¿Qué es el phishing en informática?

Por Felipe

Publicado en:

El phishing es un ciberataque que consiste en suplantar a una empresa o entidad de confianza para engañar al usuario y conseguir que revele sus datos de acceso, como el nombre de usuario y la contraseña. Es uno de los ataques más sencillos, pero también de los más peligrosos y efectivos, porque ataca al eslabón más débil: la persona.

Qué es el phishing

Vivimos una época en la que internet se ha convertido en una parte esencial de nuestra vida, ya que lo utilizamos para realizar todo tipo de tareas del día a día. Ese uso constante de la red lleva aparejada una serie de riesgos, porque la información que compartimos está expuesta a ser interceptada por terceros con intenciones maliciosas. Robar las credenciales de acceso es uno de los principales objetivos de los ciberdelincuentes, ya que les abren la puerta a múltiples plataformas: portales bancarios, sistemas de empresas, páginas web o cuentas de correo electrónico, entre otras.

Qué significa phishing

En un ataque de phishing, la víctima acaba enviando sus datos de acceso —usuario y contraseña— a un tercero sin ser consciente de ello. Este tipo de fraude está detrás de la mayoría de los ciberataques de los que oímos hablar en las noticias: el usuario es engañado y, con sus credenciales, los delincuentes acceden a las plataformas de la empresa, donde llevan a cabo todo tipo de actividades fraudulentas, desde robar datos o eliminar archivos hasta dejar fuera de servicio servidores y sistemas completos.

Cómo se produce un ataque de phishing

El esquema habitual es sencillo. El atacante envía un mensaje —un correo, un SMS o incluso una llamada— que imita la comunicación de una entidad legítima e incluye un enlace a una página falsa que reproduce el aspecto de la original. Cuando la víctima introduce sus credenciales en esa web fraudulenta, los datos viajan directamente al ciberdelincuente. El éxito del ataque se apoya casi siempre en la urgencia y en el miedo: mensajes que avisan de un supuesto problema en la cuenta o de un envío pendiente para que el usuario actúe sin pararse a comprobar.

Tipos de ataques de phishing

El phishing busca engañar al usuario para que facilite sus datos de acceso a portales y plataformas web. Para lograrlo se emplean distintas variantes, entre las que destacan las siguientes:

Spear phishing

Es un ataque dirigido a un perfil concreto de usuario. En lugar de lanzarse de forma masiva, busca engañar a administradores de sistemas y de servidores web para conseguir acceso y, a partir de ahí, robar información o tumbar esos sistemas.

Smishing

Son los ataques de phishing que se realizan mediante un mensaje de texto SMS. El usuario recibe un mensaje con un enlace en el que se le solicitan sus claves de acceso; un ejemplo típico es el aviso de una empresa de transporte que pide confirmar una hora de entrega.

Whaling

Es parecido al spear phishing, pero está dirigido a perfiles que ocupan un cargo importante dentro de una empresa u organización, como los directivos. Al tratarse de objetivos con muchos privilegios, el daño potencial es mucho mayor.

Vishing

En este caso el ataque se realiza por medio de llamadas de voz. El atacante se hace pasar por personal de un banco o de otra entidad y, con cualquier excusa, intenta que el usuario le facilite sus datos de acceso.

Email phishing

Es el ataque de phishing más común y utiliza el correo electrónico como medio de contacto con la víctima. El usuario recibe un mensaje que imita al que enviaría una empresa o entidad real y que le anima a hacer clic en un enlace o a introducir sus datos en una página falsa.

Cómo defenderte del phishing

La mejor forma de defenderse del phishing es conocer cómo funciona y qué tipos de ataques se están utilizando. A partir de ahí, conviene aplicar estas medidas:

Desconfía de los correos de remitentes desconocidos. Es mejor no abrirlos y, mucho menos, acceder a cualquier enlace que contengan.

No uses los enlaces que llegan por correo o SMS para acceder a tus cuentas. Para entrar en una plataforma, escribe siempre la dirección oficial directamente en el navegador.

Comprueba la dirección del enlace. Si pasas el ratón por encima verás la URL real. Estas direcciones pueden parecerse mucho a las auténticas e incluir algún carácter distinto para engañar al ojo; por ejemplo, un enlace que aparenta llevar a PayPal pero sustituye la «l» por una «i» mayúscula (paypaI.com) y conduce a una web falsa.

Investiga si dudas. Puedes copiar parte del texto del mensaje y buscarlo en Google para comprobar si se corresponde con un fraude ya conocido.

Usa filtros y avisa. Apóyate en software que filtre el correo y marque los mensajes fraudulentos, y avisa a tus contactos si recibes este tipo de correos: cuanto mayor sea el conocimiento del phishing, menor será su impacto.

En el plano técnico, alojar tu web y tu correo en un hosting con certificado SSL, filtros antispam y software siempre actualizado añade una capa de protección frente a los mensajes fraudulentos. En HostingPlus, por ejemplo, el SSL viene incluido y el soporte en español está disponible 24/7 para ayudarte si detectas un intento de suplantación.

Preguntas frecuentes

¿Cómo puedo reconocer un correo de phishing?

Suele tener señales claras: un remitente extraño, faltas de ortografía, un tono que mete prisa o que amenaza, y enlaces cuya dirección real no coincide con la entidad que dice representar. Ante cualquier duda, no hagas clic y accede a la plataforma escribiendo tú mismo la URL oficial.

¿Qué hago si he caído en un ataque de phishing?

Cambia de inmediato la contraseña de la cuenta afectada y de cualquier otra en la que uses la misma, activa la verificación en dos pasos y avisa a tu banco si has facilitado datos financieros. Revisa los movimientos recientes y, si procede, denuncia el fraude ante las autoridades.

¿Por qué el phishing es tan peligroso para las empresas?

Porque se dirige al eslabón más débil de la ciberseguridad, que son las personas, y a menudo va unido al ransomware. Basta con que un solo empleado revele sus credenciales para que un atacante acceda a los sistemas de la empresa y provoque robos de datos o paradas de servicio.

¿Tu web necesita un hosting que vuele?

Hosting en España con soporte real en español, migración gratis, SSL incluido y 30 días de garantía. Sin líos y sin costes ocultos.

Ver planes de hosting →