Suplantación de identidad (phishing)

El phishing es un método para engañarle y hacer que comparta contraseñas, números de tarjeta de crédito, y otra información confidencial haciéndose pasar por una institución de confianza en un mensaje de correo electrónico o llamada telefónica.

Acerca de phishing

¿Qué es phishing?

Phishing es el delito de engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito. Como ocurre en la pesca, existe más de una forma de atrapar a una víctima, pero hay una táctica de phishing que es la más común. Las víctimas reciben un mensaje de correo electrónico o un mensaje de texto que imita (o “suplanta su identidad”) a una persona u organización de confianza, como un compañero de trabajo, un banco o una oficina gubernamental. Cuando la víctima abre el correo electrónico o el mensaje de texto, encuentra un mensaje pensado para asustarle, con la intención de debilitar su buen juicio al infundirle miedo. El mensaje exige que la víctima vaya a un sitio web y actúe de inmediato o tendrá que afrontar alguna consecuencia. 

Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo. A partir de aquí, se le pide que se registre con sus credenciales de nombre de usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, que la utiliza para robar identidades, saquear cuentas bancarias, y vender información personal en el mercado negro.

“El phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva”.

A diferencia de otros tipos de amenazas de Internet, el phishing no requiere conocimientos técnicos especialmente sofisticados. De hecho, según Adam Kujawa, Director de Malwarebytes Labs, “el phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva. Eso se debe a que ataca el ordenador más vulnerable y potente del planeta: la mente humana”. Los autores del phishing no tratan de explotar una vulnerabilidad técnica en el sistema operativo de su dispositivo, sino que utilizan “ingeniería social”. Desde Windows e iPhones a Macs y Androids, ningún sistema operativo está completamente a salvo del phishing, con independencia de lo sólida que sea su seguridad. De hecho, los atacantes a menudo recurren al phishing porque no pueden encontrar ninguna vulnerabilidad técnica. ¿Por qué perder el tiempo tratando de burlar capas de seguridad cuando puede engañar a alguien para que le entregue la llave? En la mayoría de los casos, el eslabón más débil en un sistema de seguridad no es un fallo oculto en el código informático, sino una persona que no comprueba la procedencia de un correo electrónico.

Últimas noticias sobre phishing

Desengaño amoroso: la explicación de catphishing
Un nuevo tipo de estafa de phishing de Apple
Cuentas de LinkedIn comprometidas utilizadas para enviar enlaces de phishing por medio de mensajes privados e InMail

Historia del phishing

El origen del nombre “phishing” es fácil de rastrear. El proceso de llevar a cabo una estafa de phishing es muy similar al de la pesca (“fishing” en inglés). Se prepara el anzuelo pensando en engañar a una víctima, y luego se lanza y se espera a que pique. En cuanto al dígrafo “ph” en sustitución de “f,” podría ser el resultado de la combinación de las palabras inglesas “fishing” y “phony,” pero algunas fuentes apuntan a otro posible origen.

En los años 70, se formó una subcultura en torno a los ataques de baja tecnología para explotar el sistema telefónico. Estos primeros hackers se llamaban “phreaks”, una combinación de las palabras inglesas “phone” (teléfono) y “freak” (raro, friqui). En una época en la que no había demasiados ordenadores en red que hackear, el phreaking era una forma común de hacer llamadas gratuitas de larga distancia o llegar a números que no salían en los listines.

“El phishing es la forma más sencilla de ciberataque y, al mismo tiempo, la más peligrosa y efectiva”.

Incluso antes de que arraigara el término “phishing”, se describió en detalle una técnica de phishing en una presentación del Grupo Internacional de Usuarios HP, Interex, en 1987.

La creación del término se atribuyó a un conocido spammer y hacker de mediados de los años 90, Khan C Smith. Asimismo, según los registros de Internet, la primera vez que se utilizó públicamente la palabra phishing y quedó registrado fue el 2 de enero de 1996. La mención ocurrió en un grupo de noticias Usenet denominado AOHell. En ese momento, America Online (AOL) era el proveedor número uno de acceso a Internet, con millones de conexiones diarias.

Naturalmente, la popularidad de AOL la convirtió en blanco de los estafadores. Los hackers y piratas informáticos la utilizaron para comunicarse entre sí, así como para realizar ataques de phishing contra usuarios legítimos. Cuando AOL adoptó medidas para cerrar AOHell, los atacantes recurrieron a otras técnicas. Enviaban mensajes a los usuarios de AOL afirmando ser empleados de esta compañía y les pedían que verificaran sus cuentas y facilitaran la información de facturación. Con el tiempo, el problema creció tanto que AOL añadió advertencias en todos los programas cliente de correo electrónico y mensajería instantánea indicando que “nadie que trabaje en AOL le pedirá su contraseña o información de facturación”.

“Los sitios de redes sociales se convirtieron en un objetivo principal de phishing”.

En la década de 2000, el phishing dirigió su atención a explotar los sistemas de pago online. Se hizo común que los phishers dirigieran sus ataques a los clientes de servicios de pago bancario y online, algunos de los cuales, según investigaciones posteriores, fueron identificados correctamente y asociados al banco que verdaderamente utilizaban. De igual forma, los sitios de redes sociales se convirtieron en un objetivo principal del phishing, que era atractivo para los defraudadores porque los detalles personales registrados en dichos sitios son de utilidad para el robo de identidad.

Los delincuentes registraron docenas de dominios que se hacían pasar por eBay y PayPal imitándolos tan bien que parecían reales si no se prestaba la suficiente atención. Los clientes de PayPal recibieron entonces correos electrónicos de phishing (con enlaces al sitio web falso), pidiéndoles que actualicen los números de su tarjeta de crédito y otra información personal. The Banker (una publicación propiedad de The Financial Times Ltd.) informó del primer ataque conocido de phishing contra un banco en septiembre de 2003.

A mediados de la década de 2000, un software “llave en mano” de phishing estaba disponible en el mercado negro. Al mismo tiempo, grupos de hackers empezaron a organizarse para elaborar sofisticadas campañas de phishing. Las estimaciones de pérdidas debido al éxito de los ataques de phishing durante este período varían, con un informe de Gartner de 2007 que indica que 3,6 millones de adultos perdieron 3.200 millones de dólares entre agosto de 2006 y agosto de 2007.

“En 2013, se robaron 110 millones de registros de clientes y tarjetas de crédito de los clientes de Target”.

En 2011, el phishing encontró patrocinadores estatales cuando una presunta campaña china de phishing atacó cuentas de Gmail de altos cargos políticos y mandos militares de Estados Unidos y Corea del Sur, así como de activistas políticos chinos.

En 2013, en el evento posiblemente más famoso, se robaron 110 millones de registros de clientes y tarjetas de crédito de los clientes de Target, por medio de la cuenta de un subcontratista suplantada con phishing.

Incluso más infame fue la campaña de phishing lanzada por Fancy Bear (un grupo de ciberespionaje asociado con el Departamento Central de Inteligencia ruso GRU) contra las direcciones de correo electrónico asociadas con el Comité Nacional Demócrata en el primer trimestre de 2016. En particular, al director de la campaña de Hillary Clinton en las elecciones presidenciales de 2016, John Podesta, se le hackeo su Gmail, con las filtraciones subsiguientes, después de caer en el truco más antiguo: un ataque de phishing que afirmaba que su contraseña de correo electrónico se había visto comprometida (por lo tanto, haga clic aquí para cambiarla).

En 2017, una estafa masiva de phishing engañó a los departamentos de contabilidad de Google y Facebook para que transfirieran dinero, un total de más de 100 millones de dólares, a cuentas bancarias en el extranjero bajo el control de un hacker.

Tipos de ataques de phishing

A pesar de sus muchas variedades, el denominador común de todos los ataques de phishing es el uso de un pretexto fraudulento para adquirir datos valiosos. Algunas categorías principales incluyen:

Spear phishing

Mientras la mayoría de las campañas de phishing envían correos electrónicos masivos al mayor número posible de personas, el spear phishing es un ataque dirigido. Spear phishing ataca a una persona u organización específica, a menudo con contenido personalizado para la víctima o víctimas. Requiere un reconocimiento previo al ataque para descubrir nombres, cargos, direcciones de correo electrónico y similares. Los hackers buscan en Internet para relacionar esta información con lo que han averiguado sobre los colegas profesionales del objetivo, junto con los nombres y las relaciones profesionales de los empleados clave en sus organizaciones. Con esto, el autor del phishing crea un correo electrónico creíble.

Por ejemplo, un estafador podría crear un ataque de spear phishing a un empleado cuyas responsabilidades incluyen la capacidad de autorizar pagos. El correo electrónico aparenta proceder de un ejecutivo en la organización, que exige al empleado que envíe un pago sustancial al ejecutivo o a un proveedor de la empresa (cuando en realidad el enlace del pago malicioso lo envía al atacante).

Spear phishing es una amenaza crítica para empresas (y gobiernos), y cuesta mucho dinero. Según un informe de 2016 de una investigación sobre el tema, el spear phishing fue responsable del 38% de los ciberataques en las empresas participantes durante 2015. Además, para las empresas estadounidenses implicadas, el coste medio de los ataques de spear phishing fue de 1,8 millones de dólares por incidente.

“Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de Internet”.

Phishing de clonación

En este ataque, los delincuentes hacen una copia, o clonan, correos electrónicos legítimos enviados anteriormente que contienen un enlace o un archivo adjunto. Luego, el autor del phishing sustituye los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico. Los usuarios desprevenidos hacen clic en el enlace o abren el adjunto, lo que a menudo permite tomar el control de sus sistemas. Luego el autor del phishing puede falsificar la identidad de la víctima para hacerse pasar por un remitente de confianza ante otras víctimas de la misma organización.

419/Estafas nigerianas

Un extenso correo electrónico de phishing de alguien que afirmaba ser un príncipe nigeriano es una de las estafas más antiguas de Internet. Según Wendy Zamora, jefe de contenido de Malwarebytes Labs, “el phishing del príncipe nigeriano procede de una persona que afirma ser un funcionario del gobierno o miembro de una familia real que necesita ayuda para transferir millones de dólares desde Nigeria. El correo electrónico se marca como 'urgente' o 'privado' y su remitente solicita al destinatario que proporcione un número de cuenta bancaria para remitir los fondos a un lugar seguro”.

En una divertida actualización de la clásica plantilla del phishing nigeriano, el sitio web británico de noticias Anorak informó en 2016 de que había recibido un mensaje de correo electrónico de un tal Dr. Bakare Tunde, que afirmaba ser el director del proyecto de Astronáutica de la Agencia Nacional de Investigación y Desarrollo Espacial de Nigeria. El Dr. Tunde afirmaba que su primo, el comandante de las Fuerzas Aéreas Abacha Tunde, se había quedado atrapado en una antigua estación espacial soviética durante más de 25 años. Pero, por sólo 3 millones de dólares, las autoridades espaciales rusas podrían organizar un vuelo para llevarle a casa. Todo lo que los destinatarios tenían que hacer era enviar la información de su cuenta bancaria para transferir la cantidad necesaria, y el Dr. Tunde les pagaría una comisión de 600.000 dólares.

Por cierto, el número “419” está asociado con esta estafa. Hace referencia a la sección del código penal nigeriano que trata sobre fraude, los cargos y las penas para los infractores.

Phishing telefónico

Con los intentos de phishing a través del teléfono, a veces llamados phishing de voz o “vishing,” el phisher llama afirmando representar a su banco local, la policía o incluso la Agencia Tributaria. A continuación, le asustan con algún tipo de problema e insisten en que lo solucione inmediatamente facilitando su información de cuenta o pagando una multa. Normalmente le piden que pague con una transferencia bancaria o con tarjetas prepago, porque son imposibles de rastrear.

Phishing vía SMS, o “smishing,” es el gemelo malvado del vishing, que realiza el mismo tipo de estafa (algunas veces con un enlace malicioso incorporado en el que hacer clic) por medio de un mensaje de texto SMS.

“El correo electrónico hace una oferta que parece demasiado buena para ser verdad”.

Cómo identificar un ataque de phishing

Reconocer un intento de phishing no siempre es sencillo, pero algunos consejos, un poco de disciplina y algo de sentido común pueden ayudar mucho. Busque algo que sea raro o inusual. Pregúntese si el mensaje le despierta alguna sospecha. Confíe en su intuición, pero no se deje llevar por el miedo. Los ataques de phishing a menudo utilizan el miedo para nublar su razonamiento.

Aquí tiene algunas señales más de un intento de phishing:

El correo electrónico hace una oferta que parece demasiado buena para ser verdad. Podría decir que ha ganado la lotería, un premio caro, o alguna otra cosa de valor muy elevado.  

  • Reconoce al remitente, pero es alguien con quién no trata. Incluso si conoce el nombre del remitente, sospeche si es alguien con quien normalmente no se comunica, especialmente si el contenido del correo electrónico no tiene nada que ver con sus responsabilidades laborales habituales. Lo mismo ocurre si aparece en copia en un correo electrónico a personas a las que ni siquiera conoce, o quizá un grupo de colegas de departamentos con los que no tiene relación.
  • El mensaje suena aterrador. Tenga cuidado si el correo electrónico tiene un lenguaje alarmista para crear un sentido de urgencia, instándole a que haga clic y “actúe ahora” antes de se elimine su cuenta. Recuerde, las organizaciones responsables no solicitan detalles personales a través de Internet.
  • El mensaje contiene archivos adjuntos inesperados o extraños. Estos adjuntos pueden contener malware, ransomware o alguna otra amenaza online.
  • El mensaje contiene enlaces que parecen un poco extraños. Incluso si no siente un hormigueo por ninguno de los puntos anteriores, no asuma que los hiperenlaces incluidos llevan a donde parece. En su lugar, pase el cursor por encima del enlace para ver la URL real. Esté especialmente atento a sutiles errores ortográficos en un sitio web que le sea familiar, porque indica una falsificación. Siempre es mejor escribir directamente la URL en lugar de hacer clic en el enlace incorporado.

Aquí tiene un ejemplo de un intento de phishing que suplanta la identidad de un aviso de PayPal, solicitando al destinatario que haga clic en el botón “Confirmar ahora”. Al pasar el cursor del ratón por encima del botón se revela la URL de destino real en el rectángulo rojo.

Intento de phishing de suplantación de identidad de PayPal

Aquí tiene otra imagen de un ataque de phishing, esta vez afirmando ser de Amazon. Observe la amenaza de cerrar la cuenta si no hay respuesta en 48 horas.

Intento de phishing que afirma ser de Amazon

Hacer clic en el enlace le lleva a este formulario, que le invita a revelar lo que el phisher necesita para saquear sus bienes:

Intento de phishing de un formulario de suplantación de identidad de Amazon

¿Cómo protegerse del phishing?

Como se ha indicado previamente, el phishing es una amenaza que ofrece “igualdad de oportunidades”, capaz de aparecer en ordenadores de escritorio, portátiles, tabletas y teléfonos inteligentes. La mayoría de los navegadores de Internet disponen de formas de comprobar si un enlace es seguro, pero la primera línea de defensa contra el phishing es su buen criterio. Aprenda a reconocer los signos del phishing e intente practicar informática segura siempre que compruebe su correo electrónico, lea posts de Facebook, o juegue a su juego online favorito.

Una vez más, nuestro Adam Kujawa propone algunas de las prácticas más importantes para mantenerse a salvo:

  • No abra correos electrónicos de remitentes que no le sean familiares.
  • No haga clic en un enlace dentro de un correo electrónico a menos que sepa exactamente a dónde le lleva.
  • Para aplicar esa capa de protección, si recibe un correo electrónico de una fuente de que la que no está seguro, navegue manualmente hasta el enlace proporcionado escribiendo la dirección legítima del sitio web en su navegador.
  • Busque el certificado digital del sitio web.
  • Si se le pide que proporcione información confidencial, compruebe que la URL de la página comienza con “HTTPS” en lugar de simplemente “HTTP”. La “S” significa “seguro”. No es una garantía de que un sitio sea legítimo, pero la mayoría de los sitios legítimos utilizan HTTPS porque es más seguro. Los sitios HTTP, incluso los legítimos, son vulnerables para los hackers. 
  • Si sospecha que un correo electrónico no es legítimo, seleccione un nombre o parte del texto del mensaje y llévelo a un motor de búsqueda para ver si existe algún ataque de phishing conocido que utiliza los mismos métodos.
  • Pase el cursor del ratón por encima del enlace para ver si es legítimo.

Como siempre, recomendamos utilizar algún tipo de software de seguridad antimalware. La mayoría de las herramientas de seguridad informática tienen la capacidad de detectar cuando un enlace o un archivo adjunto no es lo que parece, por lo que incluso si llega a caer en un intento inteligente de phishing, no terminará compartiendo su información con las personas erróneas.

Todos los productos de seguridad de Malwarebytes Premium proporcionan protección sólida contra el phishing. Pueden detectar sitios fraudulentos e impedir que los abra, incluso si está convencido de que son legítimos.

Por lo tanto, manténgase alerta, y esté atento a cualquier cosa sospechosa.

Consulte todos nuestros informes sobre phishing en Malwarebytes Labs. 

Información de ciberseguridad de la que no podrá prescindir

¿Desea estar al día en cuanto a los últimos avances en materia de seguridad informática? Suscríbase a nuestro boletín y sepa cómo proteger su ordenador frente a las amenazas.

Seleccione su idioma