PHISHING: Guía Completa para identificar phishing

Bárbara Bécares

Bárbara Bécares

Experto en cyberseguridad y reportero de tecnología

ACTUALIZADOS: 8 octubre 2020

Internet nos ha ofrecido un mundo nuevo digital que en un periodo de tiempo relativamente corto ha permitido que la mayoría de la población mundial tenga una doble vida que se entrelaza en mayor o menor medida: su mundo físico y su mundo digital.

Contar con tantas opciones digitales ha abierto la puerta a cientos de nuevas oportunidades de ocio, entretenimiento, información, negocio, etc. Por ejemplo, en la actualidad desde la comodidad de tu hogar puedes aprender cualquier idioma con un profesor nativo a la hora que más te convengo y a un precio muy competitivo; o únicamente estás a un clic de distancia de ver el último estreno de la televisión norteamericana, ver un evento deportivo en la otra parte del mundo o comprar online con grandes descuentos en comparación con una tienda física.

Guía Phishing

Sin embargo, si en el mundo físico hay criminales, en el mundo online también hay criminales digitales aunque no los veamos en la pantalla. Por muchas medidas de seguridad que se tomen con las nuevas tecnologías, los ciber delincuentes buscan cualquier fallo minúsculo de nuestros dispositivos y navegadores o “pillarnos desprevenidos” para que cometamos un simple error, como por ejemplo descargar un archivo de un remitente no verificado apropiadamente, y que nuestra información personal y/o bancaria quede en manos de terceros con el riesgo que eso implica.

Por eso en esta Guía Phishing 2020 te vamos a ofrecer todas la información y herramientas que necesitas para que evites cualquier fraude por Phishing. Más vale estar prevenido con las últimas noticias sobre este tópico ya que cada día los cibercriminales son más creativos y detallistas y si no se pone la atención adecuada a ciertos detalles, cualquier internauta puede caer fácilmente en las redes del Phising.

¿Qué es el Phising?

El Phishing es un tipo de estafa online mediante el cual los delincuentes digitales envían mensajes de correo electrónico fraudulentos imitando los que envía una fuente legítima; como por ejemplo, una marca, comercio o banco muy popular. El email falso trata de asemejarse lo más posible a un correo verdadero para tratar de engañar al internauta y que ingrese información personal (por ejemplo números de cuenta, contraseñas, PIN, fecha de nacimiento, etc.) que le solicitan, o que descargue un archivo (que a simple vista no parece malicioso) en su dispositivo. También es posible que se le redirija hasta una página web falsa haciendo clic en un enlace para que introduzca allí ciertos datos o vea más información.

Como ves, este correo electrónico está requiriendo una acción del internauta y si la realiza (seguir un enlace, descargar un archivo adjunto, etc.), se expone a que le roben información confidencial o que su dispositivo se infecte con un virus; por ejemplo, este virus puede bloquear el disco duro del ordenador y no permitir el acceso hasta que el usuario pague un “rescate”. Recuerda que el objetivo de los criminales siempre es usar esa información robada para venderla a un tercero (que la utilizará para usos que se escapan fuera de nuestro control) o para cometer fraude de identidad.

Al ser un modelo de crimen online muy automatizado, los cibercriminales pueden mandar cientos de correos Phishing cada hora y si, por ejemplo, de 1,000 correos enviados consiguen engañar a una persona, ya obtendrán ganancias con muy poco trabajo realizado. Estas campañas de Phishing se envían de manera indiscriminada y al azar a muchos grupos de personas para aumentar sus probabilidades de éxito.

Esta forma de crimen digital ha funcionado hasta la actualidad ya que siempre hay un porcentaje de personas a las que consiguen engañar. Por eso, el propósito de esta Guía Phishing 2020 es que los internautas tengan todas la herramientas e información necesaria para no caer en las estafas. Además, siempre es conveniente estar al tanto de las últimas noticias de Phishing ya que los ciber delincuentes cada vez son más sofisticados y minuciosos y hay que estar preparados.

Ejemplos de Phishing en España

No pienses que por ser un término anglosajón este crimen es ajeno a nuestro país. De hecho, si te pones a revisar los correos electrónicos recibidos en tu bandeja de entrada y de spam durante los últimos 15 días, con toda seguridad aparece algún correo sospechoso, ¿verdad? 

Para que seas consciente de este delito digital en España que puede afectar a cualquier internauta de nuestro país, hemos seleccionado algunos de los casos de Phishing más relevantes de los últimos tiempos en nuestro país:

¿Quieres saber cuáles son las empresas que normalmente usan los delincuentes digitales para suplantar su identidad y cometer fraudes en España? Según un informe elaborado por Kaspersky Lab, se trata de entidades bancarias como BBVA, Bankia, ING y Caja Rural, y otras empresas que ofrecen diferentes servicios como Correos, PayPal y Netflix.

Este mismo informe coloca a España en el Top 10 de los países con mayor porcentaje de usuarios atacados por Phishing ya que en el ranking del 2018 nuestro país estaba en novena posición. Pero los datos del 2019 solo empeoran la situación ya que España escala posiciones hasta situarse como el sexto país con mayor ataques de Phishing en todo el mundo (15,85%). En este informe de Kaspersky por delante de España se encontraban Grecia, Venezuela, Brasil, Australia y Portugal.

Este malware se emplaza en el dispositivo del usuario después de haber sido instalado a través de un inofensivo correo electrónico, como por ejemplo de una cadena comercial muy conocida. A continuación el virus es capaz de grabar la pantalla del usuario en un momento delicado: cuando está viendo pornografía. El virus activa las grabaciones de la pantalla cuando aparecen palabras de índole sexual. Después esta información se utiliza para sextorsionar al propietario del dispositivo, al cual se le pide cierta cantidad de dinero para no publicar esa información entre sus contactos. 

  • Los criminales cibernéticos hasta se hacen pasar por la Agencia Tributaria para lograr su objetivo. Hacienda ha repetido una y mil veces que la Agencia Tributaria NUNCA solicita información confidencial por correo electrónico, pero esto no evita que los delincuentes traten de sacarle provecho a internautas ingenuos o que no están al tanto de este pequeño gran detalle.

En este caso también se sigue el método tradicional de Phishing: el usuario recibe un correo electrónico que parece de la Agencia Tributaria en el que se le informa que debe enviar ciertos datos personales y bancarios (como claves y números) para solventar una situación delicada (e irreal) a la mayor brevedad posible.

Desafortunadamente, durante la última campaña de la renta decenas de españoles fueron estafados por estas estrategias de Phising tanto por correo electrónico como por mensaje SMS.

Según la investigación policial, las tarjetas se utilizaron par sacar dinero en efectivo de cajeros, para comprar criptomonedas como bitcoins y para comprar diferentes productos de consumo.

  • Según el Instituto Nacional de Estadística, en el 2019 20 millones de españoles hicieron compras online, lo que indica que el comercio electrónico no para de crecer y todavía no ha alcanza su techo. Como la mayoría de los internautas españoles utiliza su tarjeta de débito o crédito para pagar sus compras en línea, los ciber delincuentes siempre están al acecho para tratar de conseguir información confidencial sobre los usuarios y sus tarjetas y cometer algún tipo de fraude online o físico. De hecho, en la actualidad la mayoría de los fraudes con tarjeta no se deben a su robo o pérdida sino a su copiado o duplicación.

En un informe del 2018 el Banco de España indicaba que durante ese año en nuestro país se dieron 1 millón de operaciones no autorizadas con tarjetas, correspondiendo el 64% a fraudes online (en total ese año se defraudaron hasta 88 millones de euros).

Uno de los métodos de Phishing que utilizan los criminales online para hacerse con los datos de tu tarjeta consiste en enviarte un correo electrónico simulando ser un empleado de tu banco de confianza. En este email te pueden decir, por ejemplo, que para prevenir un acceso no autorizado a tu cuenta o una compra online sospechosa necesitas verificar ciertos datos personales y/o bancarios. ¡Pero revisa muy bien todos los datos del correo electrónico ya que no es muy habitual que tu entidad bancaria te solicite unos datos tan confidenciales de una manera tan poco segura!

  • El timo de Whatsapp. En febrero del 2020 la Guardia Civil alertó a los ciudadanos españoles de una nueva de estafa que usaba el servicio de mensajería Whatsapp para su propagación. El usuario recibía un mensaje que decía “Hola. Lo siento, te envié un código de seis dígitos por SMS por error, ¿me lo puedes pasar? Es urgente”.

El objetivo de este mensaje, que podía llegar de uno de nuestros contactos, era suplantar la identidad del usuario ya que si se seguían las instrucciones dadas, se daba el acceso a una tercera persona para que controlara la cuenta del dispositivo móvil y toda la información que hay en ella.

  • Muchos usuarios de Apple se sienten más seguros ante los ataques Phishing ya que piensan que su sistema operativo es mágico y los va a proteger de este tipo de ataques online. Sin embargo, este exceso de confianza tiene una fundamentación errónea. Es cierto que hay menos ataques a dispositivos iOS que Android ya que éste último sistema es el que utilizan más personas y por lo tanto simplemente por probabilidad, los delincuentes digitales centran más sus ataques en los dispositivos Android. 

Pero esto no quiere decir que los aparatos de Apple eviten completamente el Phishing, de hecho según Kaspersky solo durante el primer semestre del 2019 detectaron hasta 6 millones de ataques a ordenadores Mac que estaban protegidos por este proveedor de servicios. 

  • Incluso con el grave problema del Coronavirus en todo el mundo, algunos criminales online quisieron “hacer su agosto” con esta situación. El estado de alarma que provocó la propagación del Covid-19 en nuestro país hizo que los internautas estuvieran buscando constantemente las últimas noticias sobre esta problemática, hecho que aprovecharon los ciber delincuentes para tratar de sacarle rendimiento a la emergencia sanitaria que vivieron los españoles.

La plataforma de noticias Buzzfeed comunicó que el gancho era un email de la Universidad de Vanderbil con el título “Resultados de la prueba” que enviaba a compañías de seguros y farmacéuticas. Al descargar el archivo adjunto se le daba acceso al malware conocido como “Koadic” que es un troyano que puede acceder de manera remota al dispositivo del internauta sin que el usuario se diera cuenta.

Otras campañas de Phishing que se han denunciado en diferentes partes del mundo relacionadas con la pandemia del Coronavirus han sido correos electrónicos falsos de la Organización Mundial de la Salud (OMS) o de instituciones gubernamentales de China y Estados Unidos que pedían a los usuarios ciertos datos para poder acceder a una supuesta información de seguridad.

Asimismo, la necesidad de trabajar de manera remota tampoco ha pasado desapercibida para los criminales digitales, quienes se hacían pasar por empleados del departamento de recursos humanos de cierta compañía para robar información personal a los internautas ya que confiaban en que simplemente era un paso más para poder trabajar desde casa.

Y esta lista podría llegar a ser interminable ya que los delincuentes online aprovechan cualquier oportunidad para pillar desprevenidos a los internautas y robar información personal o secuestrar los archivos de sus dispositivos para pedir un rescate por ello. Por ello siempre hay que estar prevenidos ya que un ataque de Phishing, como hemos visto, puede provenir de diferentes fuentes que en principio parecen confiables.

Diferentes tipos de ataques de Phishing

Como acabamos de ver, los ataques de Phishing se pueden presentar de diferentes maneras y nadie es ajeno a esta problemática. Estos los diferentes ataques de Phishing que se pueden producir en España:

Correos electrónicos

Generalmente los ataques de Phishing son correos electrónicos que animan al lector a realizar algún tipo de medida para que comparta información personal o para que se descargue un software con malware. Si el destinatario no toma las medidas necesarias, los delincuentes digitales pueden acceder a su cuenta bancaria, realizar compras fraudulentas o robar su identidad.  

La técnica del Phishing ha aumentando significativamente durante los últimos años ya que los hackers cuentan con la ayuda de equipos informáticos que les permiten gestionar miles de emails por hora. De esta manera y por probabilidad, algún usuario que no haya tomado las medidas necesarias puede caer en el engaño y compartir información confidencial.

Mensajes de texto

En la actualidad la mayoría de nosotros no consideramos el teléfono móvil como un simple accesorio sino como una necesidad para nuestras rutinas personales y laborales. Por eso, es normal que los ciber criminales hayan puesto más atención a este tipo de vía de comunicación para tratar de llevar a cabo sus estafas

Por ejemplo, en nuestro país prácticamente hay tantas cuentas de Whatsapp como de teléfonos móviles. Lo que ha hecho que se produzcan más estafas por esta red social. Hace apenas unas semanas la Guardia Civil alertaba de este fraude por Whatsapp

Recuerda que los ataques se pueden reproducir tano en ordenadores portátiles y de sobremesa, como en dispositivos móviles iOS y Android.

Cómo identificar un ataque Phising y otros tipos de fraude online

Es muy importante identificar el Phishing porque puede fácilmente perjudicar la vida de una persona o un negocio. Hay que recordar que durante los últimos cinco años los ataques contra empresas casi se han duplicado, algo que puede causar grandes perjuicios económicos. 

Microsoft y otras empresas del sector alertan de que ya se han perdido cientos de millones de dólares por estos ataques a pesar de contar con las últimas tecnologías en defensa y seguridad. Entonces, ¿en dónde está el error?

Usualmente los hackers centran sus ataques en los niveles más bajos de la pirámide empresarial, donde los empleados no usan sofisticados métodos de detención y hay una mayor desprotección de las defensas. Al fin y al cabo, las máquinas no son las que cometen los errores, son las personas las que pueden provocar la pérdida masiva de información confidencial por un error; como por ejemplo al descargar un archivo de una fuente no confiable o compartir información personal. 

Para una empresa es fundamental proteger su negocio y la información de su clientela. En uno de los últimos informes de Cisco se descubrió que el 22% de las organizaciones que habían sufrido algún ataque habían perdido clientes justo después de que se conociera la información ya que los internautas se toman muy serio la seguridad de sus datos.

Puedes sospechar de un ataque de Phising si recibes un email o mensaje que a simple vista no encaja al 100% con el remitente (quizás algún detalle de edición, falta de información, uso de colores diferentes) y que te pide cierta información sensible que puede tener como resultado:

  • Robo de identidad personal o sensible de una compañía.
  • Robo de información de los clientes.
  • Pérdida de nombres de usuario y contraseñas.
  • Pérdida de propiedad intelectual.
  • Perdida de fondos de las transacciones con los clientes.
  • Daño en la imagen corporativa.
  • Transacciones económicas no autorizadas.
  • Fraudes con tarjeta de débito/crédito.
  • Instalación programas de malware y ransomware.
  • Venta de información personal a terceros.

Como puedes, ver hay muchas razones por las que debes proteger tu cuenta de correo electrónico personal y laboral de los ataques de Phising. En el caso de que tengas una empresa, deberías dotar a tus empleados de herramientas eficaces que no solo protejan los activos de la compañía, sino también su imagen corporativa ya que hay que prevenir cualquier impacto negativo que haga disminuir el número de tu clientela.

Cómo te puedes proteger de las estafas en línea

La mejor manera para protegerte de los fraudes online con Phishing es saber identificar correos electrónicos y mensajes sospechosos. Hay que recordar que los ciberdelincuentes han mejorado mucho desde aquellos primeros ataques de Phishing en los que un príncipe nigeriano nos regalaba su herencia.

Identificar un correo electrónico de Phishing es más difícil de lo que solía ser ya que los hackers han perfeccionado sus habilidades y se han vuelto más sofisticados en sus métodos de ataque. Los emails de Phishing que recibimos en nuestra bandeja de entrada cada vez están mejor escritos, son más personalizados, contienen los logotipos y el idioma de las marcas que conocemos y están diseñados de tal manera que es difícil distinguir entre un correo electrónico oficial y un correo electrónico Phishing.

Por eso te recomendamos que siempre te fijes en los siguientes detalles:

proteger de las estafas
  • Dirección URL

Una de las primeras cosas que debes verificar en un correo electrónico sospechoso es la validez de su URL. Si colocas el cursor sobre el enlace sin hacer clic en él, debería ver aparecer la dirección con el hipervínculo completo. Aunque parezca perfectamente legítimo, si la URL no coincide con la dirección que se muestra es una indicación de que el mensaje es fraudulento y posiblemente sea un correo electrónico de Phishing.

  • El correo electrónico solicita información personal

Piénsalo bien, ¿tu crees que una empresa reputada enviará un correo electrónico a sus clientes solicitándoles datos personales como su contraseña, PIN, número de cuenta o preguntas de seguridad? Si recibes un correo electrónico con estas características, no lo contestes. Bórralo y ponte en contacto con la institución usando tu vía de comunicación normal para verificar el envío de ese email solicitando datos personales.

  • Errores gramaticales

Usualmente los delincuentes digitales no se ciñen a un país en concreto sino que actúan en varias regiones del mundo a la vez para lograr una mayor rentabilidad antes de que su ataque de Phishing se de a conocer entre los internautas.

Esto hace que los hackers tengan que traducir a otros idiomas y la calidad de su ortografía y gramática no sea igual que la de un nativo. Las empresas oficiales y acreditadas no suelen cometen este tipo de errores ya que antes de enviar el correo electrónico a los clientes hay un redactor que se encarga de revisar que la gramática y ortografía son correctas.

Por eso, si adviertes un mensaje o email con errores gramaticales u ortográficos muy evidentes que además te pide información confidencial, posiblemente te encuentres ante un ataque de Phishing ya que no es muy probable que provenga de un organismo oficial.

  • Tono de urgencia

Una estrategia común de Phishing consiste en fomentar una sensación de miedo o urgencia para que el usuario se de prisa en hacer clic en un enlace. Por ejemplo, se puede recibir un email que diga nuestra “seguridad se ha visto comprometida y se requieren medidas urgentes para remediar la situación”. Otro ejemplo muy común son esos mensajes que comienzan diciendo: «intento de inicio de sesión no autorizado» o “su cuenta ha sido suspendida«. En estos casos, es mejor usar el sentido común y ponerse en comunicación directamente con la empresa usando su número de teléfono o accediendo a través de su página web oficial. 

  • Correo electrónico inesperado

Otra técnica de Phishing muy popular consiste en comunicarse con el usuario diciéndole que ha ganado un premio en un sorteo (al cual ni siquiera se había registrado) o que ha ganado una competición de la que nunca había oído hablar antes. De nuevo, la mejor manera para no caer en la trampa es usar el sentido común: si es demasiado bueno como para ser verdad, probablemente no sea verdad.

  • Remitente no oficial

Fíjate en la dirección de correo electrónico del remitente, ¿te parece la oficial o incluye más palabras, números o símbolos que le restan oficialidad? En esta situación lo mejor es acudir a la página web oficial del organismo y contrastar las direcciones de correos electrónicos antes de seguir con las indicaciones del posible correo Phishing.

En el caso de los teléfonos móviles posiblemente el número no aparezca en la agenda de contactos. Sin embargo, también es posible que recibas un mensaje demasiado extraño de un contacto animándote a realizar una acción (como por ejemplo seguir un enlace o descargar un archivo); en estos casos es mejor verificar la información con el remitente.

Sobre el autor

Bárbara Bécares

Experto en cyberseguridad y reportero de tecnología

Bárbara Bécares es periodista y lleva escribiendo de tecnologías de la información desde el año 2007. Primero en Europa. Más adelante fue la encargada de editar una revista europea en los grandes mercados de América Latina. Eso le dio la oportunidad de conocer a fondo Colombia, México, Ecuador, Chile, Perú y Argentina, países donde la adopción de dispositivos está en constante crecimiento. La privacidad y la seguridad informática son su especialidad y también sus grandes pasiones. La tecnología es parte esencial de nuestra sociedad de hoy día y a Bárbara le encanta poder hacer llegar la información tecnológica a todo el mundo para que comprendan la necesidad de “ciberprotegerse”.