El pishing es un fraude que consiste en que los ciberdelincuentes envían correos electrónicos o redirigen a un sitio web falso para engañar y conseguir que los usuarios revelen información confidencial, como contraseñas, datos de tarjetas de crédito, débito y de cuentas bancarias, entre otros. 

El término phishing proviene de «salir de «pesca», fishing en inglés. Las letras ph de «phishing» proceden de la subcultura «phone phreaking» que consistía en ataques para averiguar cómo funcionaban las redes de telecomunicaciones, hacer llamadas gratuitas de larga distancia o conseguir números que no salían en el directorio telefónico: phreaking + fishing = phishing. 

Diferencia entre phishing y SPAM

El phishing consiste en el envío masivo de correos electrónicos con información falsa. Una vez que se logra que los usuarios “piquen el anzuelo” dando su información mediante enlaces fraudulentos, los ciberdelincuentes acceden a sus cuentas y suplantan su identidad para realizar fraudes, espionaje, robo de datos o utilizar esa información en contra de la víctima (muy al estilo de Black Mirror) Mientras que el SPAM es correo basura o anuncios no deseados que no buscan perjudicar al usuario. 

Al dar clic en algún enlace o abrir algún archivo adjunto se podría instalar un malware en nuestra computadora, lo cual implicaría que el atacante tenga acceso a nuestros archivos, cámara, micrófono, impresora o dispositivos conectados al equipo. 

Señales de intento de phishing:

• Mandar por correo una oferta demasiado buena para ser verdad: ganarse la lotería, un premio caro, o algún cupón. 
• El remitente es alguien conocido, pero es alguien con quien no hay contacto, como el CEO de Microsoft, PayPal, etc 
• El mensaje suena alarmante y urgente, su finalidad es hacer click y actuar lo más pronto posible antes de se elimine la cuenta o alguien realice un fraude, por muy irónico que esto parezca. 
• El correo contiene enlaces que parecen un poco extraños, a veces hay pequeños errores ortográficos en la URL de algún sitio web familiar.
• El mensaje contiene archivos adjuntos extraños que pueden contener malware, ransomware o alguna otra amenaza online.
• Te redirigen a una página de Internet falsa mediante ventanas emergentes para robar información. Ejemplo: “Error en el sistema, haga clic para solucionarlo”.

Principales tipos de phishing

Phishing de clonación: Los atacantes toman un correo electrónico legítimo, lo «clonan» y envían una copia exacta a todos los destinatarios previos,sustituyendo los enlaces o archivos adjuntos con contenido malicioso disfrazado para hacerse pasar por el auténtico.

Whaling: Consiste en ataques de phishing dirigidos a una persona específica de alto valor, su nombre deriva de la pesca de ballenas.

Phishing por Dropbox y Google Docs: Los ciberdelincuentes crean versiones falsificadas de las pantallas de inicio de sesión de los servicios de las nubes más populares para conseguir las credenciales del destinatario. 

Phishing telefónico:  Te  llaman supuestamente de tu banco para avisarte  que hay un error en tu cuenta y que debes ingresar tus datos. Así obtienen números de tarjetas, claves, datos de cuentas bancarias, contraseñas, etc.

Spear phishing: Es un ataque dirigido a una persona u organización específica. Requiere un reconocimiento previo al ataque con correos de nombres creíbles para descubrir nombres, cargos, direcciones de correo electrónico y similares. Según un informe de 2016, el spear phishing fue responsable del 38% de los ciberataques en las empresas durante 2015.

¿Cómo evitar el phishing?

• No abrir correos electrónicos de remitentes que no reconozcas, revisa que la dirección coincida con la firma de la empresa y el remitente.
• No dar click en enlaces dentro de un correo electrónico a menos que sepas exactamente a dónde te redirige.
• Entra manualmente al enlace proporcionado.
• Busca el certificado digital del sitio web.
• Selecciona un nombre o parte del texto del mensaje y pégalo en un motor de búsqueda para ver si se trata de un ataque de phishing conocido.
• Pasa el cursor del ratón por encima del enlace para ver si es legítimo.
• Utiliza algún tipo de software de seguridad antimalware. 

No estás solo..

• The Banker (publicación propiedad de The Financial Times Ltd.) informó del primer ataque conocido de phishing contra un banco en septiembre de 2003.
• A mediados de la década de 2000, un software “llave en mano” de phishing estaba disponible en el mercado negro.
• Las estimaciones de pérdidas debido a ataques de phishing entre agosto de 2006 y agosto de 2007 según el informe de Gartner de 2007  fueron de 3.200 millones de dólares.
• En 2013, se robaron 110 millones de registros de clientes y tarjetas de crédito de los clientes de Target (tienda de autoservicio norteamericana)
• En 2017, los departamentos de Google y Facebook fueron engañados mediante un ataque de phishing y transfirieron más de 100 millones de dólares a cuentas bancarias de un hacker.

Como ves, nadie se salva de las amenazas que existen en la red. Nuestras soluciones te ayudarán a integrar soluciones de seguridad en tus centros de datos para hacerlos más eficientes, seguros y escalables en la nube y evitar daños, pérdidas financieras y administrativas a través de:

• Ciberseguridad 
• Infraestructura Híbrida
• Soluciones en la nube

Fuentes: Avast, Malwarebytes, Fundación UNAM y Mcafee.