«Phishing». Fecha publicación: 12 agosto 2018. Última actualización: 12 febrero 2023.
El phishing es una técnica ilegal y fraudulenta para conseguir mediante el engaño las claves (usuario y contraseña) de los internautas. El phising toma sus siglas del inglés «password harvesting fishing» (recolección y pesca de contraseñas).
Es decir, que el phishing es una forma de suplantación de identidad en Internet intentando que el usuario inroduzca sus claves personales en una falsa web, para luego suplantar con esas claves en la web real.
El phisher es el ciberdelincuente que fraudulentamente se hace pasar por una web de confianza con el mismo aspecto que la original, para obtener información sensible del usuario que usar para su provecho y a costa del usuario engañado.
Tabla de contenidos
Cómo detectar el phishing
El incauto consumonauta recibe en su buzón de correo electrónico un correo (o un SMS en su móvil) muy parecido al que le podría enviar su banco, un operador de correos, una administración pública, una empresa tecnológica, etc.
En el mensaje, el supuesto banco le envía comunicaciones por e-mail como si de su propio banco se tratara (mismo aspecto, logotipo, colores de letra, URL de destino en apariencia, etc.).
El contenido del mensaje suele ser del tipo «estamos introduciendo mejoras en nuestra banca electrónica y queremos que nos ayude», o «estamos haciendo una encuesta que le invitamos a rellenar haciendo clic aquí», etc. O, «ha habido un problema con su cuenta y necesitamos actualizar sus claves de usuario por seguridad».
La finalidad de uno de estos correos es que el usuario haga clic en el enlace que llevan, el cual lleva a una página web prácticamente idéntica a la del servicio de banca online del banco de que se trate (salvo por la URL que puede variar en una letra, un guión, etc.).
En esa página se simula el acceso al servicio de banca online solicitándole al usuario que introduzca sus claves de usuario de banca online.
Si uno no es precavido, puede introducir sus claves, las cuales pasan a formar parte de los delincuentes que acto seguido las introducen en la web real del banco para intentar limpiar la cuenta.
Phishing por SMS
En los últimos años es común recibir estos intentos de suplantación de identidad mediante el recursos al phishing por SMS (smishing). El fin del ciberdelincuente es el mismo, obtener tus claves personales de tu banco o datos personales, para un uso fraudulento. Pero el medio es más sencillo y sofisticado a la vez: enviar un SMS a tu teléfono móvil con una petición de datos personales.
Phishing de Correos
Recientemente, también es común el recurso a mensajes SMS haciéndose pasar por Correos o cualquier empresa de mensajería. En el SMS te informan de que «tu envío está retenido en aduanas, pendiente del pago de la tasa de aduanas».
Si pinchas en el mensaje acabas en una web de dudosa autoría donde te piden que ingreses dinero.
Phihing de Juegos Once
En marzo de 2022, Juagos Once alerta de un nuevo spam por correo electrónico. Si recibes un correo con el mensaje «“Importante: La Contraseña De Su Buzón de Correo Caducará Pronto – 2022”.» deconfía ya que se trata de otro intento de suplantación de la indentidad de esta web de juegos online.
Consejos para detectar un intento de phishing
El phishing es fácil de detectar si se es observador:
- Tu banco jamás te debe pedir tu usuario o contraseña de tu cuenta ya que son claves que sólo te pertenecen a ti, así que si te las piden huye.
- El que hace phishing no sabe dónde tienes tu cuenta bancaria así que es habitual que recibas una invitación a introducir las claves de un banco con el que nunca has tenido nada que ver, así que ríe.
- La redacción (el texto) de los correos que remiten phishing es de un castellano pobrísimo, con faltas ortográficas y gazapos que hacen reír.
- La URL a la que invitan a ir (puedes verla poniéndote encima del enlace de texto en tu mail) es muy parecida a la de tu banco, pero con algún matiz diferenciador. Compárala con la de tu banco, y verás como hay diferencias.
Sé un consumonauta observador y consume bien informado/a.
Denunciar phishing
Si nos damos cuenta de que ha sido suplantada nuestra identidad debemos, ante todo, mantener la calma. Y, por supuesto, denunciar los hechos ante la Guardia Civil o la Policía.
Es fácil detectar el phishing siguiendo unos consejos prácticos.
Guardia Civil
La Guardia Civil dispone de la unidad de delitos telemáticos (GDT) con un formulario por el que puedes denunciar un delito informático o telemático.
Policía Nacional
Dispone también de una unidad de delitos tecnológicos donde puedes denunciar todo tipo de hechos presuntamente delictivos relacionados con Internet y la tecnología como:
- Delitos Tecnológicos (Pornografía infantil, Fraudes en Internet, Seguridad Lógica, Piratería)
- Pornografía infantil
- Webs con abusos sobre menores (Ciber-bullying, Grooming, Sexting).
- Cualquier actividad ilegal a través del uso de las Redes Sociales (Facebook, Twitter, Youtube, foros, newgroups, etc).
- Comunicación de delitos de amenazas, extorsiones, calumnias o injurias cometidos a través de las Tecnologías de la Información y la Comunicación.
- Fraudes en Internet (fraudes en subastas y comercio electrónico, estafas en la red)
- Virus informáticos, sustracción de datos, hacking, descubrimiento y revelación de secretos, suplantación de personalidad o sustracción de cuentas de correo electrónico.
- Antipiratería: delitos contra la propiedad intelectual de programas de ordenador, música y productos cinematográficos o contra la propiedad industrial, uso indebido de señales de video.
- Fraudes en el Uso de las Telecomunicaciones.
Cuidado con una página de suplantación de identidad (phishing) de Vodafone España Para todos los usuarios de Vodafone España cuidado con una página de suplantación de identidad (phishing) que existe en la Web que puede hacer recopilar datos de vuestro teléfono móvil o incluso fijo que tengáis con Vodafone, la página verdadera y original es «http://www.vodafone.es» y con esa página Web no tenéis problemas a la hora de acceder, ahora, la página falsa que es de suplantación de identidad (phishing) que es la que hay que tener cuidado es «http://www.vodafene.es», si os dáis cuenta la segunda «o» en realidad es una «e», y sale al cargarla un logotipo grande de Vodafone con un enlace para entrar en dicha página falsa, y si se le da entra en una imitación o copia idéntica a la página Web original, por eso pido a todos los usuarios Vodafone España que se tenga cuidado.