¿Qué significa phishing?
Cómo detectar y evitar los correos phishing
¿Alguna vez has escuchado el término “phishing” y te has preguntado qué significa? En este artículo te explicaremos cómo detectar los correos phishing (también conocido como email phishing), lo que es un ataque phishing y cómo evitar el phishing.
En breve
Un correo phishing es un correo falso que intenta engañarte para que hagas clic en un enlace y des información personal, como tu contraseña o número de tarjeta de crédito. El remitente pretende ser una organización conocida o de confianza.
¿Qué significa phishing? El phishing es un método de recopilación de información personal, un ataque de suplantación de identidad. Aunque el canal más habitual para el phishing es el correo electrónico, existen otros tipos de phishing, a través sitios web o teléfono (también llamado vishing). El término en inglés phishing es la unión de fishing (pesca) y phreaking (hackeo de sistemas telefónicos), y es una analogía de un pescador que lanza un anzuelo con cebo al océano para atrapar peces. En cuanto a los correos phishing, el atacante envía un correo electrónico con algún cebo a la espera de que el destinatario pique.
Los hackers utilizan el correo electrónico como medio para “phish” (pescar) información personal.
Los ataques de phishing son uno de los ataques más comunes en el ciberespacio. Los ataques de phishing son cada vez más sofisticados, lo que significa que cada vez más personas caen en este tipo de correos falsos.
¿Cómo saber si un email es falso?
Los correos phishing suelen ser fáciles de detectar. Lo primero que hay que hacer es comprobar el remitente. ¿Quién te ha enviado el correo electrónico? Haz clic en el remitente del correo para ver la dirección completa y comprobar si parece auténtica o no.
El objetivo de un email phishing es obtener información del destinatario haciéndole creer que el email procede de un remitente legítimo. El hacker que envía los correos phishing induce al destinatario a realizar la acción indicada en el correo electrónico, que suele incluir proporcionar información financiera personal.
Un ejemplo de phishing sería un email que parece enviado por un banco o por una persona de alto nivel de la empresa en la que trabaja el destinatario, como el director general. El hacker se hace pasar por una persona importante y de confianza que tiene una razón plausible para ponerse en contacto con el destinatario.
Ejemplo de ataque phishing
Quizás el ejemplo de ataque de phishing más conocido ocurrió en 2016, cuando los hackers rusos consiguieron que el presidente de la campaña de Hillary Clinton, John Podesta, les revelara la contraseña de su cuenta personal de Gmail.
El funcionamiento de esta estafa de phishing es realmente interesante. Los hackers enviaron un correo phishing a John advirtiéndole de que su contraseña había sido vulnerada, que alguien más tenía su contraseña y que debía cambiarla inmediatamente. Los hackers incluyeron un enlace en el email que le llevó a una página de inicio de sesión falsa.
Confiamos en poder detectar una estafa de suplantación de identidad, pero dado que estos delincuentes están continuamente perfeccionando sus métodos y técnicas, a veces nos superan.
Ejemplos de phishing – ¡Te contamos cómo evitar el phising!
Cuando recibas un email, asegúrate de leerlo detenidamente antes de responder o abrir cualquier enlace. Algunos de los signos reveladores están delante de ti, solo tienes que analizar el correo para detectarlos.
- Tu cuenta ha sido hackeada
Esta frase se suele utilizar en los ataques de phishing. Es probable que el hacker haya conseguido tu dirección de correo electrónico en el sitio web de tu empresa y haya decidido sacarle provecho. Quizá te alarme el hecho de que los hackers hayan conseguido tu dirección de correo del trabajo, pero esto solo es una jugada inteligente por su parte. Puedes descubrir que realmente se trata de un correo phishing si prestas atención a su contenido.
Normalmente, el hacker continúa explicando cómo ha hackeado tu cuenta, pero verás que no entiende cómo funciona el malware y que todo es una invención.
Además, cuando veas un email de este tipo en el que el remitente te amenaza, piensa si lo que te dice es cierto o solo es un correo phishing.
- Restablecer la contraseña
Otra artimaña que utilizan los hackers para llevar a cabo sus estafas de phishing es el envío de correos electrónicos en los que se advierte de que es necesario restablecer la contraseña del servicio ADP para poder recibir la nómina.
ADP, o Automatic Data Processing Inc., es el proveedor más importante de servicios de recursos humanos en el mundo. Este ataque de phishing puede tener éxito, ya que todos queremos recibir nuestro salario y adaptarnos a los cambios que lleve a cabo ADP.
Se trata de un ardid del que se valen los hackers para que les des tu contraseña y otros datos personales que les pueden servir para acceder a tu cuenta.
- Solicitud de pago
Algunos tipos de email phishing envían recibos que parecen reales, por lo que nos resulta difícil no confiar en el contenido del email. Un ataque de phishing que requiere solicitudes de pago puede ser similar al siguiente escenario: has olvidado pagar un recibo y necesitas pagar el importe hoy para evitar que te cancelen esa cuenta.
Para detectar este tipo de estafas de phishing por correo, es necesario saber cómo funciona la empresa a la que los hackers dicen pertenecer y buscar cualquier anomalía. Te recomendamos que llames por teléfono a la empresa y te informes sobre la veracidad del correo electrónico que has recibido.
- Donaciones
En el caso de las donaciones, los hackers intentan aprovecharse de las ambiciones y de la ingenuidad del receptor. Como regla general, recuerda que si es demasiado bueno para ser verdad, probablemente lo sea.
El correo phishing, en este caso, suele hacer referencia a una persona adinerada que se acerca al final de su vida y quiere regalar todo su dinero a varias personas.
Algunas otras cuestiones que debes considerar como una señal de alerta son las siguientes:
- Una empresa legítima nunca te pedirá información personal por correo electrónico
- Una empresa legítima tiene su propio dominio de correo electrónico
- Una empresa legítima no comete errores gramaticales ni ortográficos
- Una empresa legítima no envía archivos adjuntos por email sin que el cliente así lo haya solicitado
¿Cuál es la diferencia entre spam y phishing?
Los correos spam o correos no deseados son los que se envían por miles con la esperanza de atraer a la gente a comprar productos sospechosos y estafarles. Los ardides de los que hacen uso tienen asuntos de email como: lotería, ha ganado un coche, reclame su coche, préstamo bancario, etc.
Puedes leer más acerca de los correos spam en este artículo, donde explicamos lo que debes hacer si recibes un correo no deseado.
Como hemos mencionado anteriormente, los correos phishing son mensajes y actividades fraudulentas que parecen proceder de una fuente fiable. El objetivo principal de los correos phishing es obtener información personal del recipiente.
Para tu información, también existe el spear phishing. El spear phishing es un tipo de phishing por medio del cual los hackers se dirigen a un individuo específico, que suele ser una persona prominente, con la intención de atacarlo.
¡Cuídate mucho!