El phishing es un delito informático cuyo objetivo es acceder y robar información confidencial mediante la suplantación de la identidad de una persona sin su consentimiento y, en ocasiones, sin su conocimiento.
¿Has visto esos correos o mensajes de texto que prometen un premio con solo hacer clic? Estos anuncios pueden ser phishing, una violación digital que hacen los ciberdelincuentes para obtener tu información personal, robar tu dinero o estafar a más personas con tu identidad.
¿Eres estudiante o profesional? Seguro te interesa este tema y llegaste al lugar indicado para aprender qué es el phishing en informática. Además, si quieres ejercer en la defensa digital, te invitamos a conocer más de la Maestría en Protección de Datos, el posgrado ideal para diseñar espacios virtuales más seguros.
¿Qué es phishing y qué significa?
Comenzaremos con la definición, la palabra phishing se pronuncia igual que “fishing” en inglés, y se traduce como “pescar”. ¿Qué tiene que ver la pesca con la informática? Te lo diremos.
El phishing en español se podría traducir como suplantación de la identidad, y se refiere a una técnica utilizada por ciberdelincuentes para “pescar” víctimas. Las engañan con correos, sitios web o mensajes falsos. Su finalidad es hacerte creer que estás frente a una fuente confiable para que compartas tu información personal.
Entonces, ¿te preguntas qué significa? Lo resumimos así: son estrategias de engaño digital que buscan robar información haciéndose pasar por alguien sin su consentimiento y, en ocasiones, sin su conocimiento.
¿Cómo funciona el phishing y cuál es su objetivo?
El phishing funciona de la siguiente forma:
- Te llega un mensaje de tu banco que dice: “Tu cuenta ha sido bloqueada, haz clic en este enlace para recuperarla”.
Esta es la forma más sencilla de robar. El atacante logra crear un entorno cotidiano para que la víctima no se dé cuenta de que la están engañando.
Este es el principio de un ataque: disfrazar el fraude de manera inofensiva, incluso urgente.
Estos ciberdelitos se hacen a través de correos electrónicos, SMS, una llamada telefónica o una publicación en redes sociales. Además, la información que recibes parece legítima porque proviene de:
- Instituciones financieras
- Universidades
- Proveedores de servicios
- Tiendas en línea
El contenido indica una oferta limitada, un problema de seguridad en tu cuenta o una solicitud de verificación… Toda esta suma de factores está diseñada para que actúes rápido, no cuestiones lo que estás viendo y finalmente des tus credenciales.
¿Cuál es el objetivo de un ataque phishing? Robarte. Pero no se limita solo al dinero. También buscan obtener acceso a tus cuentas, usar tus datos para estafar a otras personas, suplantar tu identidad o vender tu información en la dark web.
Consecuencias del phishing
Las consecuencias del phishing son graves. Si caes en la trampa, podrías perder tus ahorros, ser víctima de fraude o incluso enfrentar problemas legales si tu identidad es utilizada para delitos en la red.
Además, cuando una empresa sufre un ataque de este tipo, puede:
- Perder la confianza de sus clientes.
- Sufrir multas por no proteger los derechos digitales de los usuarios.
- Enfrentar daños a su reputación difíciles de reparar.
Ejemplos de phishing
Mantener tu privacidad en línea es muy importante, por eso te damos algunos ejemplos para que lo reconozcas:
- Correo falso de banco con un mensaje solicitando que verifiques tu cuenta o cambies tu contraseña.
- Mensajes de WhatsApp con premios, sorteos exclusivos que te piden hacer clic en un enlace.
- Correos del “SAT” o alguna institución gubernamental indicando que tienes una multa o deuda y debes ingresar a un portal para solucionarlo.
- Ofertas de empleo falsas que piden tus datos personales o bancarios para contratarte.
Otro ejemplo es: “Revise los detalles de su factura adjunta”. Este tipo de mensaje genera miedo, te hacen creer que se ha hecho un cargo no reconocido en tu cuenta.
La reacción inmediata será abrir el archivo adjunto para ver la supuesta factura. Justo en ese momento, se ejecuta un programa malicioso para robar tus datos.
Características del phishing
Si los analizamos, nos daremos cuenta de que los atacantes usan la ingeniería social para sus estrategias. Considerando este punto, podemos identificar estas características:
- Utiliza mecánicas para crear sensación de urgencia o amenazas. Por ejemplo: última oportunidad, haz clic aquí y evita sanciones, etc.
- Correos con errores ortográficos o gramaticales.
- Enlaces que al pasar el cursor muestran URL extrañas.
- Direcciones de correo sospechosas o ligeramente alteradas.
- Solicitud de compartir información personal por medios no seguros.
Tipos de phishing
Los delitos digitales se han diversificado con el tiempo y ahora se reconocen distintos tipos de phishing:
| Tipo | Características |
|---|---|
| Spear phishing—Whaling | Ataques personalizados a personas o altos cargos. |
| Spam | Correos masivos solicitando datos personales. |
| Smishing | Fraudes por SMS o llamadas telefónicas. |
| Malware | Archivos maliciosos que infectan dispositivos. |
| Phishing de clonación | Réplica de correos legítimos con enlaces manipulados. |
| Phishing por motores de búsqueda | Sitios falsos en buscadores. |
| Ransomware | Robo o bloqueo de datos. |
| Estafa 419 | Promesas falsas de dinero a cambio de anticipos. |
¿Cómo evitar el phishing?
La Guardia Nacional CERT-MX define y emite varias recomendaciones para evitarlo. Estas son sus recomendaciones: (1)
- No compartas tus datos por correo. Bancos y empresas no piden información financiera por email.
- Si desconfías del correo, no abras los enlaces.}
- Ante la duda, llama o acude a tu banco para confirmar.
- Si te llega un correo sospechoso, ignóralo y no respondas.
- Verifica que el sitio web sea seguro: debe empezar con https:// y mostrar un candado.
- Escribe bien la dirección del sitio web. Un pequeño error puede llevarte a páginas falsas.
- Si crees que caíste en phishing, cambia tus contraseñas y avisa a tu banco o empresa.
Sanciones por ataque de phishing
En México, el phishing tiene consecuencias legales severas. El Código Penal Federal establece sanciones que pueden ir de tres a seis años de prisión y multas económicas, dependiendo de la gravedad del caso y del uso que se haya hecho de la información robada. (2)
Además, si se demuestra que se utilizó para cometer fraudes, extorsión u suplantación de identidad, las penas pueden aumentar a 8 años de cárcel. Y si el ataque afectó a una institución pública o financiera, las sanciones son todavía más graves.
Si deseas trabajar en ciberseguridad, la Maestría en Protección de Datos de UNIR es una excelente opción para adquirir los conocimientos técnicos y legales necesarios.
Referencias Bibliográficas
- Guardia Nacional CERT-MX. (s/f). Phishing. gob.mx. https://www.gob.mx/gncertmx/articulos/105210
- Congreso de la Ciudad de México. (s.f.). Ciberseguridad. https://www.congresocdmx.gob.mx/archivos/legislativas/Ciberseguridad.pdf
