Phishing

Reading time icon

lectura de 5 minutos

Reading time icon

lectura de 5 minutos

El phishing es una forma de ataque de ingeniería social, en el que el criminal se hace pasar por una empresa de confianza y pide información sensible a la víctima.

Obtener protección

¿Qué es el phishing?

Técnica utilizada para obtener datos valiosos del usuario que los atacantes pueden vender o utilizar indebidamente con fines nefastos, como la extorsión, el robo monetario o la suplantación de identidad.

¿Alguna vez has recibido un correo electrónico, un mensaje de texto u otra forma de comunicación electrónica aparentemente procedente de un banco u otro servicio en línea popular, que te pedía que "confirmaras" las credenciales de tu cuenta, un número de tarjeta de crédito u otra información confidencial? Si es así, ya sabes cómo es un ataque de phishing común.

Origen del término

Este concepto fue descrito por primera vez en una conferencia en 1987 de Jerry Felix y Chris Hauck llamada "Seguridad del sistema: La perspectiva de un hacker" (1987 Pleitos Interex 1:6). Argumentaba la técnica de un atacante que imitaba una entidad o servicio con una buena reputación. La palabra en sí es un homófono de "pescar" víctimas, puesto que usa la misma técnica de "cebo-presa". La "ph-" del principio es una referencia a “phreaks”, un grupo de hackers de los sistemas de telecomunicaciones que exploraba ilegalmente sus límites en los 90.

Phishing image
Corre la voz y comparte en línea

¿Cómo funciona el phishing?

El phishing lleva en funcionamiento muchos años y en todo este tiempo los atacantes han desarrollado un amplio conjunto de métodos para atacar a las víctimas.

La técnica más común de phishing es hacerse pasar por un banco o entidad financiera por correo electrónico para tentar a la víctima a completar un formulario falso en el mensaje o adjunto a él o visitar una página web solicitando la entrada de los detalles de la cuenta o las credenciales de inicio de sesión.

Leer más

La información robada de las víctimas se usa de forma ilegítima para vaciar cuentas bancarias o se vende por Internet.

También se pueden realizar ataques similares mediante llamadas telefónicas (vishing) así como mediante mensajes SMS (smishing).

Spearphishing

Se trata de un método de phishing más avanzado donde mensajes que parecen auténticos llegan a las bandejas de entrada de determinados grupos, empresas o incluso individuos. Los autores de correos de spearphishing realizan antes una investigación detallada de sus posibles víctimas, dificultando que se identifique el contenido como fraudulento.

Los ataques dirigidos a determinados altos cargos de empresas, tales como directivos o CEOs se clasifican como whaling, debido al tamaño de la posible recompensa (los chicos malos persiguiendo al "pez gordo").

¿Cómo reconocer el phishing?

En el pasado, a menudo se utilizaban para este fin nombres de dominio mal escritos o engañosos. Hoy en día, los atacantes incorporan métodos más sofisticados, haciendo que los enlaces y las páginas falsas se parezcan mucho a sus homólogos legítimos.

Un correo electrónico o mensaje puede contener logos oficiales u otros signos de empresas con buena reputación y aun así proceder de ciberdelincuentes. A continuación te ofrecemos algunos consejos que pueden ayudarte a detectar un mensaje de phishing.

Señales sospechosas

  1. Saludos genéricos o informales: Si a un mensaje le falta personalización (por ej. "Estimado cliente") y formalidad, entonces probablemente hay algo equivocado. Lo mismo es aplicable cuando se usan números de referencia falsos y aleatorios 
  2. Solicitud de información personal: Lo suelen usar frecuentemente los creadores de phishing, y lo evitan los bancos, las instituciones financieras y muchos otros servicios online
  3. Gramática pobre: Faltas de ortografía, tipografía y una redacción incorrecta a menudo indican que se trata de un correo falso (pero la ausencia de éstas no es ninguna prueba de legitimidad)
  4. Correspondencia inesperada: Es muy inusual que un banco o proveedor de servicios por Internet contacte con nosotros y por tanto es muy sospechoso
  5. Sensación de urgencia: Los mensajes de phishing a menudo intentan inducir a una acción rápida o tomada con menos consideración
  6. ¿Una oferta que no puede rechazar? - Si el mensaje parece demasiado bueno para ser verdad, casi seguro que lo es
  7. Dominio sospechoso: ¿Crees que un banco español te enviaría un correo electrónico desde un domino chino?

Cómo protegerse contra el phishing

Para evitar ser víctima de phishing, ten en cuenta los indicadores anteriores según los cuales los mensajes de phishing suelen delatarse a sí mismos. Sigue estos sencillos pasos:

Mantente alerta a las nuevas técnicas de phishing

Sigue las noticias de los medios de comunicación sobre ataques de phishing, ya que los atacantes pueden idear nuevas técnicas para hacer caer a los usuarios en una trampa.

No facilites tus datos personales

Permanece siempre alerta si un mensaje electrónico de una entidad aparentemente fiable te pide tus credenciales u otros datos confidenciales.

Antes de hacer clic, piénsatelo dos veces


Si un mensaje sospechoso incluye un enlace o un archivo adjunto, no hagas clic ni lo descargues. Podría llevarte a un sitio web malicioso o infectar tu dispositivo con malware.

Comprueba regularmente tus cuentas online

Incluso si no sospechas que alguien está intentando robar tus credenciales, comprueba tus cuentas bancarias y otras cuentas en línea en busca de actividad sospechosa. Por si acaso.

Utiliza una solución antiphishing fiable


Aplica estas técnicas y "Disfruta de una tecnología más segura".

Obtener protección
History of phishing image

Ejemplos destacables

El phishing sistemático empezó en la red de America Online (AOL) en 1995. Para robar las credenciales de cuentas legítimas, los atacantes contactaban a las víctimas mediante la Mensajería Instantánea de AOL (AIM), fingiendo en ocasiones ser empleados de AOL que estaban comprobando sus contraseñas de usuarios. El término "phishing" apareció en un grupo de Usenet que se centraba en una herramienta llamada AOHell que automatizaba este método, y el nombre permaneció. Después de que AOL implementara medidas contra ello en 1997, los atacantes se dieron cuenta de que podían usar la misma técnica en otras partes de Internet, y pasaron a fingir que eran instituciones financieras.

Más información

Uno de los primeros intentos, aunque fallido, ocurrió en 2001 aprovechándose del caos que generaron los ataques terroristas del 11 de septiembre. Los creadores de phishing enviaron correos electrónicos pidiendo a algunas de las víctimas que comprobaran su identidad, intentando aprovecharse de la información obtenida para robar la información financiera del servicio de moneda digital e-gold.

Pasaron tres años más hasta que el phishing ganó un punto de apoyo firme en Internet y en 2005 ya había costado a los usuarios estadounidenses más de 900 millones de dólares.

Según la encuesta APWG Global Phishing, se observaron más de 250.000 ataques de phishing únicos en 2016, usando el récord de nombres de dominio registrados maliciosamente superior a la barrera de los 95.000. En los últimos años, los creadores de phishing han tendido a centrarse en la banca y en servicios financieros y monetarios, clientes de comercio electrónico y en las credenciales de redes sociales y correo electrónico.

ESET te ofrece la mejor protección antiphishing

ESET HOME SECURITY PREMIUM

ESET HOME Security Premium

Protección multicapa eficaz para cifrar datos confidenciales, gestionar contraseñas fácilmente, proteger transacciones en línea y mucho más. Una solución fácil de usar para mejorar la privacidad en línea. Protege dispositivos Windows, macOS, Android e iOS.

Comprar ahora
Prueba gratis
 

La máxima seguridad digital para empresas

Protege los endpoints de tu empresa, los datos empresariales y a los usuarios con la tecnología multicapa de ESET.

La máxima seguridad digital para empresas

Protege los endpoints de tu empresa, los datos empresariales y a los usuarios con la tecnología multicapa de ESET.

Explorar soluciones
Explorar soluciones

Temas relacionados

Antivirus icon

Antivirus

Malicious cryptominers image

Criptomineros

Firewall image

Cortafuegos

Identity Theft image

Robo de identidad

Ransomware image

Ransomware

Spam image

Spam

Trojan horse image

Troyano

Malware image

Malware

¿Quieres saber más?

Síguenos para conocer los últimos consejos y noticias

Síguenos para conocer los últimos consejos y noticias