Phishing

¿Qué es el Phishing?

El phishing es una táctica engañosa empleada por ciberdelincuentes para engañar a individuos y hacer que divulguen información sensible, incluyendo contraseñas, detalles de tarjetas de crédito y números de seguridad social, entre otros. Esta táctica explota la psicología humana y la confianza. Formalmente hablando, el phishing puede definirse como la maniobra fraudulenta dirigida a adquirir datos sensibles suplantando a una entidad de confianza o reputación a través de plataformas de comunicación electrónica.

Una infografía que describe qué es el phishing y un desglose paso a paso de cómo se desarrolla un ataque de phishing, desde la perspectiva del atacante hasta las acciones de la víctima.
Infografía: Definición de phishing y proceso de phishing paso a paso

Diversos Métodos de Phishing

Los ataques de phishing se presentan en diversas formas, cada una con sus propias características y métodos únicos. Comprender estos diferentes métodos puede ayudar a individuos y organizaciones a reconocer y protegerse contra intentos de phishing.

Tipo de PhishingDescripción
Phishing por Correo ElectrónicoUna de las formas más extendidas e impactantes de phishing consiste en difundir correos electrónicos engañosos a una amplia audiencia, haciéndose pasar por entidades de confianza como instituciones financieras, plataformas de redes sociales o organismos gubernamentales.
Spear PhishingEsta es una forma altamente focalizada de phishing que se centra en individuos u organizaciones específicas. A diferencia de los scams de phishing comunes, el spear phishing implica una investigación minuciosa y personalización para aumentar su tasa de éxito.
Whaling y Fraude CEOEsta forma de phishing tiene como objetivo a individuos de alto rango dentro de una empresa, como ejecutivos o alta gerencia. Un tipo notorio de ataque de whaling es el fraude CEO, donde los estafadores se hacen pasar por el CEO de una empresa u otro ejecutivo de alto nivel, engañando a los empleados para que transfieran fondos o revelen información confidencial.
Phishing de ClonaciónEste fraude implica hacer una copia de un correo electrónico genuino y enviarlo a alguien que ya ha recibido el original. El correo electrónico copiado parece provenir de una fuente confiable, como un contacto familiar o proveedor de servicios conocido, pero tiene pequeños cambios o actualizaciones.
Phishing por Voz (Vishing)El vishing utiliza llamadas de voz para engañar a individuos y hacer que divulguen información confidencial. Estos ataques pueden incluir mensajes de voz automatizados o llamadas en vivo de personas que se hacen pasar por entidades de confianza como instituciones financieras o agencias gubernamentales.
Phishing por SMS (Smishing)Esta variante de phishing implica el envío de mensajes de texto engañosos a individuos. Estos mensajes a menudo se asemejan a comunicaciones auténticas de fuentes confiables, instando a los destinatarios a actuar rápidamente o divulgar datos sensibles.
Secuestro de PáginaEl secuestro de navegador es una táctica empleada por estafadores para redirigir discretamente a los usuarios de sitios web seguros a sitios maliciosos. Este método explota vulnerabilidades en los navegadores web, complementos o infraestructuras de sitios web.
Phishing de CalendarioEsta es una forma reciente de phishing que explota la función de invitación de calendario en clientes de correo electrónico. Los estafadores distribuyen falsas invitaciones de calendario a personas, frecuentemente conteniendo ofertas tentadoras o solicitudes urgentes.
Quishing (Phishing de Código QR)Este es un método utilizado por estafadores para engañar a individuos mediante el mal uso de códigos QR. Crean códigos QR falsificados y los difunden a través de diversos medios, como correos electrónicos, mensajes de texto o etiquetas físicas.

Tácticas Manipuladoras Empleadas en el Phishing

Los phishers utilizan diversas estrategias manipuladoras para engañar a los usuarios y aumentar el éxito de sus ataques:

  • Manipulación de Enlaces: Los enlaces maliciosos se disfrazan utilizando acortadores de URL o técnicas de obfuscación.
  • Evasión de Filtros: Implica el empleo de tácticas como la ortografía incorrecta de palabras, el uso de diferentes codificaciones de caracteres o la inserción de imágenes con texto oculto para evadir filtros antiphishing.
  • Ingeniería Social: Una técnica psicológica que explota la confianza y la vulnerabilidad humanas creando un sentido de urgencia, miedo o curiosidad para incitar a una acción inmediata sin una consideración cuidadosa.

Referencias

  1. Phishing – Wikipedia
  2. Phishing | What Is Phishing?
  3. What is a phishing attack? | Cloudflare
  4. What is a Phishing Attack? | IBM
  5. What Is Phishing? Examples and Phishing Quiz – Cisco
  6. What is Phishing? Definition, Types of Phishing, & Examples | Verizon
  7. Phishing attacks: defending your organisation | NCSC.GOV.UK – The National Cyber Security Centre

Additional Resources