¿Qué es el phishing y cuáles son sus peligros?

¿Qué es el phishing?
(Crédito de imagen: wk1003mike / Shutterstock)

El phishing es la práctica de colocar un cebo delante de un usuario de ordenador desprevenido y esperar a que pique, y es algo que llevado de cabeza a las compañías antivirus desde hace mucho tiempo.

Al igual que un pescador utiliza un cebo en un anzuelo para intentar capturar un salmón, los criminales utilizarán un cebo virtual en forma de email (normalmente) con un enlace para atraer al usuario a hacer clic en ese enlace. Desgraciadamente, una vez que la víctima desprevenida queda "enganchada", lo más probable es que su dispositivo esté infectado con malware, y todo un mundo de dolor y gastos.

Tienes un email - no deseado

El método más común para un intento de phishing es el correo electrónico. Sin embargo, este tipo de ataque puede dirigirse a los incautos a través de mensajes de texto en un teléfono, en sitios de medios sociales u otras vías online.

El tema es que, sea cual sea el canal de entrega elegido, el mensaje parecerá provenir de una entidad fiable. Y si el atacante está bien armado con algún conocimiento sobre ti (como los servicios a los que estás suscrito) puede parecer aún más creíble porque parece provenir de una empresa que utilizas.

Como la comunicación parece provenir de un sitio de confianza, esto puede hacer que sea menos probable que pienses en el contenido real del mensaje, sobre todo cuando el email de phishing combina esto con la sugerencia de que hay que hacer algo urgentemente, que es otra táctica común.

Phishing message

(Image credit: Shutterstock / DRogatnev)

¿Cómo funciona exactamente el phishing?

A menudo, el estafador de phishing hará que parezca que debes tomar medidas inmediatas, con la esperanza de que esto te incite a actuar rápidamente por miedo en lugar de considerar el contenido del email.

Pongamos un ejemplo: puedes recibir un mensaje sobre una factura impagada marcada como urgente con la advertencia de que tu cuenta está a punto de ser cancelada si no se paga inmediatamente. Se adjuntará la factura, y si la abres, con curiosidad por saber lo que debes y por qué, el archivo (que no es una factura real) infectará tu PC con malware.

Un segundo ejemplo es un email que dice algo así como "Siga este enlace para iniciar sesión y restablecer su contraseña AHORA porque su cuenta ha sido comprometida y sus datos de pago están en peligro".

La ironía es que si haces clic en ese enlace y caes en el intento de phishing, se te presentará un portal de acceso falso (probablemente bastante convincente). Cuando introduzcas tu contraseña y otros datos personales, te los robarán y tu cuenta estará de verdad en peligro.

¿Cómo de malo es caer en el phishing?

Siguiendo con los ejemplos anteriores, si el phishing te engaña para que abras un archivo adjunto cargado de malware, tu sistema se infectará y podrían ocurrir todo tipo de cosas malas. Por ejemplo, podrías ser víctima de un ransomware, que bloquea todos tus archivos y exige un gran pago para recuperarlos (sin garantía de que eso ocurra, incluso si pagas).

En el segundo ejemplo, el delincuante tendrá tu nombre de usuario y contraseña (posiblemente incluso tus datos bancarios) y podrá entrar en tu cuenta, quizás cambiando la contraseña para bloquearte la próxima vez que intentes entrar.

Dependiendo del servicio o la suscripción que se haya visto comprometida, el estafador podrá llevar a cabo un gran número de acciones. Si se trata de un sitio de compras online, por ejemplo, podrían pedir productos con su cuenta.

Otro peligro es el de las personas que tienen la mala práctica de seguridad de utilizar la misma contraseña para diferentes cuentas. El atacante puede probar la contraseña robada con otros servicios (usando tu email como nombre de usuario) y ser capaz de entrar en ellos también. Por eso nunca debes reutilizar la misma contraseña en varias cuentas.

Two-factor authentication

(Image credit: Shutterstock / Askobol)

Dos factores, mejor que uno

El phishing es peligroso. Entonces, ¿qué puedes hacer para protegerte? 

Lo más importante es tener sentido común y mucha precaución con cualquier mensaje que recibas y que parezca sospechoso. Los signos reveladores son las faltas de ortografía, las frases extrañas (como que parezcan escritas por alguien de otro país), los mensajes que dicen que hay que hacer algo "ahora mismo", o un enlace o un archivo adjunto que parezca mínimamente sospechoso.

Incluso si un mensaje parece provenir de tu jefe o de un amigo cercano, no te fíes de su contenido, ya que su dirección de correo electrónico o sus datos podrían haber sido suplantados. De hecho, una de las mejores medidas que puedes tomar si no estás seguro de un mensaje es ponerte en contacto directamente con el remitente del email y comprobar si es auténtico. Del mismo modo, si recibes un mensaje que dice ser de, por ejemplo, Amazon, puedes acceder a tu cuenta y ponerte en contacto directamente con la compañía para revisar la validez de cualquier comunicación.

No solo la doble comprobación es tu amiga cuando se trata de derrotar al phishing, sino también la doble autenticación. Esto significa utilizar la autenticación de dos factores o 2FA, que muchos servicios y empresas importantes utilizan hoy en día. Con el 2FA, no solo se establece una contraseña, sino también una segunda forma de verificación, de modo que cuando un intento de inicio de sesión proviene de un nuevo dispositivo o ubicación, también hay que introducir, por ejemplo, un código que se envía por mensaje de texto al teléfono móvil.

En este caso, un atacante puede haber robado tu contraseña, pero cuando intente iniciar sesión con ella, no tendrá tu teléfono (¡esperemos!) y, por tanto, no podrá entrar en tu cuenta con éxito. Así que el 2FA es definitivamente un gran aliado en la batalla contra el phishing.

Por último, no está de más tener instalado uno de los mejores antivirus en tu ordenador (o teléfono) para ayudar a detectar cualquier amenaza y ofrecer protección para bloquear los sitios de phishing conocidos.

Conclusión

El phishing es una de las amenazas más peligrosas para tus cuentas y datos online, ya que este tipo de abusos se esconden tras la apariencia de una empresa o persona de buena reputación y utilizan elementos de ingeniería social para hacer que las víctimas sean mucho más propensas a caer en la estafa.

Por ello, debes ser muy cauteloso con cualquier cosa remotamente sospechosa en un mensaje que recibas y hacer un buen uso de las prácticas de seguridad que hemos comentado anteriormente, incluyendo la autenticación de dos factores.

Antonio Romero

Editor en TechRadar España de día, guitarrista de blues y friki de los cómics de noche. ¿O era al revés?

Aportaciones de