El phishing es un problema importante porque para los ciberdelincuentes es fácil, barato y eficaz. Las tácticas de correo de phishing involucran un costo y esfuerzo mínimos, lo que las convierte en ciberataques generalizados. Las víctimas de estafas de phishing pueden acabar con infecciones de malware (incluido el ransomware), robo de identidad y pérdida de datos. Es una técnica de ingeniería social que consiste en el envío de correos electrónicos que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario. A través de un enlace incluido en el email, intentan redirigirlo a una página web fraudulenta para que introduzca su número de tarjeta de crédito, DNI, la contraseña de acceso a la banca online, etc.

Desde mediados de la década de 1990, el término phishing se ha utilizado para identificar a los hackers que utilizan correos electrónicos fraudulentos para “pescar” información de usuarios desprevenidos. Sin embargo, los ataques de phishing se han vuelto cada vez más sofisticados y ahora se dividen en diferentes tipos, entre los que se incluyen el correo de phishing, el spear phishing, el smishing, el vishing y el whaling. Cada tipo se caracteriza por canales y métodos de ejecución específicos, como correo electrónico, texto, voz, redes sociales, entre otros. Todos ellos con una intención subyacente similar.

Los datos que buscan los cibercriminales incluyen información personal identificable (PII, del inglés “Personally Identifiable Information”), como datos de cuentas financieras, números de tarjetas de crédito, registros médicos y fiscales, así como también datos empresariales delicados, tales como nombres de clientes e información de contacto, secretos relacionados con productos propios y comunicaciones confidenciales.

Los ciberdelincuentes también utilizan ataques de phishing para obtener acceso directo al correo electrónico, las redes sociales y otras cuentas o para obtener permisos que les permitan modificar y comprometer sistemas conectados, como terminales de puntos de venta y sistemas de procesamiento de pedidos. Muchas de las mayores vulneraciones de datos comienzan con un inocente correo de phishing en el que los ciberdelincuentes consiguen un pequeño punto de apoyo sobre el que construir. Estos correos electrónicos fraudulentos suelen incluir el logotipo o la imagen de marca de la entidad, pueden contener errores gramaticales y en ocasiones intentan transmitir urgencia y miedo para que el usuario realice las acciones que le solicitan.

Un email de tipo phishing también puede llevar un archivo adjunto infectado con software malicioso. El objetivo de este malware es infectar el equipo del usuario y robar su información confidencial.

Desconfíe de los correos sospechosos. Si recibe un mensaje inesperado pidiendo información personal o financiera, especialmente si contiene enlaces o archivos adjuntos, no haga clic. Verifique primero con la empresa.

Revise la dirección del remitente. Los estafadores suelen usar direcciones de correo muy similares a las oficiales. Asegúrese de que el dominio sea correcto y no contenga variaciones o errores ortográficos.

Active la autenticación en dos pasos. Este método añade una capa extra de seguridad a su cuenta. Aunque alguien obtenga su contraseña, no podrá acceder sin un código adicional que se enviará a su teléfono o correo.

Revise detenidamente el remitente del correo para comprobar si es el oficial o si, por el contrario, contiene palabras o caracteres extraños que no se corresponden con la compañía que dice ser. 

No pulse en ningún enlace ni descargue archivos adjuntos si el correo le resulta sospechoso o alarmante.

Por regla general, ninguna compañía u organismo público le solicitará información personal o sensible a través de un enlace incluido en un email. Manténgase alerta ante peticiones de este tipo y no la proporcione.

Mantenga actualizados el sistema operativo, el navegador y las aplicaciones de sus dispositivos.

Descargue las aplicaciones desde mercados y repositorios oficiales. No lo haga desde enlaces incluidos en este tipo de comunicaciones.

El objetivo de la mayoría de los casos de phishing es el beneficio económico, por lo que los atacantes se dirigen principalmente a sectores específicos que almacenan datos de tarjetas de crédito o disponen de fondos para pagar grandes sumas de dinero. El objetivo podría ser tanto una organización entera como usuarios individuales. Los sectores más propensos a sufrir estos ataques son: tiendas online (ecommerce), redes sociales, bancos y otras instituciones financieras, sistemas de pago (procesadoras de tarjetas), compañías de TI, compañías de telecomunicaciones y compañías de envíos

Con la finalidad de engañar a la mayor cantidad posible de personas, los atacantes usan marcas establecidas. Las marcas conocidas infunden confianza en los receptores, lo que aumenta el éxito de los atacantes. Cualquier marca común puede utilizarse en el phishing, pero algunas de las más habituales son: Google, Microsoft, Amazon, Chase, Wells Fargo, Bank of America, Apple, LinkedIn, FedEx y DHL.