Es una táctica que persigue engañar al receptor de una comunicación (correo electrónico, SMS, mensaje instantáneo, etc.) para que proporcione ciertos datos confidenciales que pasarán a manos de los delincuentes.

¿Por qué hablar de nuevo del phishing cuando su primera aparición fue en enero de 1996, hace más de 25 años y ya hablé de esta amenaza hace 16 años? Porque sigue estando de plena actualidad, es muy utilizado y los usuarios seguimos cayendo porque cada vez es más sofisticado.

La amenaza llega normalmente en forma de correo electrónico de una entidad bancaria (en la que podemos tener cuenta o no) u otro servicio (como PayPal, Facebook, Twitter, eBay, Amazon, etc.). En este mail se nos informa que por cuestiones de mantenimiento, para mejorar la seguridad, porque ha habido actividad inusual, porque está pendiente un abono de dinero o con cualquier otro pretexto solicitan que o bien se introduzca en un formulario presente en el email nuestro nombre de usuario, contraseña y datos y se envíe, o bien se haga clic en una dirección de Internet que parece totalmente legítima, digo “parece” porque realmente no abre a la página web en cuestión de la entidad supuestamente remitente sino a una réplica exacta de la misma (mismo logo, colores, imágenes…) que los delincuentes han clonado en un servidor propio. Es más, existen múltiples herramientas gratuitas para realizar este tipo de ataques que permiten crear una página web con la misma apariencia exacta que otra operativa en Internet sin conocimientos de programación y en cuestión de segundos.

En el momento en el que se envían a través de la página fraudulenta los datos de acceso pedidos (en caso de tener por ejemplo una clave de firma con varias posiciones, no es extraño que soliciten varias de ellas o incluso todas) pasan a manos de los ciberdelincuentes, que los usarán para robar dinero, tener acceso a la cuenta u otros cometidos según sus intereses (nunca los nuestros). En algunos casos puede que las campañas de phishing sean dirigidas a personas concretas (spear-phishing o phishing dirigido) para obtener de ellas ciertos datos, que pueden ser por ejemplo usadas para lanzar ataques contra empresas o APTs.

Es por ello que N-U-N-C-A se debe hacer caso a este tipo de emails y menos aún rellenar los datos que solicitan. En caso de hacerlo (por despiste o inercia), conviene notificarlo al banco o entidad relacionada cuanto antes y cambiar las claves de inmediato.

Es cierto que hace unos años, el estilo y redacción de los mensajes fraudulentos era bastante malo, con giros lingüísticos extraños y palabras poco utilizadas, pero han mejorado mucho recientemente y aún los más especialistas, en ocasiones, dudan.

Lo “positivo” de esta ciberamenaza es que esas páginas falsas que recopilan datos deben residir en algún servidor web, por lo que sí existe un punto al que los delincuentes deben acceder. Los cuerpos y fuerzas de seguridad, así como diferentes empresas investigan y cierran estos servidores y demandan a los dueños si es posible (que no tienen que ser necesariamente los que han organizado el timo, ya que en muchos casos puede que estén en servidores con páginas web que contenía una vulnerabilidad y ha sido explotada para instalar una web maliciosa).

Paralelamente, los bancos sobre todo (por la cuenta que les trae) están muy concienciados enviando avisos y alertas en sus webs a los clientes para que estén atentos a cualquier intento de phishing y mejoran la seguridad de sus páginas solicitando claves aleatorias (para que aunque sean capturadas no sean válidas en todos los intentos) o pidiendo una segunda contraseña dentro de la web para confirmar la operación que se desee realizar, vía SMS, app del banco, apps como Microsoft Authenticator o Google Authenticator como segundo factor de autenticación (a pesar de que no soy nada partidario de instalar apps de bancos en el móvil por toda la información que recopilan).

Diariamente recibo mensajes con phishing y, ante la más mínima duda, los borro sin consideración, pero en más de una ocasión he dudado de alguno. Es siempre recomendable ubicar el cursor sobre los enlaces para ver a qué página web apuntan, aunque eso no es 100 % fiable, ya que hay maneras de aparentar que una dirección web parezca legítima usando, por ejemplo, caracteres similares, por lo que la mejor recomendación es siempre obviar el mensaje de correo electrónico por muy atractivo que sea (por ejemplo, ahora que hay campaña de la declaración de la Renta en España, suele haber correos electrónicos suplantando a Hacienda).

Un punto importante es que hay que tener en cuenta que los ciberdelincuentes pueden contar con solo una dirección de email, pero quizá posean más datos (nombre completo, teléfono, dirección, etc.) extraídos de filtraciones de datos o de ataques previos, por lo que nunca hay que confiarse por más que parezca un mensaje legítimo.