El phishing es un tipo de ciberdelito en el que un atacante se hace pasar por una fuente de confianza para obtener información sensible de la víctima, como contraseñas, datos o números de tarjetas de crédito.

Hay varias formas en las que un hacker puede intentar hacer phishing a alguien. Algunos ejemplos son: por correo electrónico, por teléfono (vishing = voz) o por mensaje de texto (smishing = sms).

Estos datos se utilizan para el robo de identidad, el spam, el fraude o el espionaje empresarial.

El phishing incluye todos los intentos que hace un hacker para robar datos sensibles haciéndose pasar por una fuente de confianza.

Cuando hablamos de phishing, lo utilizamos como un término general y para referirnos específicamente al phishing por correo electrónico.

Cuando utilizamos el término smishing, nos referimos al smishing por mensaje de texto. Deriva de la abreviatura de sms phishing.

Vishing se utiliza para referirse al phishing por teléfono. Se deriva del phishing de voz.

El spear phishing está dirigido a una persona o grupo específico, en comparación con las campañas de phishing masivo. Por ejemplo: cuando alguien intenta hacer caer en una trampa a los empleados de una empresa concreta mediante un correo electrónico que suplanta a un colega.

El «whaling» es el phishing con arpón dirigido a los responsables de la toma de decisiones de una empresa, los «peces gordos».

El fraude del director general es un phishing disfrazado de mensaje procedente de su jefe. Debido a la aparente autoridad del remitente, es más probable que la gente caiga en la trampa.

El phishing es una de las formas más peligrosas de ciberdelincuencia porque no puede ser detectado por el software antivirus habitual. Los estafadores del phishing no necesitan infectar su sistema informático con un virus para obtener información sensible. Todo lo que necesitan es un empleado confiado que revele los datos sin sospechar nada.

Si su organización sufre un incidente de phishing y esa información llega a los medios de comunicación, la imagen de marca de la empresa se ve inmediatamente afectada. Los clientes se preocupan por la seguridad de sus datos personales tratados por la empresa y pierden la confianza en la marca.

Ya no es tan fácil reconocer el phishing como antes. Algunos consejos generales:

Comprueba la dirección del remitente: ¿hay errores tipográficos o irregularidades? Sólo confíe en las direcciones que son 100% correctas. De lo contrario, es probable que se trate de un intento de typosquatting.

Comprueba los hipervínculos pasando el mouse por encima de ellos: ¿apuntan al sitio web que esperarías? Si no es así, no haga clic en él.

¿El contenido o la solicitud se sale de los límites de lo que cabría esperar de este remitente? No te comprometas con él, pero alerta a TI.

¿No está seguro? Ponte siempre en contacto con tu departamento de TI.

Medidas generales

Intente mantener la calma e informe a su departamento interno de TI sobre el ataque. Si el ataque ha sido un correo electrónico de phishing, debe denunciarlo como spam y enviarlo a la autoridad competente. Haz que tu ordenador, tablet o »smartphone» sea revisado por tu servicio informático interno (o externo).

Para los datos

Este paso es aplicable si has introducido datos durante el ataque: escanea tu sistema, cambia la contraseña de las cuentas implicadas y mantente alerta ante un posible mal uso de los datos implicados.

Para las descargas

Este paso es aplicable si ha descargado un archivo durante el ataque: no abra el archivo instalado y bórrelo inmediatamente, desconecte su ordenador de cualquier red (desconecte su WIFI o desenchufe su cable ethernet) y escanee todo su sistema.