¿Qué es Phishing? Tipos, protecciones y más!


En los últimos años, para los hackers y otros ciberdelincuentes, así como para la mayoría de las empresas, nuestros datos pasaron a tener un valor mucho más importante que simplemente vendernos cualquier cosa a través de la publicidad en el correo, las aplicaciones o cualquier otro modo en que estas personas llegan a nosotros.

A tal punto nuestro datos tienen tal valor, que ya desde hace algunos existen diversas de timarnos para quitárnoslos y venderlos a terceros o simplemente chantajearnos. Una de estas formas es el llamado “Phishing”, el cual también además de ser el método más utilizado para robar datos, también es el más peligroso, ya que el usuario debe estar siempre muy atento para detectarlo, y casi siempre falla, con el consiguiente desastre.

phishing-tipos-de-phishing- (1)

Por ello es tan importante que el usuario conozca con certeza cuales son los puntos a tener en cuenta para evitar convertirte en víctima de un ataque de una red de Phishing, y prevenir los inconvenientes que pueden surgir de que un delincuente pueda utilizar tu información personal para cometer estafas.

A partir de este punto, toda la información al respecto del Phishing y además las formas de evitar que nos roben los datos del banco, las tarjetas de crédito o cualquier otra operación bancaria que tenemos almacenados en la computadora.

¿Qué es Phishing?

En función de la gravedad que puede implicar el hecho de ser víctimas de un ataque de Phishing, y debido a la cada vez mayor proliferación de este delito, la Federal Trade Commission publicó un informe en el que se detallan los factores a tener en cuenta para evitar convertirnos en víctimas.

phishing-tipos-de-phishing- (2)

Es una modalidad de fraude en la Web diseñada para robar la identidad del usuario. A través de un phishing scam, los hackers intentan obtener información, como contraseñas, números de tarjeta de crédito, datos de cuentas bancarias, entre otras información personal. Normalmente los ataques de phishing surgen por medio de spam o ventanas pop-up. Según algunas estadísticas un 20% de los ataques obtienen datos personales.

¿Cómo funciona el Phishing?

Los hackers envían millones de e-mails falsos que aparentan ser enviados por sitios webs populares o de sitios webs en las cuáles las personas confían, como por ejemplo, del banco donde la persona posee una cuenta. Los e-mails y los sitios webs a las que remiten dan la impresión de ser oficiales, lo suficiente para persuadir muchas personas de su legitimidad.

Gran parte de las personas no saben que estos correos electrónicos del banco son falsos y terminan respondiendo a la solicitud de datos personales. Para generar e-mails que se parezcan lo más verdaderos posible, los desarrolladores del scam pueden añadir links de e-mail falsos que aparentemente llevan a un sitio web legítimo, pero sin embargo llevan al usuario al sitio web falso con una apariencia idéntica a del sitio web oficial. Generalmente esas copias son llamadas webs falsificadas.

phishing-tipos-de-phishing- (3)

Ejemplos de Phishing

Para entender en simples rasgos cómo funciona el Phishing, nada mejor que hacerlo mediante un ejemplo con una tarea que solemos hacer todos los días. En este escenario somos clientes de un determinado banco, en el cual tenemos una cuenta corriente con algunos depósitos.

Una mañana nos levantamos y vemos que en la bandeja de entrada de nuestra cuenta de correo tenemos un mensaje de parte de nuestro banco pidiéndonos que pulsemos en un enlace en el cuerpo del correo con cualquier excusa, que puede ser por ejemplo la actualización del registro de clientes de la entidad. También supongamos que en el mismo cuerpo del mensaje se nos recuerda la importancia de hacerlo, o hasta incluso alguna amenaza al estilo de que van a proceder a cerrar la cuenta si no tienen noticias nuestras.

En este punto, los usuarios que no tienen experiencia en el tema de seguridad, y de cómo trabajan los bancos con los nuevos recursos en línea, lo más probable es que asustados y sin pensarlo demasiado pulsen sobre el enlace, con lo cual al pobre se le desatará el infierno.

phishing-tipos-de-phishing- (4)

Lamentablemente, ya no hay vuelta atrás, habremos mordido el anzuelo. Cabe destacar que este es el más clásico ejemplo de Phishing. En el caso de querer saber más acerca de los tipos de Phishing existentes, basta con que sigamos leyendo el resto del post.

Tipos de Phishing

Existen varios tipos de Phishing, cada uno de ellos especializado en una clase de usuario o dispositivo en particular. A partir de este punto, conoceremos las diferentes modalidades de Phishing con el propósito de estar prevenidos ante un ataque de esta naturaleza.

El primer tipo es el Phishing estándar, también conocido como “Deceptive Phishing” o “Phishing de clonado o de redireccionamiento”. Este es el método más utilizado de Phishing. Generalmente, es estos casos el delincuente se hace pasar, a través de un correo electrónico, por alguien de nuestra confianza o por alguna empresa de renombre, con lo cual el usuario generalmente “pica”.

phishing-tipos-de-phishing- (5)

El propósito de ello es obtener información como contraseñas o claves de acceso a servicios u otros sitios para poder acceder a ellos de forma remota y cometer sus delitos.

Otro tipo de Phishing muy utilizado es el llamado

Malware-Based Phishing”, el cual es un tipo de Phishing que se destaca debido a que en los correos electrónicos que se envían a los usuarios para engancharlos en el engaño se añade malware como archivo adjunto o que podemos descargar pulsando en un enlace en el propio correo electrónico. Lamentablemente, este tipo de Phishing tiene un excelente nivel de efectividad sobre todo en empresas y usuarios que no toman en serio la seguridad.

El llamado “Spear Phishing” se destaca de los anteriores debido fundamentalmente a que en el ataque se utilizan muchos datos verdaderos de la víctima, como por ejemplo el nombre, el cargo que ocupa en una compañía y otros datos muy personales. Las dos fuentes más importantes para la propagación de este tipo de Phishing son el correo electrónico y las redes sociales.

phishing-tipos-de-phishing- (6)

En este mismo sentido, se utiliza mucha en otra variante de Phishing llamada “Suplantación del CEO”, la cual es una metodología que consiste en obtener credenciales de CEO o cualquier otro usuario jerárquico dentro de la estructura de la empresa. El engaño básicamente es enviar un correo electrónico a nombre de dicho CEO o ejecutivo a la empresa a la que pertenece solicitando datos clasificados o pidiendo que se realice un pago o transferencia.

Otro tipo de Phishing, aunque hoy en decadencia, es el llamado “Smishing”, el cual tiene la característica de no ser utilizado a través del correo electrónico, sino por medio de mensajes SMS, es decir los mensajes del teléfono a través de la línea. Como en los otros métodos de Phishing, el hacker se hace pasar por alguien de una empresa conocida y de confianza, tras lo cual le dice al usuario que ha ganado un premio, y que para obtenerlo debe pulsar sobre un enlace y seguir unas pocas instrucciones. Afortunadamente, este tipo de Phishing es cada vez menos creíble, y por lo tanto va perdiendo efectividad con el paso del tiempo.

phishing-tipos-de-phishing- (7)

Además de los mencionados, existen otros tipos de phishing, menos conocidos pero igual de peligrosos. Uno de ellos es el llamado “Vishing”, el cual proviene de la contracción de dos vocablos ingleses: “Voice” y “Phishing”. Este tipo de Phishing afecta a las empresas con empleados que utilizan muchas líneas telefónicas sin demasiado control.

En este tipo de Phishing, el delincuente o hacker se hace pasar por un empleado de un centro de soporte, banco o proveedor con el fin de obtener información valiosa sobre sus víctimas, como por ejemplo contraseñas, que lo lleven hacia un objetivo más grande.

Aunque mucho más intrincado y difícil de poner en práctica que los demás tipos de Phishing, el llamado “Pharming” es muy utilizado por ciberdelincuentes para robar datos de las empresas y sus empleados. Básicamente, los hackers modifican los archivos host y otros ficheros importantes de las compañías con el fin de que las solicitudes URL que se hacen desde la empresa se dirigen hacia una dirección falsa, es decir a un sitio web que no es el verdadero.

phishing-tipos-de-phishing- (8)

El problema verdadero sucede cuando el empleado ingresa al sistema con sus credenciales, las cuales son almacenadas por los ciberdelincuentes para actos posteriores.

Otro tipo de Phishing es a través del navegador, y puede suceder cuando usamos nuestro browser web favorito, independientemente del desarrollador. Este Phishing mediante el navegador sucede cuando se suplanta la página oficial de algún sitio web o servicio con otra ilegítima mediante técnicas de SEO, las que buscarán ubicar la página falsa más arriba en los resultados que la página oficial y verdadera. Al igual que los demás tipos de Phishing, el objetivo es obtener datos de contraseñas y demás.

phishing-tipos-de-phishing- (9)

¿Cómo protegerse del Phishing?

A continuación te detallamos algunas recomendaciones interesantes al respecto, que es bueno siempre tener presente al navegar por Internet o al revisar nuestro correo electrónico:

En principio, siempre que recibamos un email o un mensaje a través de un Pop-up en el cual se nos solicite información personal financiera o de cualquier índole, es importante que jamás respondamos, pero además tampoco debemos hacer click en los enlaces que puedan aparecer en el mensaje.

phishing-tipos-de-phishing- (10)

Es muy importante destacar que todas las empresas y organizaciones que trabajan dentro del marco legal jamás solicitan este tipo de datos de sus clientes o miembros a través de correos electrónicos o Pop-up.

Pero además, no debemos copiar y pegar el enlace tampoco, ya que tengamos en cuenta que las redes de phishing operan generando sitios webs falsos, que poseen una apariencia similar a las páginas oficiales de las organización, precisamente para engañarnos.

Si el mensaje que recibimos nos alerta sobre algún posible problema con nuestra cuenta, y nos queda la duda de que está sucediendo algo extraño con la actividad de la misma, lo que debemos hacer es comunicarnos con la compañía, a través de la forma en que solemos hacerlo y no por intermedio de dicho mensaje.

phishing-tipos-de-phishing- (11)

1. Protégete con un Antivirus y un Firewall

Uno de los aspectos que pueden protegernos en Internet es la utilización permanente de aplicaciones antivirus y firewall, los cuales además deben ser siempre actualizados. En este enlace encontraremos un listado con los mejores antivirus para mantenernos protegidos del phishing, el spam y las demás amenazas.

Tengamos en cuenta que no sólo nos pueden robar información por nuestra ingenuidad, sino que además algunos mensajes de este tipo incluyen software malicioso, el cual funciona dañando nuestra computadora, e incluso rastreando las actividades que solemos realizar mientras nos encontramos conectados a la red de redes, y sin que nosotros lo sepamos.

phishing-tipos-de-phishing- (12)

Allí es precisamente donde actúan los programas antivirus y firewall, protegiéndonos y evitando que el sistema de correo electrónico que solemos utilizar acepte de manera automática este tipo de archivos indeseados, ya que dichas herramientas filtran las comunicaciones entrantes buscando código malware.

El antivirus elegido debe ser capaz de reconocer cualquier tipo de virus actual, como así también antiguo, mientras que el firewall nos permitirá permanecer invisibles mientras navegamos por Internet, y al mismo tiempo bloqueando aquellas comunicaciones provenientes de fuentes no autorizadas.

2. Ninguna información sensible por mail

Siempre, siempre, pero siempre, se deberá evitar el envío de información financiera o cualquier tipo de dato personal por intermedio del correo electrónico.

Hay que tener presente que el email, si bien nos facilita la comunicación, lo cierto es que no se trata de un método seguro para transmitir información personal, más allá que pensemos que el que nos solicita dichos datos es un contacto conocido.

phishing-tipos-de-phishing- (13)

En el caso en que nos encontremos en medio del inicio de algún tipo de transacción con alguna organización a través de su página web, y debemos enviar información personal, es fundamental que comprobemos la existencia de indicadores de seguridad. 

Entre ellos uno de los más utilizados es el icono del candado, llamado “Lock”, que se encuentra en la barra de estado del navegador. También podemos asegurarnos de la veracidad del sitio, comprobando que la URL de la web comience con “https”, ya que la letra “s” es la inicial utilizada para señalar que se trata de un sitio seguro.

No obstante es preferible evitar el envío de información por este tipo de medios, ya que en la actualidad algunos desarrolladores de métodos de Phishing han logrado falsificar incluso los iconos más frecuentes de seguridad. 

3. Cuidado con los resúmenes

Otro de los factores importantes a tener en cuenta para evitar ser atrapados por una red de Phishing es realizar un análisis de los distintos resúmenes de nuestras cuentas bancarias y tarjetas de crédito apenas hayamos recibido el mensaje del tipo Phishing, es decir para verificar, autorizar o brindar información.

phishing-tipos-de-phishing- (14)

En el caso en que comprobemos que el resumen de nuestra cuenta se demora más de dos días, es conveniente comunicarse con el banco o con la compañía de tarjeta de crédito, con el objetivo de confirmar el domicilio de facturación y los saldos de nuestras cuentas. 

Debemos ser realmente cuidadosos siempre que tengamos que descargar o abrir archivos adjuntos a los correos electrónicos que hayamos recibido, más allá del remitente que figure en el email, ya que como dijimos el ataque de Phishing puede estar enmascarado en el nombre de un conocido o una organización que nos resulte familiar. 

Tengamos en cuenta que este tipo de documentos adjuntos pueden contener virus o códigos maliciosos que afecten la seguridad de nuestra PC y de nuestros datos y actividades a través de Internet.

phishing-tipos-de-phishing- (15)

En el caso en que recibamos un email de una empresa u organización de la que somos clientes o miembros, es importante que reenviemos el correo recibido sospechoso de Phishing reportando lo ocurrido, ya que la mayoría de las compañías suelen efectuar análisis sobre los mismos para evitar que se continúen propagando.

  • Jamás responda pedidos de datos personales por e-mail. En caso de duda, llame a la institución que afirma haber emitido el e-mail. 
  • Solamente visite una web si usted tecleó la URL en la barra de direcciones del explorador de internet.
  • Verifique si los sitios webs a los que accede utilizan criptografía.
  • Si tiene sospechas de robo de información personales, comuníquese urgentemente a las autoridades competentes.

¿Qué es Tabjacking?

Es ineludible correr el riesgo de ataques virtuales mientras navegamos por internet, eso todo el mundo lo sabe. Además de instalar programas para defender la computadora, como antivirus y anti-spywares, es necesario estar atentos a las amenazas creadas por las personas mal intencionadas. La cautela es la mejor precaución contra las plagas digitales. 

Sin embargo, esta misión no es tan fácil como parece. Los crackers no son nada tontos y han innovado en la manera de robar información en la web. La última novedad de estos maleantes es llamada Tabjacking o Tabnabbing, una forma de phishing camuflado como páginas conocidas.

phishing-tipos-de-phishing- (16)

El Tabjacking es un tipo de phishing, y para entender cómo funciona es necesario entender claramente que es ese tipo de crimen virtual. Sencillamente, phishing (concepto que en inglés referencia el término fishing, una traducción literal de pescar) es un fraude realizado en internet con el objetivo de robar datos e información personal. 

Los crackers, realmente, no tienen nada de tontos. Viendo que los ataques tradicionales ya no redituaban como antes, inventaron una nueva forma de realizar sus fraudes, esta vez mucho más planificada y elaborada. El nuevo estilo de ataque ha sido llamado Tabjacking, su diferencia es el camuflaje. 

¿Cómo funciona el Tabjacking?

A diferencia del phishing tradicional, el Tabjacking usa páginas falsas, muy semejantes a las originales, para engañar al usuario y conseguir sus datos confidenciales. El elaborado sistema de robo de información utiliza una característica muy común a los navegadores actuales: las pestañas múltiples.

phishing-tipos-de-phishing- (17)

Mientras el internauta navega despreocupado, el Tabjacking entra en acción a través de links o pop-ups en páginas populares de Internet y abre una nueva pestaña en el navegador. Esta es la diferencia de este nuevo tipo de phishing, pues la ventana abierta tiene el aspecto, título e icono de un sitio oficial, como por ejemplo Gmail.

Cuando el usuario ve que en una pestaña abierta está su servicio de email, esperando el login, es muy común que por impulso la persona ingrese sus datos y confirme la operación. El phishing, al ser una jugada inteligente de los cackers, utiliza la información robada y realiza el login normalmente, o sea, el usuario ni se dio cuenta de que fue burlado.

phishing-tipos-de-phishing- (18)

Cómo protegerse del Tabjacking

Es fundamental estar atentos a todos nuestros pasos en el mundo digital para evitar problemas y perjuicios. Te damos algunos consejos para que no caigas en las trampas de internet:

  • Verifica la veracidad de los remitentes de cualquier tipo de mensaje, sea por email, red social o mensajero instantáneo. Pregunta a tu amigo si realmente fue él que te mandó ese link o al gerente de tu banco sobre cualquier notificación de problema con tu cuenta.
  • No abras mensajes sospechosos, con remitentes desconocidos o servicios en los que no estás dado de alta.
  • No creas en todo lo que recibes por email, nadie te dará un millón de dólares por hacer click en un link.
  • En caso que quieras una prevención contra este tipo de ataques, puedes instalar un anti-phishing. Por ejemplo: Phishing Detector, PhishGuard de Firefox, Phishing Doctor y McAfee SiteAdvisor Internet Explorer.
  • Mantén el software de defensa de la máquina (antivirus, anti-spyware y anti-phishing) y el navegador siempre actualizados.
  • En sitios web que requieran login (usuario y contraseña), siempre verifica que la dirección de la página es auténtica (en la barra de direcciones). Los candados mostrados a la derecha de la Barra de direcciones o en el borde inferior del navegador son una simple y práctica manera de realizar esa verificación.