Aceptar

¿Qué es el phishing?

Conocé todo sobre esta variante de fraude informático y qué medidas tomar para evitarlo

Tiempo estimado de lectura: minutos.

El phishing es un tipo de fraude informático basado en la suplantación de identidad.

¿Cómo se ejecuta? Los atacantes simulan ser quienes no son: familiares, organizaciones, empresas, asistentes técnicos o entidades bancarias. Así buscan engañar a las víctimas y ganar su confianza.

El principal objetivo del phishing es obtener datos confidenciales de las personas, información que abre la puerta a otras acciones delictivas, incluyendo el acceso a cuentas personales y robo de dinero.

No es casual el uso del término en inglés, relacionado a la pesca: los ciberdelincuentes lanzan anzuelos para atrapar a sus víctimas, camuflándose como un tercero de confianza.

Un ejemplo de phishing

Los canales más frecuentes del phishing son el correo electrónico, los mensajes de texto (SMS), las comunicaciones a través de aplicaciones de mensajería y páginas falsas.

Existen diferentes tipos de phishing, aunque los más frecuentes son los casos en los que los piratas informáticos simulan una comunicación “oficial”.

Un ejemplo común es el siguiente: una persona recibe un correo electrónico con todas las características (o muchas) de un email diseñado por una red social de la que es usuario. Allí piden que abra un enlace que conduce a un formulario para actualizar datos.

Es una trampa. No se trata de un correo enviado por la compañía que gestiona la red social, sino por delincuentes que con ese procedimiento robarán datos y eventualmente se apoderarán de la cuenta.

Los intentos de ciberestafas de esta especie abundan, desplegándose en diversas variantes. Una investigación del especialista en seguridad informática ESET encontró que en 2021 los ataques basados en correos electrónicos aumentaron un 7,3%, y que la mayoría eran campañas de phishing.

Phishing es una técnica de ingeniería social

Una de las singularidades de estas estafas es que su ejecución no requiere grandes conocimientos informáticos. De hecho, el phishing es una técnica de ingeniería social. ¿Qué significa esto?

  • Los atacantes se aprovechan de descuidos, distracciones y/o desconocimiento de las víctimas.
  • Los estafados entregan su información voluntariamente, aunque engañados.
  • El phishing no depende de programas maliciosos o de la vulneración de brechas de seguridad. Sin embargo, en ocasiones estos fraudes informáticos se emplean como puerta de acceso para malwares.

Phishing: los métodos más utilizados

Estas ciberestafas habitualmente se canalizan a través de correos electrónicos, aunque también emplean otros canales, métodos y variantes. Veamos las más relevantes.

  • Pharming: Es una técnica similar al phishing que procura direccionar hacia páginas fraudulentas a pesar de escribir la URL correcta, sin tocar enlaces.
  • Virus: Los atacantes envían archivos y/o enlaces maliciosos vía mail o chats. Procuran que los usuarios los abran para instalar un programa malicioso que permite el robo de información al ingresar, por ejemplo, al sitio de una entidad bancaria.
  • Smishing: Es el tipo de phishing que se canaliza a través de mensajes de texto (SMS). Buscan que la víctima visite sitios web fraudulentos o realice llamadas con tarifas adicionales.
  • Vishing: El fraude se realiza a través de llamadas telefónicas. Es usual que los delincuentes apelen al denominado “sentido de urgencia”, instando a realizar acciones inmediatas. La intención es la misma: acceder a información privada, robar datos, cuentas, etcétera.

Tal como señalamos anteriormente, el phishing también se encuentra en redes sociales, en concreto a través de cuentas que simulan ser “oficiales”, por ejemplo una entidad bancaria o el soporte técnico de una compañía.

Operá con seguridad desde aquí

Claves para detectar el phishing

En las diferentes técnicas de manipulación a través de ingeniería social, tal como ocurre en el caso del phishing, la clave fundamental es apelar al sentido común. Es conveniente considerar aspectos como los siguientes: ¿un banco o una empresa realmente pediría que comparta información sensible de un modo tan informal, a través de un correo electrónico?; ¿por qué debería entregar información por medios que no son habituales?

Además del sentido común, hay algunas variables para tener en cuenta:

  • En estas ciberestafas son frecuentes las promesas de premios.
  • En muchas ocasiones, la redacción de las comunicaciones tiene errores ortográficos y/o gramaticales.
  • Es habitual que se mencionen problemas técnicos, como supuestos rechazos de pagos o accesos indebidos a una cuenta.
  • También es frecuente que soliciten una actualización de información.
  • Los ciberdelincuentes apelan a la urgencia: piden que el usuario tome decisiones rápidas.
  • Una de las claves es revisar el remitente: es usual que el nombre de la cuenta sea parecido al de la entidad que fraudulentamente suplanta, aunque con ligeros matices que delatan el engaño.
  • Los sitios seguros deben tener un pequeño candado junto a la URL, que además debe comenzar con https:// en lugar de http://.

Consejos para evitar el phishing

  • No compartir claves de acceso por ningún medio.
  • Tener presente que los bancos y las empresas no solicitan información por esos canales.
  • Siempre es bueno actualizar los sistemas operativos, aplicaciones móviles y programas antivirus.
  • Mantener la calma: como señalamos, los piratas informáticos usan la urgencia como anzuelo.
  • No descargar archivos de origen desconocido y desconfiar de remitentes no agendados.

Phishing: ¿qué hacer al detectar el intento de fraude?

Una vez más: sentido común. Al recibir un correo electrónico que pide cambiar datos o compartir claves, la recomendación es ignorarlo. En caso de tener alguna duda, el procedimiento adecuado es comunicarse a los canales oficiales de la entidad que corresponda.

En caso de haber compartido información financiera, conviene seguir estos pasos:

  • Realizar la denuncia en el banco.
  • Bloquear el usuario del home banking.

Según recomienda el Ministerio de Justicia de la Argentina, es posible consultar en el área de denuncias de Con Vos en la Web los organismos y las instituciones donde pedir asesoramiento o realizar una denuncia.

Otra buena práctica es filtrar e informar a los sitios que emplean prácticas de phishing en Report phishing, que envía el reporte al equipo de Navegación Segura de Google.

En resumen, para evitar caer en estafas de phishing es fundamental ser usuarios atentos.

Recordá que Supervielle nunca enviará enlaces a través de correo electrónico o mensajes de texto para solicitar el ingreso a Online Banking. Es importante mantener tus datos bajo reserva y canalizar cualquier consulta a través de los canales oficiales.

Esto también te puede interesar