CERRAR
MENÚ
DiariomotorLogo Diariomotor

7 MIN

¿Qué es el phishing? Así intentan estafarte en internet

David Villarreal | @davidvillarreal | 25 Ene 2021
Phising Smartphone Apagado
Phising Smartphone Apagado

En el ámbito de la seguridad informática, se habla de phishing para describir la técnica de engaño en la que el estafador se hace pasar por otra persona, u organización, para que su víctima sea manipulada y lleve a cabo una acción con la que revele información sensible y confidencial, sus claves, o incluso que el estafador pueda tomar el control de su dispositivo. La Dirección General de Tráfico lleva tiempo advirtiéndonos del peligro que representa la estafa de la falsa multa que, a mucho, nos ha podido llegar por email en los últimos meses. Ahora bien, ¿qué es el phishing?

¿Qué es el phishing?

Como os adelantábamos en la introducción, el phishing es una técnica de estafa y un término empleado en el ámbito de la seguridad informática, que ha estado relacionado con infinidad de estafas a lo largo de la historia, en muchos casos relacionadas con el sector de la banca y las finanzas. El aspecto más relevante del phishing, y lo que lo diferencia de otro tipo de estafas, es la manipulación que ejerce el estafador, empleando técnicas de ingeniería social, para suplantar la identidad de otra persona y, sobre todo, de empresas, organizaciones y servicios en los que tenemos confianza.

El phishing no solo intenta suplantar la imagen de esa organización en la que confiamos, sino también jugar con nuestra reacción habitual y natural ante una situación muy concreta, como la de ser sancionados con una multa de la DGT. Por ejemplo, si un email nos advierte de un problema en nuestra cuenta bancaria, o incluso de un ingreso, o un cobro, desconocido, lo normal es que queramos obtener más información de inmediato. Si la DGT, supuestamente, nos ha avisado de una nueva multa, lo normal es que el receptor quiera recibir más información de esa multa, cuándo y dónde fue, su cuantía...

Así es como el estafador consigue que hagamos clic en un enlace, que introduzcamos nuestras claves en un servicio, que descarguemos un software espía en nuestro ordenador o que seamos atacados aprovechando alguna vulnerabilidad de nuestro dispositivo y el software que en el reside.

El phishing intenta suplantar la imagen de una persona u organización en la que confiamos, generando una reacción en la víctima en situaciones como haber sido sancionado por una multa de tráfico, para infectar nuestro dispositivo, o robarnos información confidencial y sensible y claves

Más ejemplos de las multas falsas que han recibido muchos conductores en los últimos meses en la galería:

11
FOTOS
VER TODASVER TODAS

Las claves del phishing en la estafa de la falsa multa de la DGT

- Suplantación de la identidad de la DGT: el engaño parte de un email que emplea la imagen corporativa de la Dirección General de Tráfico y el Ministerio del Interior, así como un enlace que apunta supuestamente a la Sede Electrónica. Evidentemente, este no es el procedimiento habitual de la DGT. La DGT no notifica las multas por email.
- La técnica de ingeniería social para facilitar el phishing: los estafadores suelen recurrir a técnicas de ingeniería social para maximizar el éxito de la estafa. En este caso apelan a la reacción habitual de un conductor cuando piensa que ha sido sancionado con una multa de tráfico. Lo normal es que la víctima sienta la necesidad de conocer cómo se ha producido la infracción, la cuantía de la multa, etcétera...
- El enlace a una web fraudulenta: el email que recibe la víctima incluye un enlace que apunta a una supuesta Sede Electrónica de la DGT. Al hacer clic en ese enlace el estafador incluye formularios para que la víctima comparta información sensible, claves, etcétera, o incluso nos lleva a descargar una aplicación o un software que aproveche vulnerabilidades con las que tomar el control de nuestro dispositivo.

Históricamente, los ataques de phishing más comunes han suplantado la identidad de bancos y entidades financieras y redes sociales, más recientemente han evolucionado hacia servicios de criptomonedas, de mensajería (como Correos), organizaciones oficiales como la DGT o incluso servicios públicos, sanitarios y fuerzas del orden con la irrupción de la COVID-19

Otros ejemplos de phishing habituales

- Entidades bancarias y financieras, el phishing más común: desde sus inicios, el phishing ha estado habitualmente asociado a estafas intentando suplantar la identidad de entidades bancarias y financieras. Los estafadores han intentado conseguir así los accesos de los clientes a la banca virtual, evolucionando en los últimos años hacia la suplantación de servicios de criptomonedas, como Bitcoin y similares.
- Las redes sociales también son objetivo del phishing: la generalización del uso de redes sociales llevó a algunos estafadores a utilizar la técnica del phishing para robar y tomar el control de cuentas en servicios populares, desde MySpace a finales de 2006, hasta las redes sociales más comunes hoy en día, como Twitter, Facebook o Instagram.
- Servicios de almacenamiento: el phishing también ha sido la técnica utilizada en ataques dirigidos a usuarios de sistemas de almacenamiento, sobre todo de imágenes, como iCloud, empleados por los dispositivos de Apple. Esa fue la técnica que también estuvo detrás en 2014 de la filtración de imágenes privadas de famosos, en muchos casos de contenido sexual.
- El phishing en Correos y servicios de mensajería: uno de los ataques más comunes intenta suplantar la imagen de Correos y otros servicios populares de mensajería, enviando emails y, sobre todo, mensajes cortos, con un enlace que apunta a la web fraudulenta utilizada por el atacante.
- El phishing en el año de la pandemia: la COVID-19 también ha sido utilizada para llevar a cabo estafas de phishing. Los estafadores han utilizado la imagen de servicios públicos y sanitarios, e incluso de las fuerzas del orden, para intentar utilizar vulnerabilidades en los dispositivos de los usuarios, aprovechando una situación tan sensible como la que hemos vivido desde la irrupción de la pandemia.

Evitando hacer clic en enlaces que nos envíen por correo, SMS o Whatsapp, y siguiendo otros muchos consejos, podemos reducir el riesgo de ser víctimas de un ataque de phishing

¿Cómo puedo evitar un ataque de phishing?

La variedad de estrategias de ataque de phishing es tal que no es sencillo elaborar un plan que nos ayude a ser inmunes a cualquier ataque. Lo que sí podemos hacer es seguir unas reglas básicas, unos consejos que nos ayudarán a minimizar el riesgo, y evitar que seamos atacados con técnicas de phishing como las que han suplantado la identidad de la DGT.

1. Utiliza servicios de correo electrónico protegidos: los servicios de mensajería y correo electrónico como Gmail o Outlook disponen de filtros y sistemas que son capaces de identificar y filtrar mucho mensajes fraudulentos. Confiar en este tipo de servicios suele ayudarnos, como mínimo, a minimizar los riesgos.
2. No hagas clic en ningún enlace: el nexo común de la mayoría de ataques de phishing es un enlace que apunta a una web fraudulenta. Si evitamos hacer clic en los enlaces que nos llegan a nuestra dirección email, por Whatsapp o por mensaje SMS, estaremos reduciendo significativamente el riesgo de ser atacados. Por ejemplo, deberías teclear a mano la dirección de la web de tu entidad bancaria en el navegador y verificar que estás en una web segura.
3. No compartas datos privados a la ligera: desconfía de cualquier web que solicite datos confidenciales y tan sensibles como puede ser tu identificación personal, claves de accesos, números de tarjetas bancarias, etcétera...
4. Utiliza antivirus y software efectivo para evitar ataques informáticos: emplear un buen antivirus en nuestro dispositivo nos ayudará a identificar hipotéticos ataques de phishing, identificando webs fraudulentas o no verificadas, mensajes que están suplantando la identidad y, en última instancia, evitando que nuestro dispositivo sea infectado por un virus o un software que aproveche una vulnerabilidad.
5. Actualiza tu software y, sobre todo, tu sistema operativo: para evitar cualquier ataque es importante que mantengamos actualizado el software de nuestro dispositivo y, sobre todo, su sistema operativo. La mayoría de los ataques modernos, los que más perjuicios y pérdidas han causado, están relacionados con vulnerabilidades del software, que los desarrolladores han ido resolviendo y que suelen corregirse manteniendo actualizado el software de nuestro dispositivo.

Más ejemplos de las multas falsas que han recibido muchos conductores en los últimos meses en la galería: