes. ¿Alguna vez has recibido un mensaje sospechoso de tu entidad bancaria solicitando que verifiques tus datos? ¿Una notificación de una empresa de transporte sobre el envío de un pedido que no recuerdas haber tramitado? Puede que nunca te los hayas planteado pero estos mecanismos son ejemplos de phishing frecuentes. 

Entre las señas de identidad que explican cómo funciona el phishing están el miedo y la urgencia. Frases como “su cuenta será bloqueada si no actúa en las próximas 24 horas”, “su pedido quedará cancelado” o similares, son comunes en estos ataques y su objetivo no es otro que presionar a las personas para que actúen sin pensar demasiado.

Para entender mejor cómo funciona el phishing, es importante reconocer que los ciberdelincuentes son expertos en las técnicas de ingeniería social. En la práctica, esto lleva a explotar emociones humanas como el miedo, la curiosidad o la confianza para completar su propósito delictivo. 

Aunque cada vez son más sofisticados y hay que estar atentos para no caer en la trampa, la mayoría de los ejemplos de phishing suelen seguir un esquema similar que incluye:

• Mensajes falsos. Los ciberdelincuentes diseñan un correo o mensaje convincente, a menudo usando logotipos, estilos de redacción y remitentes que parecen auténticos.
• Enlaces o archivos. El mensaje con el que los ciberdelincuentes buscan engañar a los usuarios suele incluir un enlace a una página web falsa o un archivo adjunto malicioso.
• Obtención de datos. La víctima, creyendo que interactúa con el remitente real -ya sea una empresa, entidad bancaria, institución…-, facilita información sensible como contraseñas o datos bancarios, sin ser consciente del riesgo. 
• Uso de la información. Los datos recabados de manera ilícita son empleados para cometer distintos fraudes. Algunos de los más habituales van desde compras no autorizadas, hasta el robo en las cuentas bancarias de los afectados, pasando por la venta de datos en mercados ilegales… 

Pese a que siguen estructuras similares en lo que tiene que ver con el diseño de los mensajes, un ataque de phishing no es siempre igual. Existen diferentes fórmulas que tienen que ver, por ejemplo, con el objetivo perseguido por los delincuentes o el método utilizado. Algunos de los más comunes son:

• Phishing por email. El phishing que es más conocido es el que emplea el correo electrónico para llegar hasta el usuario. El mensaje en cuestión suele solicitar a la víctima que pinche un enlace, descargue un archivo o acuda a una web falsa. Si el usuario cae en la trampa, perderá el control de sus datos quedando expuesto a todo tipo de fraudes. Un ejemplo típico sería un correo que imita a tu banco, pidiendo que verifiques tu cuenta. 

• Smishing. El origen del término está en la combinación de phishing y SMS y es que, este tipo de fraude informático utiliza mensajes de texto (SMS) para engañar al usuario. Como ocurre en el caso del phishing a través del correo, el engaño es la base de esta práctica que se aprovecha del exceso de confianza o el despiste de las víctimas para hacerse con sus datos.  

• Vishing. El ataque conocido como vishing se realiza mediante llamadas telefónicas fraudulentas. Como ocurre con el ataque phishing que emplea SMS, en este caso el juego de palabras combinando voice y phishing da origen al término. Los ciberdelincuentes se hacen pasar por empleados de una empresa con la que el usuario tiene servicios contratados para obtener datos sensibles.

• Spear phishing. Esta variante de ataque phishing es algo más sofisticada. Se trata de un ataque dirigido a una persona o a una empresa concreta con lo que los mensajes están más personalizados y, en consecuencia, es más difícil de detectar. De hecho, algunos de los datos del mensaje pueden haber sido copiados de un correo real, incluso, apropiándose de hilos de conversación anteriores. Sin embargo, detectar un remitente sospechoso o urgencia en la respuesta (haciendo clic en un enlace o descargando archivos que no esperábamos) puede hacer sospechar. 

Cada vez son más las empresas y entidades de todo tipo que toman medidas anti-phishing. Pero poniendo en práctica algunos trucos sencillos, tú también puedes protegerte frente a los estafadores de la red. Aquí tienes algunos que pueden serte de gran utilidad.

• No te asustes ante mensajes urgentes:

Si recibes un mensaje diciendo que tu cuenta será bloqueada o que has ganado un premio inesperado, detente y piensa. No te apresures a hacer clic ni a dar información. Primero, revisa si el mensaje es real. ¿Te suena raro? ¿Te piden datos personales? Lo mejor es llamar directamente a la empresa o persona que supuestamente lo envía pero, eso sí, usando el número oficial, no el que te aparezca en el mensaje.

• No hagas clic en enlaces sospechosos:

Si un correo o mensaje tiene un enlace, pasa el ratón por encima (sin hacer clic) para ver la dirección real. Si te parece extraña o no coincide con la empresa que dice ser, ignóralo. Mejor entra directamente en la página oficial desde tu navegador.

• Protege tu información con herramientas seguras:

Tu teléfono, tableta u ordenador tienen opciones para ayudarte a evitar estos engaños. Mantén todo actualizado, usa un antivirus de confianza y, si es posible, activa la verificación en dos pasos en tus cuentas importantes. Así, aunque alguien consiga tu contraseña, no podrá acceder fácilmente.

• La información sensible, por canales oficiales:

Si alguien te pide tu contraseña, datos bancarios o información privada por mensaje, correo o llamada, desconfía. Ninguna empresa legítima solicita información sensible por estos canales.En todo caso, ante la duda, pregunta a alguien de confianza o busca ayuda en los canales oficiales.

La concienciación en ciberseguridad, las simulaciones de phishing o el uso de tecnologías avanzadas para detectar y bloquear amenazas son solo algunas de las herramientas con las que Repsol combate el fraude informático. El crecimiento de este tipo de prácticas ilícitas que, en ocasiones, involucran el uso indebido de nuestra marca, impulsa nuestra colaboración con expertos externos así como la participación en redes de intercambio de información.

Ejemplo de ello es la participación activa de la compañía en iniciativas como el Centro Criptológico Nacional (CCN), organismo que busca contribuir a la mejora de la ciberseguridad en España, protegiendo la información clasificada y sensible de las administraciones públicas y empresas. A través de la colaboración con entidades como Repsol, el CCN facilita el intercambio de información sobre amenazas cibernéticas emergentes, incluyendo el phishing, y promueve la implementación de medidas de seguridad adecuadas.