Significado de Phishing

¿Qué es el phishing?


El phishing es una técnica de ingeniería social utilizada por ciberdelincuentes para obtener datos personales como nombres de usuario, contraseñas y detalles de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.

El termino phishing proviene de la palabra inglesa “fishing“, que significa ‘pesca’, en alusión al objetivo del phishing: pescar datos, ver “quién muerde el anzuelo”. El phishing es ejecutado por un phisher o ‘pescador’.


El estafador usa técnicas de ingeniería social, generalmente haciéndose pasar por una persona o empresa de confianza en una aparente comunicación oficial a través de llamadas telefónicas o correo electrónico y, a menudo estos correos contienen enlaces a un sitio web falso con una apariencia casi idéntica a un sitio legítimo. Una vez en el sitio falso, los usuarios incautos son engañados para que ingresen sus datos confidenciales, lo que le proporciona a los delincuentes un amplio margen para realizar estafas y fraudes con la información obtenida.

Otra forma de propagación, menos común, pueden ser el fax y los mensajes SMS a través del teléfono móvil. En algunos casos se proclamen grandes premios y descuentos en la venta de productos. También se debe destacar que el destinatario de los mensajes es genérico y los mensajes son enviados en forma masiva para alcanzar una alta cantidad de usuarios, sabiendo que un porcentaje (aunque sea mínimo) caerá en la trampa e ingresará al sitio falso, donde se le robará la información.

Técnicas de phishing

El phishing no es más que un fraude con el que engañar a los usuarios para robar sus datos confidenciales. Pero dentro de esta práctica fraudulenta existen numerosas técnicas. Veamos unas cuantos de ellas:

  • Cartas nigerianas: el usuario recibe un email que ofrece una gran suma de dinero en una divisa extranjera. Para conseguir ese dinero, el phiser reclama la cuenta bancaria, el nombre, el DNI, etc.
  • Hoax: son peticiones de donaciones solidarias aprovechando, por ejemplo, sucesos de actualidad (como terremotos, guerras o catástrofes). Para ello, se demandan los datos bancarios con la finalidad de poder llevar a cabo dicha “donación”.
  • Vishing: la víctima recibe un mensaje en que se pide que llame a un número de teléfono concreto para obtener un regalo u otra información. En la práctica, sin embargo, se estará contactando con falsos centros de atención telefónica que reclamarán datos privados.
  • Mulas: es, en esencia, utilizar al usuario para blanquear el dinero obtenido del phishing. Este último recibe un email que, de manera persuasiva, alerta de la posibilidad de ganar un porcentaje de dinero con, tan sólo, realizar una transferencia económica de una cuenta a otra y quedarse él con una “comisión”.
  • Keyloggers y screenloggers: el phiser emplea este tipo de herramientas para registrar las pulsaciones que el usuario hace sobre las teclas (keys), o capturar imágenes de pantalla (screen), y, de esta manera, conocer sus claves o contraseñas.
  • Malware-based phishing: se refiere a aquel delito que, sirviéndose del phishing, hace que se ejecute un código malicioso o virus en un ordenador.
  • Man-in-the-middle phishing: se produce cuando el ciberdelincuente es capaz de situarse entre el usuario y el servidor para obtener información personal.
  • Smishing SMS: los atacantes suplantan la identidad de alguna compañía o empresa y envían mensajes de texto al teléfono móvil de algún ciudadano, reclamándole a éste datos confidenciales. Los phisers también pueden engañar al incauto usuario diciéndole que ha ganado un premio y que, para obtenerlo, es necesario responder con un código; en caso de que la persona conteste, el delincuente recibe una compensación económica por el envío de dicho SMS… mientras que el infortunado ganador, claro está, se queda sin su premio.
  • Spear phishing: son aquellas campañas que también se realizan por correo electrónico para obtener información confidencial y privada, pero, en este caso, el fraude va dirigido a grupos reducidos y específicos, por lo que no es de carácter masivo.

¿cómo evitar el phishing?

Para evitar ser víctima del Phishing, te presentamos algunos consejos que pueden ayudar a protegerte de estos ataques:

  • No respondas ningún correo electrónico en el que se te solicite información personal.
  • Las entidades bancarias no piden información confidencial por medio de correo electrónico.
  • Visita los sitios web introduciendo la URL en la barra del navegador y, por tanto, evita los enlaces de redirección (pueden conducir a websites falsos).
  • No leas ni hagas caso a correos sospechosos.
  • No te creas que has ganado un concurso en el que no has participado.
  • Nadie regala dinero, ni si quiera un príncipe o heredero que quiere cobrar su herencia y sacar dinero de su país.
  • No debes pagar nada para acceder a más dinero, no te creas en estas estafas.
  • Muchas empresas no piden que des datos por internet, así que no lo hagas.
  • Si vas a incluir algún dato personal o comprometido, especialmente datos de tarjetas de crédito, hazlo desde la página oficial y no desde una que te llegue desde el correo electrónico.
  • Si tienes dudas, llama a la entidad y pregunta.
  • Denuncia las estafas tanto como spam como ante Delitos Informáticos.
  • No entres en ningún enlace que te llegue por correo electrónico o redes sociales, a menos que confíes en él.
  • Si sospechas, consulta en internet a ver si alguien ha puesto que es spam o phishing.
  • No hagas caso a emails que te ofrecen grandes cantidades de dinero por hacer pagos a otras personas, ni de socios comerciales con grandes beneficios.
  • Muchas empresas que trabajan con datos personales con datos de tarjetas de crédito utilizan https (comprueba si la dirección lo tiene).
  • Utiliza un antivirus y software para evitar ataques por medio de técnicas de phishing, en ocasiones por medio de programas que se descargan desde webs.
  • Haz una revisión al ordenador mensualmente, con el antivirus y otros programas, actualiza siempre cada programa para evitar nuevos peligros.
  • Mira el remitente del correo ¿coincide realmente con la web a la que dirige, con la empresa que supuestamente envía el email?.