Estar informado sobre el phishing resulta imprescindible en el contexto actual en el que la creciente sofisticación y prevalencia de este tipo de ataque amenaza a las empresas. El phishing se posiciona como la primera entre las amenazas de ciberseguridad para las organizaciones. Es más, se calcula que el 91% de las empresas corre riesgo de sufrir este tipo de ataque.  La protección de datos sensibles y la amenaza a la continuidad del negocio y sus sistemas críticos son solo algunas de las áreas que quedan en riesgo debido a este tipo de ataque. Pero, ¿qué es el phishing, qué tipos existen y cómo evitarlo? Te lo contamos.

¿Qué es phishing? 

El phishing es un tipo de ataque cibernético en el que se engaña a las personas para que revelen información confidencial, desde contraseñas de acceso a detalles de tarjetas de crédito y otra información personal.  El término "phishing" se deriva de la palabra inglesa "fishing" (pesca), ya que este tipo de ataque consiste en lanzar “cebos” en forma de mensajes fraudulentos (ya sea por vía email, mensaje instantáneo u otras formas de comunicación).  Estos mensajes, que pueden parecer legítimos y parecen provenir de fuentes de confianza (por ejemplo, una entidad bancaria o una persona conocida), buscan persuadir a las personas para que hagan clic en enlaces maliciosos.  Imitando la apariencia de sitios web reales, se trata en realidad de páginas web falsas que piden que la persona ingrese información o datos confidenciales, entregándolos involuntariamente a los atacantes.

Tipos de ataques de phishing 

  • Correo electrónico: consisten en mensajes de correo electrónico falsos que se hacen pasar por comunicaciones legítimas de instituciones de confianza. Dentro de esta categoría se encuentra también el conocido como Spear Phishing, que utiliza información personalizada del receptor para aumentar la credibilidad del mensaje.
  • Sitios web: en este caso, los atacantes crean sitios web falsos que imitan la apariencia de sitios legítimos para engañar a las personas y hacer que ingresen información confidencial. 
  • Redes sociales: se crean perfiles falsos para enviar mensajes fraudulentos o solicitudes de conexión con el objetivo de obtener información personal.
  • Mensajes de Texto (Smishing): en este caso, los atacantes envían mensajes de texto falsos que parecen provenir de fuentes legítimas, solicitando información personal o instando a que el receptor haga clic en enlaces maliciosos. Es el caso del ya conocido como phishing de Correos, que parecía provenir de la empresa española Correos.
  • Teléfono (Vishing): los atacantes utilizan llamadas telefónicas para obtener información confidencial, usualmente apresurando a su interlocutor con alguna excusa, para que no dude en proporcionar los datos solicitados,
  • Mensajería Instantánea: utilizan plataformas de mensajería instantánea (como WhatsApp) para enviar mensajes fraudulentos.
  • Ataques de redireccionamiento de DNS: aquí los atacantes logran redirigir el tráfico de un sitio web legítimo a uno falso sin el conocimiento del usuario.

¿Cómo identificar un ataque de phishing? 

Hay toda una serie de acciones que las personas pueden llevar a cabo para tratar de verificar si el mensaje que han recibido es phishing.  Es crucial examinar de dónde proviene el mensaje (por ejemplo, la dirección de correo electrónico del remitente), ya que muchos de estos mensajes utilizan direcciones que se asemejan a las de empresas legítimas, pero que tienen pequeñas variaciones o errores ortográficos. El propio formato del correo electrónico también puede dar pistas: si aparecen errores gramaticales, ortográficos o de formato inusual, es posible que se trate de un fraude. También se recomienda no hacer clic directamente en enlaces en correos electrónicos, mensajes de texto o mensajes instantáneos. Pasa primero el cursor sobre el enlace para ver la URL real y comprobar si parece sospechosa. También puedes buscar señales en la URL, como asegurarte de que la conexión sea segura (https://) y cuente con un certificado SSL.  Además, empresas legítimas como tu banco rara vez van a pedirte información confidencial a través de correos electrónicos no solicitados. Ten cuidado, por tanto, si recibes un correo que te pide datos personales, contraseñas o información financiera. Otro paso esencial es que, si tienes dudas sobre la legitimidad de un mensaje, puedes comunicarte directamente con la empresa que lo ha enviado utilizando la información de contacto oficial (no la proporcionada en el mensaje sospechoso).

¿Cómo protegerse del phishing?

Protegerse contra el phishing abarca todo un conjunto de acciones como las que acabamos de describir. Así, el factor humano y el conocimiento sobre las amenazas cibernéticas siguen siendo clave en la lucha contra el cibercrimen. Además, hay toda una serie de medidas tecnológicas que las empresas deben incorporar para su seguridad. Desde la actualización de software y sistemas operativos hasta el uso de software de seguridad efectivo con herramientas antivirus y antimalware, pasando por los filtros de email.