A hand with its middle and index fingers facing the floor and a fishing hook above it.

Cada vez escuchamos más esta palabra, pero, ¿qué significa phishing exactamente? El término, que suena igual que fishing – pesca en inglés – es una estrategia usada por los ciberdelincuentes para conseguir información confidencial o credenciales bancarios. Aquí te explico todo lo que debes saber para prevenir este tipo de estafa, cada vez más común en Internet.

Índice

    ¿Qué es el phishing?

    Los intentos de phishing son estafas online que tienen por finalidad engañar a sus víctimas para que compartan – voluntariamente – información personal o financiera como, por ejemplo, contraseñas bancarias o claves de seguridad de sus tarjetas. Pero, ¿cómo funciona el phishing?

    Al igual que sucede en la pesca, hay muchas maneras de atrapar a una presa, pero todos los ataques de phishing lo hacen suplantando la identidad de un organismo, persona o web de confianza para no levantar ninguna sospecha.

    De esta forma, los ciberdelincuentes no solo consiguen hacerse con nuestros datos, sino que tardemos en darnos cuenta de que hemos sido víctimas de una estafa. En muchos casos, solo lo hacemos cuando es demasiado tarde. ¡La creatividad de los ciberdelincuentes no tiene límites! Por eso, es imprescindible estar al tanto de los ataques de phishing más comunes.

    ¿Por qué es el phishing un problema?

    El phishing puede tener consecuencias devastadoras para las víctimas que sucumben a estas estafas. Las estadísticas no mienten, y es que, según Kaspersky, los ataques de phishing aumentaron un 40% en 2023, un porcentaje que seguirá disparándose con la ayuda de la Inteligencia Artificial.

    Un estudio de seguridad de BDO determinó que el 91% de las empresas corre el riesgo de sufrir algún ataque de phishing, y es que los estafadores no discriminan entre personas y compañías. Puesto que podemos ser objetivo de los ciberdelincuentes tanto el lo personal como en lo laboral, es importante familiarizarse con los ataques de phishing, cada vez más elaborados.

    << Los ataques de phishing aumentaron un 40% en 2023 >>

    Los estafadores siempre van un paso por delante, y la digitalización de nuestras vidas juega en su favor. La mayoría de nosotros compra y realiza operaciones bancarias online, una oportunidad de oro para los hackers. Pero no solo eso: hasta los canales que consideramos seguros – como el WhatsApp o el correo del trabajo – pueden ser utilizados por los ciberdelincuentes para conseguir lo que buscan.

    Objetivos de los ataques de phishing

    Aunque las estafas de phishing funcionan de manera similar, pueden tener diferentes objetivos:

    • Robo de Identidad: Los ciberdelincuentes pueden obtener información personal con la que suplantarte para cometer fraudes fiscales como, por ejemplo, solicitar créditos a tu nombre.
    • Robo de Dinero: Sin darnos cuenta, podemos facilitar nuestras credenciales bancarias o claves secretas, dando acceso a nuestras cuentas bancarias o permitiendo que los estafadores realicen compras no autorizadas con nuestras tarjetas.
    • Pérdida de Reputación: Los hackers pueden dañar la reputación de una empresa si consiguen información confidencial de la misma.
    • Pérdida de Información: Los ciberdelincuentes pueden dirigir sus ataques de phishing a las empresas para obtener información confidencial sobre acuerdos comerciales o proyectos en desarrollo, y chantajear a los gerentes a cambio de dinero. También pueden intentar vender los datos a la competencia.
    • Instalación de Malware: Los estafadores también pueden engañar a sus víctimas para que descarguen e instalen software espía que almacene sus contraseñas cuando las tecleen.

    Como ves, tanto empresas como particulares pueden ser víctimas de los ataques de phishing, y saber cómo operan los ciberdelincuentes es clave para mantenerse a salvo de estas estafas tan frecuentes.

    ¿Cómo funciona el phishing?

    An infographic explaining how phishing works in four steps.

    Cualquier ataque de phishing, independientemente de si tiene un objetivo específico o se dirige a tantas víctimas como sea posible, comienza con un mensaje malintencionado de una persona o empresa – supuestamente – de confianza.

    Al confiar en la fuente del mensaje, la víctima cae en la trampa y sigue las instrucciones, que incitan a actuar con rapidez para evitar supuestas consecuencias indeseadas, como la suspensión de una cuenta, la devolución de un paquete o un recargo económico.

    Los estafadores también pueden enviar notificaciones sobre multas o cobros no autorizados para que las víctimas, asustadas, hagan clic inmediatamente. Es por esto que debemos desconfiar de cualquier mensaje que contenga enlaces, por muy legítima que pueda parecer la fuente a primera vista.

    << Debemos desconfiar de cualquier mensaje que contenga enlaces, por muy legítima que pueda parecer la fuente a primera vista >>

    Aunque cueste creerlo, cualquiera puede ser víctima de una estafa online. Un estudio llevado a cabo por Google y la Universidad de Florida determinó que los ataques de phishing funcionan porque factores como el estado de ánimo o la carga emocional del mensaje pueden afectar a nuestra capacidad de razonamiento.

    Tipos de ataques de phishing

    Ahora que ya sabes qué es y cómo funciona el phishing, vamos a tratar los diferentes tipos de ataques para que sepas cómo prevenirlos:

    1. Email Phishing

    Según un informe de Deloitte, el 91% de los ciberataques exitosos comienza con un correo electrónico. Y es que el email es el canal favorito de los hackers, porque orquestar una campaña de phishing masiva por email es realmente barato.

    1. Spear Phishing

    Esta es una modalidad más sofisticada de phishing. Al igual que las campañas masivas, suele consistir en correos electrónicos u otro tipo de mensajes que simulan provenir de una fuente de confianza y tienen como objetivo obtener datos confidenciales por parte de la víctima, con la diferencia de que, en este caso, estos ataques de phishing se dirigen a personas o empresas específicas.

    Los ciberdelincuentes analizan a sus objetivos de manera más exhaustiva, elaborando mensajes personalizados que hacen creer a la víctima que está recibiendo mensajes legítimos.

    1. Smishing

    Se refiere a los ataques de phishing realizados mediante el envío de SMS. Los hackers simulan ser una entidad de confianza – banco, institución pública, empresa de envíos, etc. – e invitan a hacer clic en un enlace con la máxima urgencia posible para, supuestamente, solucionar un problema que puede acarrear consecuencias negativas o conseguir un premio o recompensa.

    1. Vishing

    El vishing consiste en engañar a las víctimas mediante llamadas telefónicas. Este tipo de estafa es cada vez más común, ya que induce a las víctimas a un estado de nerviosismo ante un supuesto robo de dinero. El funcionamiento es el siguiente: los estafadores suplantan la identidad del banco – pueden incluso hacerse con su número de teléfono – y hacen creer al interlocutor que está siendo víctima de un robo.

    << Este tipo de estafa es cada vez más común, ya que induce a las víctimas a un estado de nerviosismo ante un supuesto robo de dinero >>

    Fruto del nerviosismo y creyendo que están cancelando los supuestos cargos, las víctimas hacen clic en las notificaciones que reciben, autorizando el robo del dinero. Los estafadores, haciéndose pasar por agentes del banco que están de su parte, llegan a lograr que las víctimas compartan sus credenciales.

    Mi consejo es que, si recibes una llamada del banco alertándote de transacciones fraudulentas, cuelgues y llames a tú mismo a la entidad.

    1. Whaling

    Estas campañas de phishing están dirigidas a altos cargos y ejecutivos – los peces gordos – y tienen la finalidad de conseguir información confidencial o acceder a los sistemas informáticos de una empresa con fines delictivos.

    1. Spoofing

    Se denomina así a un ataque de phishing consistente en suplantar el dominio de una web o correo electrónico para hacer pasar los sitios web y emails peligrosos por seguros.

    1. Evil Twin

    Las redes WiFi públicas no están libres de peligros, y es que te expones a un ataque de phishing cada vez que utilizas una. Las campañas Evil Twin están orquestadas por ciberdelincuentes que instalan puntos de acceso maliciosos donde la gente espera encontrar WiFi gratis.

    Y es que, en vez de dar con una red de Internet de acceso libre, se topan con su gemelo malvado, dispuesto a atacar e infectar sus dispositivos.

    << Las redes WiFi públicas no están libres de peligros, y es que te expones a un ataque de phishing cada vez que utilizas una >>

    Mi recomendación es que, en la medida de lo posible, no utilices ninguna WiFi pública y, si no tienes más remedio que conectarte a ella, evites escribir contraseñas o claves bancarias. Si, además, puedes configurar el acceso mediante huella previamente para no escribir nunca tus claves, mejor que mejor. Además, es recomendable escanear el dispositivo en busca de agentes maliciosos después de conectarse a una WiFi gratis.

    1. Quishing

    El quishing o phishing mediante QR es un tipo de amenaza que busca que las víctimas escaneen códigos QR y hagan clic en los enlaces resultantes para hacerse con sus credenciales o información personal.

    La estafa también puede redirigir a un enlace de descarga de un programa espía. Este tipo de ataque es todavía un gran desconocido, lo que hace que muchas personas caigan en la trampa, atraídas por un supuesto premio o descuento.

    Otros tipos de phishing

    Además de los mencionados, hay muchos otros tipos de ataques:

    • Pharming: Los ciberdelincuentes redirigen el tráfico de las webs legítimas.
    • Phising en Buscadores: Los estafadores crean sitios fraudulentos que posicionan entre los primeros resultados de búsqueda.
    • Phishing en Redes Sociales: Los atacantes ofrecen descuentos llamativos haciéndose pasar por marcas conocidas.

    Estos son solo los ataques de phishing más habituales, pero hay muchos más. Además, emergerán nuevos modelos de estafa a medida que se refuercen las medidas de seguridad de los dispositivos que utilizamos. Por este motivo, es importante permanecer alerta para no ser una de las víctimas de los futuros ciberataques.

    Cómo reconocer un ataque de phishing

    En la actualidad, recibimos tantas comunicaciones que actuamos sin pararnos a pensar que pueden tratarse de una estafa. Sin embargo, debemos prestar atención si queremos evitar que nos roben tanto nuestro dinero como nuestra información personal. Para tu tranquilidad, las campañas de phishing guardan ciertas similitudes, y reconocerlas te ayudará a identificar un mensaje fraudulento:

    Urgencia:

    Los mensajes maliciosos incitan a hacer clic en un enlace lo antes posible para evitar consecuencias indeseadas como el desvío de un paquete, un recargo por impago o el cobro de un cargo no autorizado.

    Recompensa atractiva:

    Muchos ataques de phishing llaman la atención de las víctimas con falsos premios o descuentos. Desconfía de los mensajes que te informan de que has ganado, por ejemplo, un iPhone o un cheque regalo.

    Archivos adjuntos:

    Los ciberdelincuentes hacen creer a las víctimas que han recibido una multa o que tienen cualquier otro pago pendiente. Descargar los archivos adjuntos puede suponer un robo de nuestras credenciales bancarias o cualquier otra información de carácter personal.

    Mensajes inusuales:

    Los atacantes pueden intentar hacerse pasar por tus jefes o compañeros de trabajo, enviándote enlaces o archivos maliciosos, o bien incitándote a facilitar datos bancarios o realizar un pago para resolver una «emergencia» de la empresa.

    Lo mejor que puedes hacer frente a un posible ataque de phishing es sospechar. Ante la más mínima duda, puedes realizar las siguientes comprobaciones:

    • Confirma el Remitente: Si recibes un mensaje sospechoso, asegúrate que el remitente es quien dice ser. También puedes copiar el contenido del mensaje y pegarlo en Google para averiguar si ha sido usado para estafar a otras personas. Si recibes llamadas de números desconocidos, búscalos para ver si están relacionados con alguna campaña fraudulenta.
    • Comprueba los Enlaces: Solo necesitas pasar el cursor por encima del enlace para ver la URL. Asegúrate de que la web es segura comprobando que empieza por “HTTPS” en lugar de “HTTP”, y verifica que se trata de una web legítima y no ha sido suplantada.
    • Busca Inconsistencias o Faltas de Ortografía: Si bien es verdad que la Inteligencia Artificial ha contribuido al éxito de muchos ataques de phishing, puede que encuentres faltas de ortografía o mensajes incoherentes, resultado de las traducciones automáticas. Muchos correos electrónicos suplantan la identidad de empresas, entidades bancarias e instituciones creando copias de sus plantillas y logos, pero no siempre son elaboradas. Fíjate bien para descubrir posibles inconsistencias.
    Recibe Alertas de Filtraciones en Tiempo Real
    Surfshark te avisa si tu correo electrónico, número de tarjeta o DNI se han filtrado
    Surfshark

    ¿Cómo prevenir el phishing?

    Prevenir los ataques de phishing requiere una combinación de buenas prácticas de usuario y sistemas robustos de ciberseguridad. Estas son algunas de las medidas que puedes tomar:

    • Aprende a identificar las estafas de phishing
    • Evita hacer clic en los enlaces de los mensajes que recibes
    • Utiliza un sistema de seguridad anti-phishing
    • Cambia tus contraseñas con regularidad
    • Instala todas las actualizaciones de tu software
    • Activa el firewall en tus dispositivos
    • Bloquea las ventanas emergentes o pop-ups
    • Habilita la autenticación en dos factores (2FA) siempre que sea posible

    ¿Qué hacer en caso de phishing?

    Si has sido víctima de un ataque de phishing o crees que podrías haberlo sido, esto es lo que puedes hacer:

    1. Interpón una denuncia: Realiza capturas de pantalla y presenta una denuncia en comisaría para que quede constancia del ataque antes de que de los delincuentes suplanten tu identidad o realicen pagos o cargos no autorizados.
    2. Ponte en contacto con la web, entidad u organismo legítimo: Infórmales del ataque y avisa a tu banco si has compartido tus claves de seguridad o datos de pago.
    3. Cambia tus contraseñas, especialmente las bancarias.
    4. Utiliza un antivirus para descartar la presencia de malware. También es recomendable restaurar el dispositivo a su configuración de fábrica. Si estás en España, puedes comunicar el incidente a la Agencia Española de Protección de Datos.

    ¿Dónde puede ocurrir el phishing?

    El phishing, por desgracia, puede ocurrir tanto en el trabajo como fuera de él. Los ciberdelincuentes buscan información de alto valor que puedan intercambiar por dinero o que directamente les lleve a él, de modo que debemos estar alerta y sospechar de cualquier mensaje o llamada que nos incite a actuar con urgencia o a hacer clic en enlaces sospechosos.

    Conclusión

    El phishing es toda aquella ciberestafa que consiste en hacer que las víctimas muerdan el anzuelo para que, voluntariamente, proporcionen información personal o bancaria a los delincuentes. Además de permanecer alerta y aprender a reconocer los diferentes tipos de ataques, es importante contar con un sistema de seguridad que nos proteja ante el creciente número de estafas online.

    Navega sin Preocuparte por Nada
    Usa una identidad y un correo alternativo para registros
    Surfshark

    Preguntas frecuentes

    ¿Qué es el phishing?

    El phishing es un ataque cibernético en el que un estafador se hace pasar por una entidad legítima o persona de confianza para obtener información sensible, como credenciales de inicio de sesión o información bancaria, a menudo mediante correos electrónicos, mensajes de texto o sitios web fraudulentos.

    ¿Cuáles son las estafas de phishing más comunes?

    El correo electrónico sigue siendo el canal más utilizado por los ciberdelincuentes, que incitan a sus víctimas a hacer clic en un enlace haciéndose pasar por una empresa, entidad o persona de confianza para que proporcionen, de manera voluntaria, información confidencial o datos bancarios.

    Los correos pueden ser de distintos tipos, desde emails que prometen falsos premios o recompensas a mensajes que informan de una multa o un cargo pendiente de pagar.

    ¿Hay muchos ataques de phishing en España?

    España se encuentra entre los 5 países con más ciberataques, con más de 8 millones de cuentas hackeadas en 2023. Los ataques se dirigen tanto a particulares como empresas, a menudo causando pérdidas financieras y de identidad.

    Un reciente informe de la Agencia de Ciberseguridad e Infraestructura reveló que más del 80% de los empleados muerde el anzuelo del phishing, una cifra preocupante que pone en evidencia la falta de preparación frente a estos ataques. Pero los particulares o instituciones públicas tampoco están a salvo: Un informe de Check Point de 2023 reveló que en España se producen, de media, 1.250 ataques de phishing por semana.

    ¿Qué es phishing en el móvil?

    Cualquier dispositivo conectado a Internet puede ser víctima de una estafa de phishing, incluidos los teléfonos. Los smartphones tienen pantallas pequeñas, haciendo que sea más difícil para los usuarios comprobar la legitimidad de un mensaje que en un ordenador.

    Esto, junto con la instantaneidad del mundo digital en el que vivimos, juega en favor de los ciberdelincuentes. Por eso, y porque dependemos de nuestros smartphones casi para todo, es importante contar con un sistema de seguridad que nos ayude a identificar y bloquear los ataques de phishing.

    ¿Qué hago si soy víctima del phishing?

    Si has sido víctima de un ataque de phishing, es importante que interpongas una denuncia en la comisaría más cercana para que la policía esté al tanto en caso de que los estafadores traten de hacerse pasar por tí.

    Ponte en contacto con el banco, utiliza un antivirus para descartar la presencia de software malicioso y cambia tus contraseñas a la mayor brevedad posible para evitar posibles pagos y cargos no autorizados.