El phishing es un ciberataque destinado a robar información personal, contraseñas o claves bancarias a través de emails y enlaces engañosos. Los estafadores intentan hacerse pasar por entidades y empresas en las que el destinatario está registrado, hacen réplicas casi idénticas de las webs originales y recurren a varios tipos de mensaje para que los usuarios piquen.
Para evitar caer en sus redes hay que desconfiar de mensajes no esperados, entrar siempre en las webs tecleando la dirección o desde favoritos y nunca desde los enlaces recibidos y tener mucho cuidado con la información que se proporciona. En caso de duda, mejor contactar con el responsable de la web antes de compartir datos.
Pero en realidad no es tan fácil, porque los estafadores van perfeccionando sus técnicas y cada vez cuesta más reconocer los anzuelos que lanzan. Y en el último año, con el crecimiento del teletrabajo y el comercio online, han multiplicado su actividad. Conocer cuáles son sus estrategias es fundamental para estar protegidos. Estos son los 10 ataques de phising más habituales.
1. Contraseña desactualizada
¿Quién no ha recibido un correo con el asunto ‘¡Urgente!’ que solicita actualizar la contraseña del algo? Es un phishing muy básico, con enlace a una web que se parece a las que usamos (del banco, de PayPal, de alguna tienda online…), pero sigue picando gente. A veces los correos están llenos de faltas de ortografía, o llegan en un idioma diferente al habitual, pero otras parecen bastante reales.
2. Te ha tocado un premio
Ni siquiera habías participado en ningún sorteo, pero te ha tocado. O un desconocido de un país en el que no has estado nunca te ha dejado una buena cantidad de dinero en herencia. Son probablemente los casos más fáciles de detectar, pero aún así la curiosidad lleva a mucha gente a hacer clic sin pensar y poner sus datos en peligro.
3. Envío pendiente de recogida
Con el crecimiento de la venta online han aumentado también los mensajes engañosos supuestamente de Amazon, de Correos o de otras empresas de transporte. Algunos solicitan datos extra para hacer la entrega, o indican que el paquete está retenido en la aduana y piden el pago de unos pocos euros para desbloquearlo. El objetivo es claro: quieren conseguir el número de la tarjeta bancaria para luego poder operar con ella.
4. Alojamiento de archivos
Otro caso concreto de mail fraudulento es el que pretende llegar de alguna web de almacenaje de archivos, como Dropbox o Google Drive. El objetivo es conseguir las claves reales de acceso a las cuentas de esos servicios y robar así los documentos alojados, de los que pueden obtener más información valiosa para seguir estafando.
5. Por SMS
Aunque la gran mayoría del phishing se realiza por correo electrónico, también son muchas las campañas de este tipo que llegan a través de mensajes de texto SMS. Incluyen un enlace a una web engañosa (y más incómoda de comprobar al acceder desde un teléfono móvil), o bien piden llamar a un número de teléfono con la excusa de haber ganado un premio o tener un envío en camino, como hemos visto en ejemplos anteriores.
6. El phishing en el ámbito profesional
Los hackers no solo se interesan por datos y contraseñas de cuentas personales: también aspiran a acceder a cuentas profesionales. En el caso de Fotocasa y habitaclia, por ejemplo, se han detectado diversos correos falsos con intentos de phishing. Con la excusa de necesitar actualizar la contraseña, dirigen a una web parecida desde la que se piden los datos de acceso. El consejo es claro: nunca se debe entrar a las webs desde enlaces de un correo. Para garantizar la seguridad es mejor tener las direcciones guardadas en favoritos y acceder siempre desde ahí.
7. Correos profesionales personalizados
La cosa se complica cuando el email incluye el nombre del destinatario o algún detalle sobre su trabajo reciente o la empresa para la que trabaja. Es lo que se conoce como smear phishing, en el que los hackers han recopilado antes información específica para resultar más creíbles. De hecho, este tipo de correos se suelen dirigir más a cuentas profesionales, y hacen referencia a alguna transacción reciente o a la última factura de algún servicio y suelen incluir documentación adjunta. Cuando se descarga el archivo, se instala un software malicioso que transmitirá datos confidenciales. Mucho cuidado porque además los estafadores suelen atacar al eslabón más débil: no se dirigen al jefe de informática de la empresa, sino a un perfil menos técnico que pueda dar por bueno el mensaje.
8. Whaling o fraude al CEO
Este tipo de phishing va dirigido a los ejecutivos de más alto nivel. Como en el caso anterior, se tratan de mensajes personalizados y muy cuidados para evitar despertar sospechas. Pueden incluir enlaces a webs fraudulentas difíciles de detectar a simple vista, documentos adjuntos que instalan malware o incluso conseguir, tras el intercambio de diversos mensajes, que se realicen transferencias electrónicas fraudulentas por importes muy elevados al hacerse pasar por una empresa proveedora habitual. A menudo se completan además con llamadas de teléfono que parecen ofrecer mayor veracidad, pero que forman parte del mismo complot. Mucho ojo porque incluso grandes organismos públicos han sido víctimas de este tipo de prácticas.
9. Más difícil todavía: phishing de clonación
Si ya es complicado detectar un mail que se parece a los originales, en el caso de la clonación es casi imposible. Los estafadores acceden a un correo legítimo que se ha recibido anteriormente y realizan una copia exacta en la que solo cambian la dirección de los enlaces. Como visualmente no hay ninguna diferencia, la víctima suele caer en la trampa. La recomendación sigue siendo la misma: desconfiar al máximo de los enlaces en los correos.
10. Phishing y COVID-19
En el último año se han detectado diversas campañas de phishing relacionadas con la COVID-19. Los ciberdelincuentes recurren a la información sobre la situación sanitaria o sobre las medidas y ayudas económicas para despertar el interés y lograr más clics a sus webs trampa. Se hacen pasar por todo tipo de organismos oficinales, desde la Organización Mundial de la Salud al Ministerio de Sanidad, las consejerías de las diferentes comunidades autónomas o las fuerzas de seguridad. Algunos casos de este phishing incluyen la descarga de una aplicación con información sobre coronavirus que en realidad bloquea el teléfono de manera permanente. A continuación, los hackers exigen un pago para recuperar su control.