Se conoce como phishing / suplantación de identidad al conjunto de técnicas que realiza un delincuente a través de internet, para conseguir datos personales, contraseñas, datos bancarios, … con la intención de estafar a alguien suplantando la identidad de otra persona o empresa.

El estafador, envía a través de correo electrónico, a una persona o a una extensa base de datos, un email engañoso que, generalmente, simula ser de una entidad bancaria, una red social o un proveedor de confianza. En este email solicita hacer clic en un enlace o descargar un documento adjunto, para en realidad activar un programa malicioso que puede realizar multitud de funciones tales como: la obtención de datos de inicio de sesión, información de cuentas bancarias, tarjetas de crédito, y/o los datos personales de sus victimas.

Para conseguir sus objetivos, los estafadores, realizan cada vez emails más elaborados, en los que es difícil identificar que se trata de una suplantación de identidad o correo fraudulento. Hay que tener en cuenta, que lo que pretenden es engañar al destinatario, conseguir los datos que buscan , y así estafar a la victima.

¿Cómo funciona el phishing?

Un ataque de phishing / suplantación de identidad, normalmente comienza con una investigación previa en la que el delincuente, recopila la información necesaria que le va a permitir enviar un correo electrónico a una serie de destinatarios y además, otros datos como el nombre, apellidos, empresa, puesto de trabajo, … para hacer más creíble el correo en el que, haciéndose pasar por un proveedor, banco, red social, … esconde enlaces y/o archivos adjuntos maliciosos.

El objetivo de los ciberdelincuentes, siempre es instalar malware en los dispositivos electrónicos de los destinatarios o re-dirigirles a una nueva página donde poder extraer su información personal, datos de acceso a una cuenta o de las tarjetas de crédito.

¿Cómo reconocerlo?

Los mensajes de phishing habitualmente imitan los correos electrónicos de empresas conocidas, intentando ser lo más iguales posibles a los originales. Un correo electrónico de phishing puede incluir logotipos corporativos, gráficos y datos de identificación de la organización suplantada. Los enlaces maliciosos dentro de los mensajes de phishing generalmente también están diseñados para que parezca que enlazan a alguna página propiedad de la empresa suplantada.

Aun así, hay varias señales que te van a permitir identificar si estás delante de un ataque de phishing:

  • El mensaje suele utilizar subdominios, URLs mal escritas o URLs sospechosas.
  • Los estilos del e-mail no acostumbran a ser los adecuados.
  • El mensaje suele estar mal escrito y contener faltas de ortografía.
  • Los logos e imágenes pueden estar desproporcionados o ser de un color diferente.
  • El remitente normalmente utiliza una dirección de correo electrónico pública como Gmail, Hotmail o cualquier otra, generalmente extraña, en lugar de una dirección de correo electrónico corporativa (dominio de la empresa).
  • El tono de los emails suele ser de carácter urgente y/o amenazante. “tu cuenta ha caducado”, “si no entras y te identificas se podrían bloquear tus servicios”, “si no pagas tal cantidad, tu dominio se perderá”, etc.
  • Los mensajes acostumbran solicitar verificar información personal, como detalles de tus bancos o una contraseña.

Tipos de phishing

A medida que se aplican estrategias antiphishing por parte de los defensores de los usuarios, los ciberdelincuentes perfeccionan sus habilidades y realizan nuevas tácticas. Las más comunes:

  1. Ataques Spear Phishing. Dirigidos a empresas y en las que se emplea información de compañeros de trabajo para hacerlos más veraces.
  2. Caza Ballenas. Una variante del anterior pero que va específicamente a altos ejecutivos de una organización. Estos incluyen en su mensaje autorizaciones a pagos que “envía” un supuesto proveedor.
  3. Pharming. Los mensajes redirigen a los usuarios a un sitio fraudulento para recoger credenciales. Por ejemplo, una copia de la página home de un banco, en la que al iniciar sesión nos dará error, pero que los ciberdelincuentes habrán capturado nuestro acceso para utilizarlo en el sitio original.
  4. Vishing o Phishing de voz. Se produce a través de los medios de comunicación de voz, incluida la voz sobre IP (VoIP) o el teléfono convencional. Una estafa típica utiliza un software de síntesis de voz para dejar mensajes de voz que pretenden notificar a la víctima, una actividad sospechosa en una cuenta bancaria o de crédito y le pide que responda a un número de teléfono malicioso para verificar su identidad, comprometiendo así las credenciales de su cuenta.
  5. Phishing de SMS. Se le conoce también como SMishing o SMShing y utiliza mensajes de texto para convencer a las víctimas a revelar credenciales de su cuenta o a instalar malware.

Cómo prevenir el phishing / suplantación de identidad

A continuación, hacemos unas recomendaciones para prevenir este tipo de ataques:

  • Prestar especial atención a las ventanas emergentes.
  • Fijarse bien antes de hacer clic sobre los enlaces que aparecen en nuestros correos electrónicos.
  • Asegurarse que la URL del enlace en el que se va a hacer clic tenga el protocolo “https”.
  • Usar un antivirus completo que incluya cortafuegos, antispyware y sistema antiphising. Y mantenerlo siempre actualizado.
  • Pregunta a tu proveedor de hosting web y correo electrónico por la mejor solución para tu empresa.
  • Y, lo más importante, nunca des información personal, credenciales de acceso o datos de pago por email, sms, o red social. Un proveedor serio nunca te va a pedir esta información.