Se trata de un engaño basado generalmente en la suplantación de una empresa o entidad de confianza y reconocida, como puede ser una entidad bancaria, una red social, una empresa energética, una compañía telefónica o un organismo público. El objetivo de los ciberdelincuentes que lanzan este tipo de ataques es hacerse con claves de acceso o información sensible, como pueden ser datos fiscales o bancarios.
¿Qué es un phishing?
Es un tipo de fraude que se comete generalmente a través del correo electrónico, aunque también puede ser a través de otros medios, como mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas (vishing). El objetivo principal es robar información confidencial y credenciales de acceso.
Los ciberdelincuentes para engañar a las víctimas suelen suplantar la identidad de empresas y organizaciones reconocidas, comúnmente aquellas de las que pretenden robar la información, como por ejemplo, entidades bancarias o públicas, empresas del sector energético o de logística, etc.
¿Cómo identificarlos y evitar caer en este tipo de fraudes?
Los ciberataques de tipo phishing contienen en el cuerpo del mensaje un enlace que lleva a una página web fraudulenta, generalmente con la misma estética que la página web legítima a la que intenta suplantar (web spoofing). En dicha web se solicita la información confidencial que los ciberdelincuentes desean sustraer, generalmente información personal, credenciales de acceso e información financiera. Para ofrecer más veracidad al fraude, la web fraudulenta suele utilizar un nombre de dominio similar al legítimo, siempre buscando como objetivo que las potenciales víctimas caigan en el engaño.
Una vez que la víctima del ataque ha facilitado toda la información que los ciberdelincuentes le solicitan, suele ser redirigida a la página web legítima de la empresa suplantada, con el fin de que el fraude pase el mayor tiempo desapercibido, hasta que la víctima se da cuenta y denuncia el hecho.
Algunas pautas a tener en cuenta para identificarlos y evitar caer en el engaño:
- Analizar el remitente. Los correos de tipo phishing en ocasiones contienen remitentes que no coinciden con la organización a la que supuestamente representan. Este es el primer indicador que ha de comprobarse. En otras ocasiones, los ciberdelincuentes utilizan la técnica email spoofing, que consiste en falsear el remitente, haciendo que parezca proceder de la entidad legítima cuando en realidad no es así.
- Generar sensación de urgencia. las que tendrán que hacer frente a no ser que sigan las instrucciones que facilitan, siendo generalmente estas acceder a una página web fraudulenta e introducir información confidencial. Los ciberdelincuentes suelen utilizar como ganchos la cancelación del servicio o cuenta, multas, sanciones por no acceder en tiempo y forma, etc. Durante la pandemia provocada por el COVID-19 los ciberdelincuentes se han adaptado para utilizar señuelos basados en esta temática y cualquier aspecto que pudiera englobarla, como los ERTE o ayudas gubernamentales.
- Enlaces falseados. Los enlaces suelen aparentar que corresponden a la web legítima o sencillamente contienen un texto haciendo referencia a que sea seleccionado o “clicado”. Para comprobar a dónde apunta realmente el enlace, se puede situar el ratón encima, y ver el cuadro de diálogo que figura en la parte inferior de la pantalla con la verdadera dirección, o utilizar herramientas online.
- Comunicaciones impersonales. Las comunicaciones de entidades legítimas suelen referirse a su destinatario utilizando nombre y apellidos. Por el contrario, los ciberdelincuentes no suelen conocer esos datos personales, por lo que las comunicaciones son impersonales.
- Errores ortográficos y gramaticales. Una auténtica comunicación de cualquier entidad no contendrá errores ortográficos o gramaticales, ya que la comunicación con sus clientes es un aspecto muy cuidado.