Definición de Phishing
El phishing es una forma de fraude digital perpetrada por hackers malintencionados, cuyo objetivo principal es obtener información sensible como números de tarjetas de crédito, contraseñas, datos de cuentas bancarias y otra información personal o financiera. El propósito final suele ser el robo de dinero o la usurpación de identidad del usuario afectado.
El engaño se basa en la suplantación de identidad de entidades legítimas, aprovechando la falta de conocimiento o la confianza del usuario. Por ejemplo, un atacante puede enviar un correo electrónico que aparenta ser de un banco reconocido, solicitando al usuario que actualice sus datos ingresando en un enlace falso.
El término “phishing” fue popularizado a mediados de los años 90, atribuido al hacker Khan C Smith. La primera mención registrada se encuentra en la herramienta AOHell, que facilitaba el robo de contraseñas de usuarios de America Online.
Descripción general del phishing
El phishing consiste en intentos fraudulentos de obtener datos delicados, como nombres de usuario, contraseñas o detalles de tarjetas de crédito, disfrazándose de entidades confiables en comunicaciones electrónicas. Esto puede ocurrir por medio de correos electrónicos, mensajes de texto (SMS), mensajes en redes sociales o incluso llamadas telefónicas (vishing).
El término proviene de la palabra inglesa “fishing” (pescar), haciendo referencia al uso de un “cebo” para atrapar víctimas. Por ejemplo, un correo electrónico que simula ser de una tienda en línea puede pedirte que verifiques tu cuenta siguiendo un enlace, el cual dirige a un sitio web falso.
Según el Índice de Seguridad de Microsoft Computing 2013, el impacto económico global del phishing puede alcanzar los 5 mil millones de dólares anuales.
El phishing suele llevarse a cabo mediante email spoofing (suplantación de correo electrónico) o mensajes instantáneos, invitando a los usuarios a ingresar información personal en sitios web falsos que imitan el diseño de los sitios legítimos. La diferencia principal suele estar en la URL, que puede contener errores sutiles o dominios sospechosos.
Las comunicaciones de phishing pueden simular provenir de bancos, redes sociales, plataformas de pago, servicios de mensajería, o incluso departamentos de TI de empresas. Además, los enlaces en estos mensajes pueden dirigir a sitios que instalan malware en el dispositivo de la víctima.
El phishing es un ejemplo clásico de ingeniería social, ya que explota la confianza y el desconocimiento de los usuarios para obtener acceso a información confidencial.
Ejemplos comunes de phishing
- Un correo electrónico que simula ser de un banco, solicitando que verifiques tu cuenta por un supuesto acceso sospechoso.
- Un mensaje de texto que alerta sobre un paquete pendiente de entrega e incluye un enlace para ingresar datos personales.
- Un sitio web falso que imita la página de inicio de sesión de una red social.
Ventajas y desventajas del phishing (desde la perspectiva del atacante)
- Ventajas: Bajo costo de implementación, posibilidad de llegar a muchas víctimas, dificultad para rastrear a los responsables.
- Desventajas: Riesgo de detección por filtros antiphishing, dependencia del desconocimiento o descuido de los usuarios, posibles sanciones legales severas.
Comparación con otros ataques similares
- Phishing vs. Spear phishing: El phishing tradicional es masivo y genérico, mientras que el spear phishing es dirigido y personalizado hacia una víctima específica.
- Phishing vs. Smishing: El phishing se realiza principalmente por correo electrónico, mientras que el smishing utiliza mensajes de texto.
- Phishing vs. Vishing: El vishing utiliza llamadas telefónicas en lugar de mensajes escritos.
Prevención y protección
Para protegerse del phishing, se recomienda:
- No hacer clic en enlaces sospechosos ni descargar archivos adjuntos de remitentes desconocidos.
- Verificar siempre la legitimidad de correos electrónicos, mensajes y sitios web antes de proporcionar información personal.
- Utilizar contraseñas seguras y diferentes para cada servicio.
- Mantener actualizado el software de seguridad y los sistemas operativos.
- Activar la autenticación de dos factores siempre que sea posible.
Resumen: Phishing
El phishing es un engaño digital en el que los atacantes se hacen pasar por entidades confiables para obtener información sensible de los usuarios, principalmente a través de correos electrónicos o sitios web falsos. Es una técnica de ingeniería social que puede resultar en robo de identidad o pérdidas económicas para las víctimas.
¿Cómo puedo identificar un correo electrónico de phishing?
Los correos electrónicos de phishing suelen contener:
- Lenguaje poco profesional o traducciones automáticas.
- Errores de gramática y ortografía.
- Direcciones de correo electrónico sospechosas o que no coinciden exactamente con las oficiales.
- Enlaces que redirigen a sitios web con URLs extrañas o diferentes al dominio legítimo.
- Solicitudes urgentes o amenazas para presionar al usuario a actuar rápidamente.
Siempre verifica el remitente y evita hacer clic en enlaces o descargar archivos si tienes dudas sobre su autenticidad.
¿Qué debo hacer si creo haber sido víctima de un ataque de phishing?
Si crees que has sido víctima de phishing:
- Cambia inmediatamente tus contraseñas.
- Contacta a tu banco o institución financiera para reportar cualquier actividad sospechosa.
- Informa a las autoridades o a los responsables de seguridad de tu empresa.
- Ejecuta un análisis de seguridad en tu computadora y otros dispositivos.
¿Cómo puedo protegerme contra el phishing en las redes sociales?
Para evitar el phishing en redes sociales:
- Sé cauteloso al hacer clic en enlaces o aceptar solicitudes de desconocidos.
- No compartas información confidencial por mensajes directos.
- Utiliza contraseñas robustas y activa la autenticación de dos factores.
- Verifica siempre la identidad de quienes te contacten solicitando información personal.
¿Cuáles son los signos de advertencia de un sitio web de phishing?
Los sitios de phishing pueden mostrar:
- URLs que no coinciden exactamente con el sitio legítimo (por ejemplo, “micros0ft.com” en vez de “microsoft.com”).
- Ausencia de candado o conexión segura (HTTPS).
- Diseños poco profesionales o detalles visuales inusuales.
- Solicitudes inusuales de información personal o financiera.
Utiliza navegadores y herramientas de seguridad que bloqueen sitios de phishing conocidos.
¿Puedo ser víctima de phishing a través de llamadas telefónicas?
Sí, existe una variante llamada vishing, donde los estafadores llaman haciéndose pasar por empleados de bancos, empresas o entidades gubernamentales, solicitando información confidencial. Nunca proporciones datos personales o financieros a través de llamadas no verificadas y confirma la identidad del interlocutor antes de compartir información.
¿Cómo puedo educar a mis empleados sobre el phishing?
La capacitación es clave. Ofrece entrenamientos periódicos sobre cómo reconocer intentos de phishing, fomenta la verificación de correos y sitios web, y promueve la cultura de reportar cualquier comunicación sospechosa. Mantén actualizado el antivirus y las herramientas de protección antiphishing en los dispositivos de la empresa.
Terminología relacionada
• ingeniería social
• Smishing
• Ejemplos de phishing y formas de operar de los estafadores
• Nuevas modalidades de engaño en celulares
Autor: Leandro Alegsa
Actualizado: 05-07-2025
¿Cómo citar este artículo?
Alegsa, Leandro. (2025). Definición de Phishing. Recuperado de https://www.alegsa.com.ar/Dic/phishing.php