El término phishing proviene de la palabra “fishing”, que significa “pescar” en español y hace alusión a cómo los ciberdelincuentes tratan de “pescar” a sus víctimas. Las letras “ph” de phishing proceden de la afición presente a mediados del siglo XX llamada “phone phreaking” que consistía en realizar todo tipo de actividad vinculada con las redes de telecomunicaciones.
Phreaking + fishing = phishing
El phishing es una de las técnicas de ciberdelincuencia más antiguas y populares en Internet que consiste en la suplantación de identidad. Su objetivo es ganarse la confianza de las víctimas para robarles y apoderarse de sus datos personales y confidenciales a través del fraude o engaño con trucos de ingeniería social.
Con la llegada de las redes sociales, los atacantes o «phishers» tienen acceso a más información personal de los usuarios. Estos datos les permiten personalizar al detalle los ciberataques según las necesidades, deseos y circunstancias significativas de la víctima, y así crear una trampa mucho más creíble y atractiva.
A continuación, le explicaremos más sobre el phishing, cómo funciona y cómo detectarlo para que pueda mantener sus datos a salvo.
¿Cómo funciona el phishing?1
Sin importar el medio por el cual se realice el ataque de phishing, ya sea a través del correo electrónico, las redes sociales, SMS o cualquier otro sistema de comunicación, todos los ataques de phishing siguen los mismos principios básicos.
El atacante o “phisher” envía una comunicación dirigida a un usuario ya escogido con el fin de persuadirlo para que realice una acción específica. Por ejemplo, que haga clic en un enlace, que descargue un archivo adjunto o envíe la información solicitada, o incluso hasta que complete un pago. Tras realizar dicha acción, se le redirige a una página web falsa en la que se efectúa el robo de sus datos. Estos pueden ser contraseñas, número de tarjetas de crédito o credenciales de inicio de sesión.
Tipos de phishing1
- Phishing por correo electrónico: Es el método más habitual para realizar un ataque de phishing. Estos mensajes suelen contener enlaces que llevan hasta sitios web maliciosos o archivos adjuntos infectados con malware o software malicioso. Estos correos parecen legítimos, ya que replican los logos, el diseño y el tono de los emails verdaderos.
- Phishing por sitio web: Los sitios web de phishing son copias falsas de sitios web que el internauta conoce y en los que confía. Los ciberdelincuentes los crean para engañar a los usuarios y que éstos introduzcan sus datos de inicio de sesión y así lograr conectarse a todas sus cuentas. Las ventanas emergentes son otra fuente común de phishing por sitio web.
- Vishing: Es la abreviatura de “voice phishing”, en español phishing de voz. Consiste en el robo de datos a través de una llamada telefónica en la que el atacante intenta convencer a las víctimas para que revelen información personal que pueda utilizarse para el robo de identidad posteriormente.
- Smishing: Es el phishing mediante SMS. La víctima recibe un mensaje de texto donde se le pide que haga clic en un enlace o que descargue una aplicación. Al realizar dichas acciones, se descarga automáticamente un malware en su celular que puede captar la información personal y enviarla al phisher.
- Phishing por redes sociales: Los atacantes hackean las cuentas de redes sociales de cualquier internauta y envían enlaces maliciosos a sus contactos o amigos. Otros crean perfiles falsos y los utilizan para engañar a sus víctimas.
- Spear – Phishing: Esta técnica es menos habitual, pero es mucho más peligrosa. Los ciberdelincuentes utilizan juegos psicológicos para engañar a sus víctimas y así obtener información personal y sensible de ellas. El hacker recopila esta información con el fin de hacerse pasar por ella o pedir algo a cambio.2
Acciones para prevenir y detectar un ataque de phishing3
- Instala un antivirus y mantenlo actualizado: Esto bloqueará los mensajes enviándolos a la bandeja de correos no deseados o no permitirá que funcionen los enlaces que contienen los mensajes.
- ¡Desconfía! Comprueba la dirección de email: Los hackers suelen usar el nombre de un sitio web verdadero para crear direcciones de correo electrónico fraudulentas o hacerse pasar por amigos o compañeros de trabajo. ¡Recuerda! Nunca brindes tus claves personales ni contraseñas a través de email.
- ¡Atento a los detalles! Revisa la URL: Los correos fraudulentos comúnmente incluyen una dirección web o URL falsa que imita a un sitio web de la institución por la que se hace pasar. La clonación puede tratarse de tan solo un cambio de letras o una http sin la “s” final, que indica el certificado de seguridad.
- ¡Revisa todos los detalles! No pases por alto las faltas ortográficas: Una organización seria y formal no comete faltas ortográficas en sus mensajes. Sin embargo. Los hackers no prestan mucha atención a estos detalles.
- ¡Alerta roja! “Estimado cliente”: La ausencia de un correo personalizado suele ser un indicador importante, ya que los hackers no conocen todos los datos de los usuarios. Por ello, utilizan expresiones generales para dirigirse a los destinatarios en sus mensajes.
- Hazte la pregunta “Es realmente urgente”: Presionar a los usuarios haciendo hincapié al sentido de urgencia es una de las claves de los phishers. Los hackers amenazan con el cierre de la cuenta o con problemas de seguridad si no se realizan las acciones requeridas en el mensaje. Si no estás seguro de quién envió el mensaje, contacta a la institución.
- Lea los correos electrónicos como texto sin formato: Este es un buen truco para detectar ataques de phishing por correo electrónico. Convierta el mensaje a un texto sin formato y podrá detectar URL’s de imágenes ocultas que no eran visibles en modo HTML.
¿Qué pasos seguir si hemos sido víctima del phishing? 4
Lo esencial es actuar con rapidez, a pesar de los nervios del momento.
- Comunícate con la institución que administra tus datos: Se debe registrar la incidencia para que la compañía se haga cargo del inconveniente y así evitar que los phishers utilicen los datos robados para actividades fraudulentas.
- Presenta una denuncia ante las autoridades: Es importante dejar constancia de cada paso que se ha seguido durante el proceso de la estafa y que quede registrado el intento de robo de nuestros datos o dinero para que podamos gestionar con las instituciones del caso los trámites necesarios.
Caso Bono Yanapay5
El Bono Yanapay es un subsidio de 350 soles implantado por el gobierno de Pedro Castillo con el propósito de ayudar a la población que se encuentra en una situación de pobreza, pobreza extrema o condiciones de vulnerabilidad a causa de la pandemia.
La emisión de este subsidio empezó el lunes 13 de septiembre y está siendo entregado a sus más de 13.5 millones de beneficiarios. Bajo el panorama del incremento de la inseguridad ciudadana, el Ministerio de Desarrollo e Inclusión Social (MIDIS) ha pedido a la población que se informen a través de las plataformas y redes sociales oficiales del Estado para así evitar que sean víctimas de estafa.
Al respecto, muchos usuarios en redes sociales han alertado sobre unos mensajes de texto con presunta información sobre el cobro de este bono:
“BANCO DE LA NACIÓN. Estimado (a) cliente, se depositó los s/ 350 del bono YANAPAY a tu cuenta, para verificar ingresa aquí”
La única manera de solicitar información acerca del beneficio económico es a través de la página web proporcionada por el Estado, señaló el Banco de la Nación. Además, a raíz de la gran desinformación existente, se promocionará la campaña #AltoAlFraude a través de sus redes sociales.
De la misma manera, el MIDIS informó que cuando se ingresa a enlaces con información falsa, los ciberdelincuentes pueden acceder a datos personales confidenciales como claves secretas bancarias y suplantar identidades. Asimismo, el MIDIS publicó una plataforma digital oficial en la que los ciudadanos podrán conocer si son o no beneficiarios del subsidio. Además, la línea telefónica 101 ha sido habilitada para atender las consultas sobre el subsidio en mención.
Por otro lado, Oscar Montezuma Panez, mencionó que es importante considerar esta problemática desde el ámbito legal. “Es importante saber que el phishing es un delito y está regulado como delito. Es un delito informático en la modalidad de fraude informático”, precisó.
Además, señaló que esta modalidad atenta contra la Ley de protección de datos personales, la cual tiene como finalidad “garantizar el derecho fundamental a la protección de los datos personales”. De la misma manera, Montezuma recomendó acudir a las autoridades a cargo de estos delitos en caso de que una persona haya sido víctima de estos mensajes fraudulentos. 6
Conclusiones
Los ataques cibernéticos, como el phishing, ocurren a través de distintos medios de comunicación y en diferentes formatos. Debemos estar atentos, ya que los hackers pueden entrar en acción en cualquier momento aprovechando las circunstancias del país, sociedad, población o usuario, como se evidenció en el caso del Bono Yanapay.
Por ello, es fundamental estar informados al respecto y aprender a prevenir este tipo de ataques. De la misma manera, es importante saber cómo actuar si se fue víctima de phishing para disminuir las consecuencias negativas en lo mayor posible.
Niubox es una firma de consultoría que ofrece asesoría legal en tecnología y negocios digitales, consultoría estratégica en asuntos públicos y regulatorios y consultoría en innovación legal. Conoce nuestros servicios en Perú y Ecuador: tecnología y negocios digitales, innovación legal y legaltech, protección de datos personales y ciberseguridad, asuntos públicos y regulatorios, transformación digital, telecomunicaciones y competencia, consumidor y propiedad intelectual.
Fuentes
1 Guía esencial del phishing: cómo funciona y cómo defenderse
3 5 reglas de oro para saber si un email es un fraude tipo “phishing”
4 Ciberdelitos: qué es el phishing y cómo evitarlo
5 Bono Yanapay: ¿Cómo evitar ser víctima de estafa o robo al momento de cobrarlo?
6 Es falso que el Banco de la Nación envíe mensajes de texto para informar sobre cobro de Bono Yanapay