El phishing, la práctica engañosa empleada por los ciberdelincuentes para engañar a las personas y conseguir que revelen información personal, ha evolucionado significativamente con el paso de los años. El volumen, la diversidad y la sofisticación de las técnicas de phishing han crecido de forma inimaginable, lo que hace cada vez más importante comprender las diferentes formas en que puede adoptarse. En esta publicación, profundizaremos en este tema y explicaremos cómo el phishing se presenta en las siguientes variantes:
Antes de comprender los tipos de phishing, debemos aclarar qué es realmente. El phishing es una técnica que utilizan los estafadores para obtener información personal o financiera confidencial, como nombres de usuario, contraseñas y números de tarjetas de crédito, enmascarando su comunicación (correo electrónico, SMS o llamada) como si proveniera de una entidad confiable (como un banco, sitios web populares o plataformas de compras en línea).
Suplantación de identidad por correo electrónico
El phishing por correo electrónico es la forma más común. Suele implicar el envío masivo de correos electrónicos a miles de destinatarios, con la esperanza de que solo una pequeña parte crea la historia y haga clic en los enlaces maliciosos. Estos correos electrónicos suelen estar diseñados para generar pánico e incitar al usuario a actuar, a menudo enlazando a un sitio web falso donde se le anima a introducir datos confidenciales.
Spear Phishing
El "spear phishing" es una versión más específica del phishing por correo electrónico. En este caso, el atacante investiga a fondo a su objetivo y redacta un correo electrónico con mayor probabilidad de engañar al usuario. El correo electrónico puede hacer referencia a eventos, personas o puntos de interés específicos del objetivo para que parezca legítimo.
Ballenero
El «whaling» es una forma de phishing selectivo que se dirige a personas de alto perfil, como ejecutivos o personas con poder. Suele planificarse y ejecutarse meticulosamente, con una carga significativa, dado el alto valor de los objetivos.
Vishing
El vishing o phishing de voz consiste en llamadas telefónicas. Quienes llaman se hacen pasar por representantes de una organización de confianza y convencen al receptor para que revele datos personales, que luego son explotados.
Smishing
'Smishing' es una forma de phishing basada en SMS en la que se utilizan mensajes de texto para engañar a las personas para que proporcionen información personal o financiera o descarguen una aplicación maliciosa.
Farmeo
El 'pharming' es otra técnica sofisticada en la que los piratas informáticos explotan servidores DNS o archivos host de computadoras individuales y redirigen a los usuarios desde direcciones de sitios web legítimos a direcciones maliciosas sin que lo sepan.
Clon de phishing
Una variante del phishing por correo electrónico, el "phishing clonado", implica crear una réplica casi idéntica de un mensaje legítimo anterior que contenía un archivo adjunto o un enlace, intercambiar el archivo adjunto o el hipervínculo por uno malicioso y luego reenviar el correo electrónico creyendo que es un seguimiento legítimo.
Suplantación de identidad (phishing) HTTPS
El phishing HTTPS consiste en crear un sitio web aparentemente seguro para engañar a los usuarios haciéndoles creer que están en un sitio legítimo. Los intentos de phishing evolucionados ahora utilizan HTTPS y el icono de un candado verde para engañar a los usuarios haciéndoles creer que el sitio es seguro.
Phishing de pescadores
El phishing de pesca se aprovecha del servicio de atención al cliente que ofrecen las empresas a través de redes sociales. Los estafadores crean cuentas falsas de atención al cliente y responden a las consultas de los clientes, a menudo pidiéndoles que sigan un enlace o proporcionen datos personales.
Fraude del CEO
El 'fraude del CEO' ocurre cuando se envían correos electrónicos de phishing haciéndose pasar por el CEO o cualquier alto ejecutivo de una empresa, engañando al personal para que ejecute transferencias no autorizadas.
En conclusión, es evidente que el phishing se presenta de muchas formas. Cada método es más astuto y sofisticado que el anterior. Mantenerse informado sobre las diversas técnicas de phishing, contar con un sistema de seguridad sólido y mantener siempre un buen nivel de escepticismo ante las comunicaciones no solicitadas puede contribuir en gran medida a la protección contra estas ciberamenazas.