En el mundo en línea de hoy en día, las estafas comunes de phishing son una amenaza creciente que pone en peligro la seguridad y la privacidad de particulares y organizaciones por igual. El phishing ha dejado de ser un problema ocasional para convertirse en un problema generalizado con importantes consecuencias financieras.
El Centro de Denuncias de Delitos en Internet (IC3) del FBI recibió 300.497 denuncias de phishing en 2022, lo que lo convierte en el principal delito en Internet por número de denuncias. Esto provocó pérdidas de unos 52 millones de dólares.
Su primera posición y los graves daños financieros ponen de relieve la necesidad crucial de comprender y combatir estas ciberamenazas.
Este artículo explora varios ataques de phishing, cada uno con sus propias características, pero todos con intenciones maliciosas. Conocer el funcionamiento interno de estas estafas y seguir los pasos preventivos aconsejados es esencial para navegar con seguridad por el espacio digital y minimizar las pérdidas financieras.
9 Estafas populares de phishing
9. Phishing por correo electrónico
El phishing por correo electrónico es una estafa en la que los estafadores en línea se hacen pasar por organizaciones de confianza para engañar a la gente y hacer que facilite datos privados como contraseñas o números de tarjetas de crédito. A menudo intentan apresurar o asustar a sus objetivos para que actúen sin pensar. Es una de las estafas de phishing más comunes.
Un truco habitual es el correo electrónico bancario falso, en el que los estafadores envían mensajes haciéndose pasar por un banco, pidiendo al receptor que actualice la información de su cuenta o se arriesgue a que se la cierren.
Las estafas fiscales también son habituales, sobre todo en temporada de impuestos, con correos falsos que se hacen pasar por agencias tributarias para engañar a la gente y que comparta información personal o financiera.
Es fundamental saber detectar los correos electrónicos de phishing. He aquí algunos consejos sencillos:
- Tenga cuidado con los saludos generales, ya que la mayoría de los correos electrónicos de phishing no utilizarán su nombre real.
- Busque errores ortográficos y gramaticales, que pueden ser señales de advertencia.
- Sin embargo, los estafadores utilizan ahora inteligencia artificial (IA) como ChatGPT para redactar sus correos electrónicos, por lo que los errores son cada vez menos frecuentes.
- Pasa el ratón por encima de los enlaces antes de hacer clic para ver a dónde van. Las organizaciones de confianza también suelen tener sitios web HTTPS seguros.
- Tenga cuidado con los correos electrónicos que intentan meterle prisa o asustarle para que actúe.
- Asegúrese de que las herramientas antiphishing de su software de correo electrónico están activadas y actualizadas.
Ejemplos de correos electrónicos de phishing
He aquí un par de ejemplos de correos electrónicos de phishing de mi propia carpeta de spam. Se puede ver que contienen todas las características de los correos electrónicos de phishing: saludos generales y errores, junto con una sensación de prisa para que se comprometa con ellos.
8. Suplantación de identidad
El spear phishing es un tipo de estafa online en la que los embaucadores adaptan sus mensajes falsos a una persona o grupo específico. A diferencia de las estafas de phishing comunes, el spear phishing requiere mucha preparación para que la estafa parezca real.
En el phishing con arpón, los estafadores buscan información sobre su objetivo, como su nombre, cargo y con quién trabaja, para crear mensajes creíbles. Por ejemplo, pueden hacerse pasar por un compañero de trabajo o un proveedor y enviar un correo electrónico pidiendo al objetivo que comparta información confidencial o haga clic en un enlace dañino.
He aquí algunos pasos sencillos para protegerse del spear phishing:
- Desconfíe de los mensajes inesperados, sobre todo de los que parecen urgentes.
- Si recibe una solicitud inesperada de información confidencial, vuelva a comprobarlo poniéndose en contacto con el solicitante a través de una vía de comunicación conocida y diferente.
- Utilice filtros de correo electrónico que le ayuden a detectar y separar posibles mensajes de spear phishing.
- Organice sesiones de formación periódicas para enseñar a sus empleados o familiares a detectar los intentos de spear phishing.
- Mantenga actualizados el software y los sistemas para corregir los puntos débiles de seguridad de los que podrían aprovecharse los phishers.
Ejemplo de spear phishing
En julio de 2020, Twitter se enfrentó a un grave ataque de spear phishing en el que los estafadores engañaron a sus empleados para hacerse con el control de algunas cuentas famosas, como las de Barack Obama, Joe Biden y Elon Musk, entre otros.
Utilizando un método llamado phishing telefónico, consiguieron acceder a las herramientas internas de Twitter. Luego utilizaron estas cuentas de alto perfil para difundir una estafa de Bitcoin (BTC).
7. Phishing de clones
El phishing de clonación se produce cuando los estafadores copian un correo electrónico real que has recibido antes, pero cambian los enlaces o archivos adjuntos por otros dañinos. A continuación, vuelven a enviar este correo falso, haciéndose pasar por alguien de confianza, como su banco o un compañero de trabajo.
Por ejemplo, podrían copiar un correo electrónico de su banco sobre la actualización de su cuenta, pero cambiar el enlace a un sitio web falso donde pueden robar sus datos de acceso. O podrían reenviar un correo electrónico de un compañero de trabajo compartiendo un documento, pero sustituirlo por una versión dañina.
He aquí cómo mantenerse a salvo del phishing clónico:
- Ten cuidado con los correos electrónicos de seguimiento que surgen de la nada, sobre todo si te piden que actúes con rapidez.
- Compruebe la dirección de correo electrónico del remitente si el mensaje le parece sospechoso.
- No hagas clic en enlaces ni descargues archivos adjuntos en correos electrónicos que parezcan sospechosos. Para acceder al sitio web oficial, escríbalo en el navegador.
- Utilice filtros de correo electrónico que detecten y bloqueen los mensajes de phishing.
- Mantenga actualizado el software de protección de su ordenador para protegerse de ataques dañinos.
Ejemplo de phishing de clonación
Una estafa común de phishing de clonación es aquella en la que los estafadores afirman que han compartido con usted un documento de un remitente con el que está familiarizado. Si un compañero de trabajo le invita a ver un documento, es más probable que haga clic en él sin ni siquiera pensarlo.
6. Whaling
El whaling es una estafa en línea en la que los hackers se dirigen a los altos cargos de las empresas, como directores generales o directores financieros, para engañarlos y que revelen información confidencial de la empresa. A diferencia de las estafas de phishing comunes, las estafas de whaling se adaptan personalmente al ejecutivo objetivo y requieren mucho trabajo de preparación para parecer reales.
Los estafadores se dirigen a personas de alto rango, ya que tienen acceso a información valiosa de la empresa. Por ejemplo, un estafador puede hacerse pasar por un director general y enviar un correo electrónico al equipo financiero diciéndoles que transfieran una gran suma de dinero a una cuenta falsa. Suelen crear una sensación de prisa para conseguir una reacción rápida sin pensárselo mucho.
Para mantener a los ejecutivos a salvo de los ataques, las empresas pueden:
- Utilizar procesos de inicio de sesión de varios pasos para las cuentas de correo electrónico y los sistemas sensibles para reforzar la seguridad.
- Enseñar a los ejecutivos y a los trabajadores a detectar los ataques de este tipo, insistiendo en la necesidad de comprobar dos veces las solicitudes inesperadas de dinero o información.
- Disponga de un sistema de doble comprobación, como la necesidad de una llamada telefónica de confirmación para las transferencias bancarias.
- Utilice filtros de correo electrónico inteligentes para detectar y bloquear los mensajes fraudulentos, sobre todo los que simulan proceder de altos ejecutivos.
- Mantenga actualizado el software de seguridad para protegerse de virus y otras amenazas online relacionadas con estafas.
Ejemplo de estafa
En 2015, una ejecutiva de finanzas de Mattel recibió un correo electrónico, aparentemente del nuevo director general, solicitando el pago de 3 millones de dólares a un proveedor en China. Ella aprobó el pago, pero más tarde descubrió que el CEO no había enviado el correo electrónico. Esta estafa formaba parte de una tendencia mayor en la que los estafadores copian solicitudes reales. Afortunadamente, con la ayuda de funcionarios chinos, Mattel recuperó el dinero después de un feriado bancario en China.
5. Vishing (suplantación de identidad por voz)
El vishing, abreviatura de Voice Phishing, es una estafa en la que los estafadores le llaman haciéndose pasar por organizaciones reales, como bancos o agencias gubernamentales, para engañarle y que facilite datos privados, como números de cuentas bancarias o de la Seguridad Social. A diferencia del phishing normal, que se realiza a través del correo electrónico, el vishing utiliza llamadas telefónicas para engañar a la gente.
Ejemplos de estafas de vishing son las llamadas de personas que fingen ser de su banco para comprobar cargos sospechosos o de Hacienda para decirle que debe impuestos atrasados. A menudo intentan meterle prisa o asustarle para que dé información o dinero por teléfono.
A continuación le explicamos cómo protegerse de las estafas de vishing:
- Desconfíe de las llamadas inesperadas, especialmente si la persona que llama intenta asustarle o le mete prisa.
- No facilite nunca información personal en una llamada, a menos que la haya realizado a un número conocido y de confianza.
- Si una llamada te parece sospechosa, cuelga y vuelve a llamar a un número oficial que encuentres en tu extracto o en el sitio web oficial.
- Utiliza aplicaciones de identificación de llamadas que puedan detectar y bloquear llamadas fraudulentas.
- Denuncia cualquier intento de vishing a las autoridades locales y a la Comisión Federal de Comercio.
Ejemplo de vishing
Los casinos MGM y Caesars de Las Vegas sufrieron ataques de vishing, en los que piratas informáticos llamaron por teléfono al servicio de asistencia para obtener los datos de acceso y acceder a los sistemas de los casinos. A continuación, pedían un rescate. Caesars pagó 15 millones de dólares para resolver el problema rápidamente, pero MGM no pagó y perdió alrededor de 100 millones de dólares por el ataque.
4. Smishing (suplantación de identidad por SMS)
Smishing, o SMS Phishing, es cuando los estafadores envían mensajes de texto fingiendo ser de fuentes de confianza para engañar a la gente para que comparta detalles privados como contraseñas o números de cuentas bancarias. A diferencia de las estafas habituales por correo electrónico, el smishing le llega a través de mensajes de texto en su teléfono.
Por ejemplo, puede recibir un mensaje de texto que simule ser de su banco pidiéndole que confirme los datos de su cuenta o de una agencia gubernamental con un enlace para solicitar la devolución de impuestos. Estos mensajes suelen apresurarle a actuar rápidamente sin pensar.
A continuación le explicamos cómo protegerse de las estafas de smishing:
- Tenga cuidado con los mensajes de texto de números desconocidos o mensajes que le metan prisa.
- No hagas clic en enlaces ni descargues nada de mensajes sospechosos.
- Si un mensaje te pide información personal, compruébalo llamando al número oficial de la organización.
- Utiliza una de las mejores aplicaciones antivirus para Android para detectar y bloquear textos y enlaces maliciosos.
- Denuncie los mensajes de texto extraños a su compañía telefónica y a la Comisión Federal de Comercio.
Ejemplo de Smishing
A continuación se muestra un ejemplo de estafa. Como puedes ver, Apple Pay está mal escrito (como una palabra en lugar de dos), y el enlace es muy extraño – no se parece en nada a otros enlaces de soporte o productos de Apple.
3. Pharming
El pharming es una estafa cibernética en la que los estafadores le redirigen de sitios web reales a otros falsos sin que usted se dé cuenta. Para ello, manipulan el sistema de libretas de direcciones de Internet, corrompiendo el sistema de nombres de dominio (DNS) que traduce los nombres de los sitios web a direcciones IP.
A diferencia de las estafas comunes de phishing, que engañan al usuario para que haga clic en enlaces maliciosos, el pharming realiza el redireccionamiento automáticamente, lo que lo hace más peligroso.
En el pharming, cuando un usuario introduce la dirección web de un sitio legítimo, es redirigido a una versión falsa del mismo. Por ejemplo, un usuario que intente acceder al sitio web de su banco puede ser redirigido a un sitio fraudulento con el mismo aspecto que el del banco, donde pueden robarle sus credenciales de acceso.
He aquí cómo evitar las estafas de pharming:
- Asegúrese de que la dirección del sitio web empieza por HTTPS, que indica que es seguro.
- Mantenga actualizados el ordenador, el navegador y el software de seguridad para corregir las brechas de seguridad.
- Evite utilizar redes Wi-Fi públicas para transacciones delicadas, ya que es más fácil para los estafadores espiar en estas redes. Si necesita hacerlo, asegúrese de utilizar una VPN.
- Utilice protocolos de seguridad DNS como DNS Security Extensions (DNSSEC) para protegerse contra la suplantación de DNS.
- Manténgase alerta ante cualquier comportamiento o apariencia inusual de un sitio web e informe a su proveedor de servicios de
- Internet si cree que se ha topado con una estafa de pharming.
Ejemplo de pharming
En 2017, los hackers atacaron un banco brasileño, redirigiendo a sus clientes en línea a sitios web bancarios falsos mediante la alteración de los registros DNS de las propiedades en línea del banco. Esta redirección les permitió les ayudó a robar datos de acceso personales. Este ataque secuestró toda la huella de Internet del banco, mostrando un siniestro uso del pharming para cometer fraudes a gran escala.
2. Estafas de cuestionarios y encuestas
Las estafas de cuestionarios y encuestas son trucos en los que los estafadores realizan cuestionarios o encuestas falsos para robar información personal o difundir software dañino. A menudo atraen a la gente con la promesa de premios o resultados interesantes.
Algunos ejemplos son los cuestionarios que dicen decirte a qué famoso te pareces o las encuestas que ofrecen tarjetas regalo si las completas. Pero una vez que participa, pueden pedirle sus datos personales o hacerle descargar software peligroso, que puede conducir a la usurpación de su identidad u otras actividades fraudulentas.
Aquí tienes algunos consejos para evitar ser víctima de estafas con cuestionarios y encuestas:
- Desconfía de los concursos y encuestas de fuentes desconocidas, sobre todo si prometen grandes premios.
- Evita dar datos personales como tu nombre, dirección o información financiera en cualquier cuestionario o encuesta.
- Comprueba la dirección web para asegurarte de que procede de una fuente fiable, y busca HTTPS en la dirección para mayor seguridad.
- Utiliza software de seguridad en tus dispositivos para detectar y bloquear actividades maliciosas.
- Si un cuestionario o encuesta te pide que descargues algo, es una mala señal. Mantente alejado de ellos.
- Informa a las autoridades de cualquier cuestionario o encuesta sospechosa para evitar que estafen a otras personas.
Ejemplo de estafas con cuestionarios y encuestas
En 2022, una estafa dirigida a usuarios de WhatsApp ofrecía falsas recompensas en efectivo de Costco por encuestas, engañando a las víctimas para que compartieran datos personales o descargaran aplicaciones maliciosas.
Con origen en México y propagándose por América Latina, este fraude aprovechaba el «40 aniversario» de Costco con sitios web y reseñas falsas para parecer creíble. Los estafadores incitan a compartir el enlace fraudulento para obtener un «premio», lo que propaga aún más el engaño y puede instalar malware o robar información confidencial.
1. Estafas de soporte técnico
Las estafas de soporte técnico son esquemas en los que los estafadores se hacen pasar por útiles agentes de soporte técnico de empresas conocidas para engañar a la gente y hacer que facilite información personal o pague por servicios de soporte técnico innecesarios o inexistentes. Estas estafas se aprovechan de la falta de conocimientos técnicos de la gente.
Los ejemplos incluyen llamadas o correos electrónicos aleatorios de personas que dicen ser de Microsoft o Apple, que le dicen que hay un problema falso con su ordenador y le ofrecen arreglarlo a cambio de una tarifa. Pueden pedirle que controle su ordenador a distancia, lo que puede dar lugar a la instalación de software dañino o al robo de su información personal.
A continuación le explicamos cómo evitar las estafas del servicio de asistencia técnica:
- Desconfíe de llamadas o correos electrónicos inesperados ofreciéndole asistencia técnica, sobre todo si le meten prisa.
- No compartas nunca tus datos personales o financieros, y no permitas que controlen tu ordenador si no has pedido ayuda.
- Si cree que un estafador se ha puesto en contacto con usted, cuelgue o elimine el correo electrónico y llame directamente a la empresa real utilizando su información de contacto oficial.
- Mantenga actualizado el software de protección de su ordenador para bloquear el material dañino.
- Infórmese sobre los trucos más comunes en el soporte técnico y enséñelos también a los demás.
- Denuncia cualquier estafa de soporte técnico a las autoridades locales y a la Comisión Federal de Comercio.
Ejemplo de estafa de soporte técnico
Una estafa habitual al servicio técnico por correo electrónico es el aviso de actividad sospechosa. En este caso, los estafadores se hacen pasar por empresas conocidas, dicen que hay una actividad inusual en su cuenta y le piden que llame o haga clic en un enlace. A continuación, le pedirán sus datos y los grabarán.
Cómo protegerse de las estafas de phishing más comunes: Resumen
Las estafas comunes de phishing son un gran problema que pone en peligro tanto a particulares como a empresas. Como muestran las asombrosas cifras del FBI para 2022, estas estafas pueden causar muchos daños financieros, por lo que es muy importante comprenderlas y protegerse contra ellas.
El artículo ha desglosado diferentes tipos de estafas de phishing, como el phishing por correo electrónico, el phishing con arpón y otras, explicando cómo funcionan y cómo mantenerse a salvo. Ya se trate de ser precavido con los correos electrónicos inesperados, mantener el software actualizado o comprobar dos veces las solicitudes de información confidencial, seguir estas medidas de seguridad puede ayudar a evitar caer en estas estafas y enfrentarse a pérdidas económicas.
Estando informado y siendo cuidadoso, puedes navegar por el mundo de Internet de forma segura.