Aunque el término pueda resultar desconocido para algunos, el Phishing lleva operando en Internet durante décadas y proviene del verbo inglés pescar, siendo esta precisamente su función la de captar, es decir, pescar datos sensibles de los usuarios en la red. Hoy explicaremos qué es el phishing y cómo reconocerlo.

Qué es el phishing y cómo reconocerlo. Estructura básica

El phishing consiste básicamente en la suplantación de identidad con el objetivo de captar datos sensibles de usuario como la contraseña de correo electrónico, cuentas bancarias, redes sociales, etcétera y puede extenderse a través de varios medios de difusión como especificamos a continuación.

Cabe mencionar, que tanto los formatos de aplicación del phishing como sus vías de expansión se han diversificado y perfeccionado exponencialmente los últimos años. Pues lejos quedan ya los intentos cutres de suplantación con formularios mal hechos y llenos de falta de ortografía, ya que en la actualidad puede resultar muy complejo distinguir las comunicaciones reales de las falsificaciones incluso para un ojo muy bien entrenado.

Los formularios empleados actualmente para la captura de datos son muy sofisticados e incluyen el logotipo de las firmas, redirecciones infinitas para evitar la detección de la URL del remitente, infección de DNS y un largo etcétera que compila diversas estrategias con las que los ciberdelincuentes logran colar sus falsificaciones a miles de personas cada día, además de una sofisticada ingeniería social.

Qué es la Ingeniería Social y cómo evitar ser engañado

Además de cuidar al detalle el aspecto técnico de los fraudes telemáticos, la ingeniería social también se ha sofisticado en los últimos años enfocándose a ganar la confianza del receptor con el objetivo de inducir a la acción más rápido, pues cuanto menos tiempo se disponga para pensar más probable será que se satisfagan las peticiones o reclamos incluidos en las falsificaciones.

Las estrategias principalmente utilizadas en la ingeniería social son aquellas que implementan mensajes de urgencia creando una necesidad inexistente para forzar una determinada acción. Como por ejemplo, simular una perpetración o fallo de seguridad para conseguir un cambio de contraseña y creando por lo tanto, el mismo problema sobre el que se intenta prevenir.

Muchas veces para forzar este llamado a la acción más rápido, se complementan estas estrategias con otras similares como incluir información personal en los mensajes que han podido ser recopiladas de otras fuentes como perfiles públicos o redes sociales.

Otras veces por el contrario, estos datos se captan mediante la descarga de software malicioso colocado en el formulario o cuerpo del mensaje que se ejecuta en segundo plano tras la visualización de un documento o archivo y cuando se detecta, ya es demasiado tarde.

Principales vías de difusión del phishing

Aunque el correo electrónico supone actualmente una de las principales vías de difusión del phishing, en los últimos tiempos mediante la incursión de las redes sociales y las aplicaciones en las diversas plataformas móviles se han habilitado otras vías de expansión.

El phishing por correo electrónico suele tener como objetivo principal la captación de datos de otros medios como redes sociales, cuentas bancarias, etcétera y para ello utilizan un clon de la página que intentan emular para conseguir que la víctima introduzca  sus datos de usuario que son redirigidos al atacante mediante un exploit.

El phishing orientado a las aplicaciones móviles y redes sociales se enfoca en primer lugar en crear llamadas a la acción y en muchas ocasiones se vincula a ofertas CPA maliciosas mediante las cuales el afectado queda suscrito a servicios premium SMS y similares.

Medidas preventivas para el phishing

La mejor medida preventiva para el phishing consiste en la observación, pues por muy perfectos que sean estos sistemas de fraude a grandes rasgos todos comparten ciertos aspectos característicos que facilitan su identificación.

No abrir hipervinculos en los mensajes

La primera medida de prevención es indudablemente no abrir los hipervínculos adjuntados a los mensajes sin revisarlos previamente. Si situamos el cursor por encima y miramos en la esquina del navegador nos indicará a dónde nos dirige. Por otro lado, ninguna entidad bancaria y ningún proveedor de servicios de correo electrónico, redes sociales, etcétera nos pedirá jamás una actualización de contraseñas vía email y esto tenemos que tenerlo muy en cuenta a la hora de introducir los datos aleatoriamente sin revisar el formulario adjunto y la dirección real de quien lo envía.

Revisar el formato

Aunque como mencionamos anteriormente los formatos del phishing se han perfeccionado especialmente los últimos años. Siempre debemos estar atentos a todos los detalles como el uso de colores, logotipos, tipo de fuentes utilizadas, el lenguaje empleado, etcétera. Pues cualquier pequeño detalle podría marcar la diferencia.

Examinar las acciones, sí algo parece demasiado bueno para ser verdad probablemente no lo sea

Esta premisa sería aplicable principalmente a las ofertas CPA, pues requieren de una llamada a la acción y que el usuario complete algún proceso, como por ejemplo, rellenar formularios o  introducir datos personales con el gancho de obtener algún premio en el proceso, generalmente de elevada cuantía para captar la atención del receptor y en este punto, debemos aplicar la lógica en primer lugar, pues si algo parece demasiado bueno para ser cierto es porque probablemente no lo sea y haya algún trasfondo oculto.

Bonus extra, consulta y contrasta la información mediante la empresa original siempre

Como mencionamos anteriormente, algunos intentos de phishing están tan perfeccionados que resulta difícil diferenciarlos de la empresa original y ante la más mínima duda, siempre hay que contrastar la información tipeando directamente la URL de la empresa. Como por ejemplo, Facebook.com en el navegador y nunca mediante el hipervínculo incluido en el mensaje y si algo no concuerda, rechazar con determinación.