‘Phishing’: qué es y cuáles son las modalidades más comunes
Un correo electrónico. Un mensaje de texto. Una llamada telefónica. ¿Deberías abrir el correo que aparenta ser de tu banco, hacer clic en el mensaje que te informa de un pedido que no has hecho o contestar a una llamada de un número desconocido? En los últimos años, las estafas en internet han recurrido a prácticas engañosas que se conocen como phishing.
¿Qué es el phishing?
Según el Instituto Nacional de Ciberseguridad (Incibe), el phishing es una técnica que consiste en el envío de un correo electrónico por parte de ciberdelincuentes a una persona simulando ser una red social, banco o institución pública con el objetivo de robar información privada, realizarle un cargo económico o infectar el dispositivo.
- Se adjuntan archivos infectados o enlaces a páginas fraudulentas en el correo electrónico. El phishing representa un 17% de la cifra total de las incidencias digitales registradas en España en 2023, según el Incibe.
- Los ciberdelincuentes usan técnicas de engaño y manipulación emocional para que las personas caigan en sus estafas y conseguir acceso a información personal o bancaria. A esto se le conoce como ingeniería social.
¿Por qué los estafadores recurren a la ingeniería social?
El Incibe explica que “es más fácil o ‘barato’ dedicar recursos a engañar a alguien para que revele su contraseña de acceso a un servicio que vulnerar sus complejos sistemas de seguridad”. La ingeniería social, agrega la institución, apela a la vanidad, la avaricia, la curiosidad, el altruismo o el respeto o temor a la autoridad de las personas.
“La ingeniería social es un intento de estafa que podemos recibir por varias vías de comunicación para proporcionar datos personales u otra información o que descarguemos un virus que afecte a un sistema de información”, explica Miguel Recio, profesor de Ciberseguridad de la Universidad CEU San Pablo.
¿Cuáles son las modalidades más comunes de pishing?
Phishing. El término proviene de una variación del verbo «pescar» (phishing) en inglés.
Phishing. Se refiere a un tipo de práctica que consiste en que un usuario malicioso envía un correo electrónico o mensaje de texto de apariencia inofensiva con el objetivo de hacer caer en la trampa de darle información personal, ya sea una contraseña o información bancaria, entre otros.
Algunos elementos que sirven de alerta para detectar este tipo de estafas son los errores de redacción y faltas de ortografía.
En un caso de phishing, es recomendable también fijarse en la dirección de correo electrónico, que no cuenta con el dominio oficial de la entidad que dice ser, igual que ocurre con la página web a la que redirige.
Smishing. Consiste en el envío de un SMS por parte de los ciberdelincuentes a un usuario simulando ser una entidad legítima –red social, banco, institución pública, etcétera– con el objetivo de robar información privada o realizarle un cargo económico.
Smishing. Generalmente, el mensaje invita a llamar a un número de tarificación especial o acceder a un enlace de una web.
En el smishing se vuelven a repetir los errores de redacción, además de incluir una dirección web sospechosa.
También se suelen emitir avisos relacionados con supuestas entregas de paquetes y envíos, con vistas a recopilar información sobre el domicilio y los datos personales.
Además de enviar avisos relacionados con paquetes, también se facilitan una serie de ofertas irresistibles o grandes descuentos.
Vishing. Tiene como objetivo hacerse con los datos personales del usuario, solo que esta vez el delincuente lo hace a través de una llamada telefónica. Se hace pasar por una empresa o institución reconocida (vishing es la combinación de «voice [“voz” en inglés] y “phishing”).
En el vishing se hacen pasar por un comercial de una compañía y, en ocasiones, se reciben dos llamadas seguidas.
Ofrecen servicios o te convencen para cambiar de compañía con campañas falsas y ofertas fantasma.
Los ciberdelincuentes suplantan a empresas de servicios, suministros, entidades bancarias, etc.
Fuentes
Sitio web de Instituto Nacional de Ciberseguridad
Sitio web de la Organización de Consumidores y Usuarios
Artículos de Newtral.es sobre ciberestafas
Miguel Recio, profesor de Ciberseguridad de la Universidad CEU San Pablo