El Instituto Nacional de Ciberseguridad (Incibe) ha explicado cuáles son las principales variantes del phishing y en qué consisten. Entre ellas, destacan el smishing y el vishing. En este tipo de ataques, los delincuentes suelen buscar tener acceso a datos personales de sus víctimas, con los que poder obtener dinero.
Tal y como señalan desde el Incibe, “El desarrollo de la digitalización ha supuesto un auge de la ciberdelincuencia. A la vez que se han ido desarrollando las nuevas tecnologías, los ciberdelincuentes han ido puliendo sus técnicas, consolidando métodos de ataque cada vez más sofisticados”.
Con técnicas como el phishing, el smishing o el vishing, pretenden “conseguir las credenciales de la mayor cantidad posible de víctimas. Con ello, se logrará el acceso a sus cuentas de correo electrónico, redes sociales, datos bancarios, etc.”, añaden.
Phishing
Este tipo de estafa consiste en “una técnica de ingeniería social”. Esto es, emplea “argucias para obtener información personal manipulando y engañando a usuarios”. En el caso concreto del phishing, “estas artimañas consisten en envíos de correos electrónicos, los cuales aparentan proceder de una compañía u organismo público legítimo, que solicitan información sensible al destinatario”, lo que emplean como una vía de acceso a la identidad de la víctima.
Generalmente, en los correos electrónicos se incita al destinatario a acceder a un enlace, o a descargar un archivo adjunto, que redirige a una página web maliciosa (también con aspecto idéntico a la original). Ahí se pide a la víctima que introduzcan sus credenciales (usuario, contraseña, datos bancarios, etc.) y, al hacerlo, los delincuentes se hacen con ellos y los emplean para realizar acciones maliciosas.
Además, en los casos en que el correo electrónico contiene un archivo malicioso, no es necesario introducir los datos personales ya que, al descargarlo, un software malicioso accederá al dispositivo. Estos pueden ser de diferentes tipos, entre los que destacan los keylogger (monitoriza las pulsaciones del teclado), los troyanos o los ramsonware (exigen un rescate por datos secuestrados).
Smishing
Se trata de una variante del phishing y “se centra en el uso de los mensajes de texto (SMS) para la obtención de la información a través del engaño”. Al igual que en el caso anterior, los mensajes enviados por los delincuentes “intentan parecer legítimos, y suelen imitar a los mensajes de texto de bancos, aplicaciones u otros proveedores de servicios”.
“En los mensajes, se suele incitar al destinatario a hacer clic en un enlace con la excusa de verificar su identidad, actualizar su contraseña, hacer el seguimiento de un paquete o activar alguna nueva versión de la aplicación a la que tratan de suplantar”, señala el Incibe. Además, habitualmente los mensajes redirigen a una página web falsa que parece legítima, desde la que la víctima puede descargar un software malicioso en su dispositivo.
Vishing
Esta técnica recurre a las llamadas telefónicas para “como en los casos anteriores, obtener información de la víctima mediante el engaño”. Los estafadores “utilizan sus ‘armas’ de engaño para convencer a la víctima de que la llamada proviene de una empresa legítima. Suelen hacerse pasar por representantes de compañías telefónicas, entidades bancarias, agencias gubernamentales, etc., con el fin de convencer a la víctima de revelar información personal y/o financiera”.
“En el caso de las pymes, los ciberdelincuentes usan esta técnica haciéndose pasar por un proveedor, un cliente o incluso alguien interno de la empresa. En el caso de fingir ser un empleado interno, el ciberdelincuente suele optar por alguien del Departamento Tecnológico, en quien la víctima suele confiar para proporcionarle cualquier tipo de información, incluso credenciales”, concluyen.