[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2022\/03\/08\/phishing\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2022\/03\/08\/phishing\/","headline":"Phishing \u00bfQu\u00e9 es y c\u00f3mo podemos protegernos de esta ciberamenaza?","name":"Phishing \u00bfQu\u00e9 es y c\u00f3mo podemos protegernos de esta ciberamenaza?","description":"Explicamos qu\u00e9 es y c\u00f3mo funcionan los ataques de phishing, los m\u00e9todos m\u00e1s habituales para llevarlo a cabo y c\u00f3mo evitarlo \u2705","datePublished":"2022-03-08","dateModified":"2022-03-03","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2022\/02\/phishing-1.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2022\/02\/phishing-1.jpg","height":800,"width":1200},"url":"https:\/\/ayudaleyprotecciondatos.es\/2022\/03\/08\/phishing\/","about":["CIBERSEGURIDAD"],"wordCount":2599,"articleBody":"              if (typeof BingeIframeRan === \"undefined\") {                window.addEventListener(\"message\", receiveMessage, false);                function receiveMessage(event) {                  try {                    var parsed = JSON.parse(event.data)                    if (parsed.context === \"iframe.resize\") {                      var iframes = document.getElementsByClassName(\"binge-iframe\");                      for (let i = 0; i < iframes.length; ++i) {                        if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) {                          iframes[i].height = parsed.height; }                         iframes[i].style.opacity = 1;                     }                    }                  } catch (error) {                  }                }                var BingeIframeRan = true;              }              El phishing es uno de los ciberataques m\u00e1s comunes y utilizados y, pese a que muchos usuarios saben reconocerlo, se sigue empleando porque todav\u00eda hay quien que cae en la trampa, especialmente cuando se trata de ataques de phishing m\u00e1s sofisticados. En las siguientes l\u00edneas explicaremos qu\u00e9 es el phishing, c\u00f3mo se lleva a cabo y c\u00f3mo podemos protegernos ante \u00e9l.\u00bfQu\u00e9 es el phishing?\u00bfC\u00f3mo funciona un ataque de phishing?T\u00e9cnicas y tipos de ataques phishingEmails fraudulentosPhishing de clonaci\u00f3nWebs fraudulentasInyecci\u00f3n de contenidoA trav\u00e9s de motores de b\u00fasquedaManipulaci\u00f3n de enlacesSpear phishingWhalingMalvertisingSecuestro de sesi\u00f3nCartas nigerianasVishing y Smishing, las variantes telef\u00f3nicasEjemplos de phishingConsecuencias de sufrir un ataque de phishingC\u00f3mo protegerse de los ataques de phishing\u00bfQu\u00e9 es el phishing?Si tuvi\u00e9ramos que dar una definici\u00f3n de phishing, dir\u00edamos que se trata de una t\u00e9cnica empleada por ciberdelincuentes para conseguir diferentes tipos de datos personales de sus v\u00edctimas, enga\u00f1ando a estas mediante el uso de emails, mensajes de texto o incluso llamadas telef\u00f3nicas fraudulentas, a trav\u00e9s de los cuales consiguen que las v\u00edctimas acaben d\u00e1ndoles la informaci\u00f3n que buscan.El origen de la palabra \u00abphishing\u00bb lo tenemos en la palabra inglesa \u00abfishing\u00bb, que significa pesca, ya que los \u00abphishers\u00bb, como se denomina a los ciberdelincuentes que emplean esta t\u00e9cnica, ponen un cebo para que sus v\u00edctimas piquen. Este cebo puede ser un supuesto problema con nuestro m\u00e9todo de pago, nuestra cuenta de usuario, nuestro equipo o el haber ganado un supuesto sorteo.El cebo empleado por los phishers es muy variado, aunque el m\u00e1s habitual suele ser aquel que nos apremia a llevar a cabo una acci\u00f3n para solucionar un problema, especialmente relacionado con cancelaci\u00f3n de cuentas, tarjetas o con facturas pendientes de pago.El principal objetivo de los ataques de phishing es el robo de datos de sus v\u00edctimas, para emplearlos con diferentes fines, como puede ser llevar a cabo un segundo ataque inform\u00e1tico o venderlos, junto a los de otras v\u00edctimas, al mejor postor.\u00bfC\u00f3mo funciona un ataque de phishing?El phishing emplea la ingenier\u00eda social para conseguir que las v\u00edctimas piquen en los emails o mensajes fraudulentos. Estos emails o mensajes se env\u00edan de forma masiva a cientos de direcciones de correos o n\u00fameros de tel\u00e9fono (aunque hay un tipo de ataque de phishing m\u00e1s dirigido que no recurre al spam), a la espera de que las potenciales v\u00edctimas piquen.As\u00ed, con mayor o menor acierto, los phishers tratan de suplantar la identidad de una organizaci\u00f3n a trav\u00e9s de un email, mensaje de texto o llamada telef\u00f3nica, en el que nos comunican que hay alg\u00fan problema que debe solucionarse o que hemos ganado algo (el contenido del email o mensaje var\u00eda, pero estos son los m\u00e1s habituales), como por ejemplo, que nos van a cancelar la tarjeta de cr\u00e9dito, la cuenta de usuario, que tenemos un paquete pendiente de entrega, etc.El email o mensaje incluye un enlace donde debemos pulsar para solucionar dicho problema. Este enlace nos conducir\u00e1 a una web fraudulenta, pero que imitar\u00e1 (a veces con bastante similitud) a la web oficial de la organizaci\u00f3n. En esta web se nos pedir\u00e1 que introduzcamos nuestros datos de usuario o nuestros datos personales, incluidos normalmente nuestros datos bancarios. Tambi\u00e9n es posible que desde la web fraudulenta se descargue alg\u00fan tipo de malware con el que los cibercriminales puedan acceder a la informaci\u00f3n almacenada de nuestro equipo.En cualquier caso, una vez que la v\u00edctima introduce sus datos en la web fraudulenta, habr\u00e1 dado al phishers lo que estaba buscando.T\u00e9cnicas y tipos de ataques phishingAhora que ya sabemos c\u00f3mo funciona el phishing, vamos a describir algunos de los tipos de phishing m\u00e1s utilizados, para que as\u00ed pod\u00e1is reconocerlos y evitarlos.Emails fraudulentosComo dec\u00edamos, es la t\u00e9cnica m\u00e1s usada, realizar el ataque de phishing a trav\u00e9s de correos electr\u00f3nicos falsos, mediante un env\u00edo masivo de los mismos. Sus asuntos y contenido siempre tienen un car\u00e1cter urgente, para que las v\u00edctimas m\u00e1s descuidadas o menos prudentes, acaben pinchando en el enlace y dando sus datos personales.Como hemos visto, recurren a diferentes tipos de cebo, as\u00ed podemos encontrar ataques de phishing protagonizados por Netflix, Amazon (el phishing en plataformas de streaming ha aumentado mucho en 2021), PayPal, diferentes entidades bancarias, servicios de paqueter\u00eda, organismos p\u00fablicos como Hacienda, la Seguridad Social o la DGT, y un largo etc\u00e9tera.Phishing de clonaci\u00f3nA trav\u00e9s del phishing de clonaci\u00f3n, el phisher copia un correo electr\u00f3nico leg\u00edtimo de una empresa o entidad p\u00fablica, enviado con anterioridad y que inclu\u00eda archivos adjuntos o enlaces; estos son manipulados por el phisher para incluir c\u00f3digo malicioso o conducir a un sitio falso, y vuelve a enviar el email. Dado el parecido con los emails anteriores que han podido recibir las v\u00edctimas, es f\u00e1cil que, si no se detienen a mirar la direcci\u00f3n del emisor, acaben cayendo en la trampa y descarguen los archivos o pinchen en el enlace.Webs fraudulentasLas webs fraudulentas son otra forma de llevar a cabo un ataque de phishing en inform\u00e1tica; en este caso, el phisher recrea una web oficial (cuanto m\u00e1s dedicado sea, m\u00e1s indistinguible ser\u00e1 la copia falsa de la web real), a esta web se puede llegar desde un enlace o porque ha escogido una URL similar, pero con alguna letra cambiada, de manera que una equivocaci\u00f3n al escribir la direcci\u00f3n en el navegador puede conducir a ella tambi\u00e9n.Una vez en la web, si la v\u00edctima introduce sus credenciales de usuario o sus datos en un formulario, el phisher se har\u00e1 con ellos.Inyecci\u00f3n de contenidoA trav\u00e9s de la inyecci\u00f3n de contenido, el phisher cambia una parte del contenido de una web leg\u00edtima, por uno que conduzca al usuario a una web controlada por \u00e9l y en la que solicitar\u00e1 que introduzca informaci\u00f3n personal.A trav\u00e9s de motores de b\u00fasquedaEl phishing a trav\u00e9s de motores b\u00fasqueda consiste en colocar como resultado de una b\u00fasqueda una supuesta web de venta de productos o servicios aparentemente leg\u00edtimas y con precios bajos o m\u00e1s atractivos, con el fin de que las v\u00edctimas piquen y procedan a la compra, facilitando as\u00ed a los phishers los datos de sus tarjetas bancarias.Manipulaci\u00f3n de enlacesEn combinaci\u00f3n con la web fraudulenta, en la manipulaci\u00f3n de enlaces lo que se hace es facilitar un enlace falso que lleva a esta a la v\u00edctima, desde un correo, redes sociales o incluso desde apps de mensajer\u00eda como WhatsApp o Telegram. La web a la que se llega ser\u00e1 pr\u00e1cticamente igual que la oficial y en ella habr\u00e1 alguna opci\u00f3n o necesidad para introducir nuestros datos.Spear phishingA diferencia del phishing a trav\u00e9s de spam, el spear phishing es un ataque selectivo, en el que el phisher env\u00eda un n\u00famero menor de correos fraudulentos a unas v\u00edctimas seleccionadas y \u00abestudiadas\u00bb previamente, para hacer del cebo algo mucho m\u00e1s convincente (es un ataque que lleva m\u00e1s tiempo y trabajo previo).Si bien el mecanismo es el mismo, enviar un email falso imitando uno oficial, que incluya un enlace a un sitio falso para captar los datos, el objetivo suelen ser empleados o directivos de compa\u00f1\u00edas, con el fin de conseguir credenciales para introducirse en la red interna y llevar a cabo otro tipo de ataque, como puede ser uno de ransomware.WhalingEn l\u00ednea con el spear phishing, puesto que se trata de un ataque de phishing m\u00e1s dirigido y suele emplear esta t\u00e9cnica para ello, el whaling tiene como objetivo altos cargos de una empresa, empleados o directivos con un gran nivel de acceso, para que al conseguir sus credenciales, los ciberdelincuentes puedan moverse libremente por la red interna de la compa\u00f1\u00eda.MalvertisingEl malvertising o publicidad maliciosa consiste en a\u00f1adir scripts activos en los anuncios o pop-ups de una web, para, normalmente, descargar desde ellos alg\u00fan tipo de malware, aunque tambi\u00e9n puede usarse para conducir a los usuarios a una web fraudulenta, por ejemplo, de venta de productos con precios rebajados, para conseguir que la v\u00edctima pique y use su tarjeta bancaria para \u00abcomprar\u00bb ah\u00ed.Secuestro de sesi\u00f3nEn el secuestro de sesi\u00f3n, tambi\u00e9n conocido como sniffing, el phisher piratea el mecanismo de control de sesi\u00f3n web para robar los datos de los usuarios, cuando estos los introducen en la web.Cartas nigerianasLas cartas nigerianas es una de las estafas m\u00e1s antiguas llevadas a cabo a trav\u00e9s de email. B\u00e1sicamente consiste en enga\u00f1ar a la v\u00edctima prometi\u00e9ndole un considerable pago a cambio de su ayuda para sacar del pa\u00eds (al principio era Nigeria, pero se han ido \u00absumando\u00bb otros pa\u00edses) una determinada cantidad de dinero. El objetivo es conseguir o que la v\u00edctima adelante ciertas cantidades de dinero o que d\u00e9 su n\u00famero de su cuenta bancaria.Vishing y Smishing, las variantes telef\u00f3nicasEl vishing y el smishing son las variantes telef\u00f3nicas del phishing, aunque las t\u00e9cnicas y objetivos son los mismos.El vishing se lleva a cabo a trav\u00e9s de una llamada telef\u00f3nica, en la que el phisher se har\u00e1 pasar por una compa\u00f1\u00eda o entidad y nos dir\u00e1 que hay alg\u00fan problema con el servicio que nos prestan, el m\u00e9todo de pago o similar. El objetivo es que les facilitemos nuestros datos personales e informaci\u00f3n bancaria.Con los a\u00f1os, el vishing se ha ido perfeccionando y de usar n\u00fameros privados o muy largos, f\u00e1cilmente reconocibles como una posible estafa, han pasado a usar n\u00fameros normales de m\u00f3vil, con m\u00e1s posibilidades, al menos, de que cojamos la llamada.El smishing, por su parte, es el phishing a trav\u00e9s de SMS; se emplea sobre todo suplantando bancos o servicios de paqueter\u00eda.Ejemplos de phishingA continuaci\u00f3n dejamos algunos ejemplos de phishing para ilustrar lo visto en puntos anteriores y as\u00ed poder reconocer estos ataques.En este primer ejemplo tenemos un email fraudulento, que nos dice que nuestra cuenta de correo ha sido seleccionada para recibir 2.5 millones de d\u00f3lares, lo \u00fanico que debemos hacer es responder confirmando la direcci\u00f3n de correo. Las se\u00f1ales de alarma son bastante evidentes: no tiene asunto, supuestamente nos lo env\u00eda Carlos Slim, un conocido empresario mexicano, pero basta fijarse en la direcci\u00f3n de correo del emisor para darnos cuenta de que esta informaci\u00f3n es obviamente falsa.En el segundo ejemplo tenemos otro email falso, en este caso, nos avisan de que tenemos un paquete pendiente de recogida en su almac\u00e9n, se nos proporciona un n\u00famero de seguimiento y un enlace para encontrarlo. Si copiamos ese enlace y lo pasamos por un esc\u00e1ner de URL, como el de Virustotal, veremos como ya ha sido marcado como phishing. Nuevamente, la direcci\u00f3n del emisor es la pista que nos avisa de estar ante un intento de phishing.Otro email falso, esta vez para anunciarnos que hemos ganado un premio con Media Markt, pero si miramos la direcci\u00f3n del emisor, nos daremos cuenta de que desde Media Markt no nos llega precisamente este mensaje.Consecuencias de sufrir un ataque de phishingLa principal consecuencia de sufrir un ataque de phishing es el robo de datos personales, que despu\u00e9s pueden usados con otros fines, como ya dijimos, para venderlos en la dark web, usarlos para llevar a cabo fraudes mediante usurpaci\u00f3n de identidad, robar cuentas de usuario o incluso robarnos dinero.El phishing puede ser el primer paso de un ataque a mayor escala, especialmente cuando el objetivo son los empleados de una empresa, ya que a trav\u00e9s de \u00e9l, los cibercriminales pueden hacerse con credenciales de usuario e infiltrarse en la red interna de la compa\u00f1\u00eda, desde donde podr\u00e1n llevar a cabo otros ataques, como el secuestro de datos o ransomware o la exfiltraci\u00f3n de datos, poniendo en riesgo la informaci\u00f3n confidencial que posee la empresa.C\u00f3mo protegerse de los ataques de phishing\u00bfC\u00f3mo evitar el phishing? Siendo cuidadosos, porque los intentos de phishing siempre tienen alguna se\u00f1al que los identifica, incluso los m\u00e1s cuidados.As\u00ed, cuando recibamos emails o mensajes o llamadas que nos apremien a solucionar un supuesto problema, debemos desconfiar, especialmente si nos piden que facilitemos nuestros datos. Lo mejor que podemos hacer es comprobar en el sitio oficial o llamando a atenci\u00f3n al cliente si ese problema es real, pero nunca pulsar en el enlace ofrecido.Si hemos pinchado en un enlace, desde el correo o una red social o mensaje de WhatsApp, debemos comprobar que la web a la que hemos ido a parar es segura, fij\u00e1ndonos en si empieza por HTTPS, se\u00f1al de que todo el contenido e informaci\u00f3n que circule a trav\u00e9s de ella estar\u00e1 cifrada. Una p\u00e1gina que empiece por HTTP no tiene por qu\u00e9 ser falsa siempre, pero si tenemos que introducir informaci\u00f3n personal, lo mejor es no hacerlo.Aunque la mayor\u00eda de servicios de correo electr\u00f3nico ya filtran el spam y con ello, los ataques de phishing, las empresas pueden habilitar m\u00e1s filtros en sentido, creando listas negras y blancas para bloquear o permitir determinadas direcciones de origen.Si el contenido del mail puede parecer leg\u00edtimo, comprobar la direcci\u00f3n del emisor, para contrastar el dominio con el dominio oficial o aplicar uno de estos cinco trucos para saber si un email es falso.En definitiva, estar atentos y comprobar que el email o mensaje recibido es leg\u00edtimo antes de pinchar en ning\u00fan enlace o facilitar ning\u00fan dato personal."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2022\/03\/08\/phishing\/#breadcrumbitem","name":"Phishing \u00bfQu\u00e9 es y c\u00f3mo podemos protegernos de esta ciberamenaza?"}}]}]