¿Qué es el Phishing?

El phishing (del inglés. Fishing) es un acto ilegal que se comete para obligar a una persona a compartir su información confidencial, como una contraseña o un número de tarjeta de crédito. Al igual que los pescadores ordinarios que utilizan una variedad de métodos de pesca, los phishers astutos también emplean una serie de métodos para enganchar a sus presas.

La metodología habitual es que una víctima recibe un correo electrónico o mensaje de texto cuyo remitente se hace pasar por una persona u organización específica en la que la víctima confía, como un colega de trabajo, un empleado de banco o un funcionario del gobierno.

Cuando un destinatario desprevenido abre el correo electrónico o el mensaje, encuentra un texto aterrador, especialmente diseñado para abrumar el sentido común e infundir miedo. El texto requiere que la víctima vaya al sitio web e inmediatamente tome ciertas acciones para evitar peligros o consecuencias graves.

Si el usuario “muerde el anzuelo” y sigue el enlace, entonces llega a un sitio web que imita uno u otro recurso legítimo de Internet. En este sitio web, se le pide al usuario que «inicie sesión» con su nombre de cuenta y contraseña.

Si resulta ser lo suficientemente crédulo y acepta, entonces los datos ingresados van directamente a los atacantes, quienes luego los usan para robar información confidencial o dinero de cuentas bancarias; además, pueden vender sus datos personales en el mercado negro.

El phishing es el método más simple de ciberataque, pero, sin embargo, es uno de los más peligrosos y efectivos. A diferencia de otras amenazas que se encuentran en Internet, el phishing no requiere un conocimiento técnico profundo.

El phishing es el método de ciberataque más simple, pero sin embargo es uno de los más peligrosos y efectivos. Esto sucede porque el objetivo del ataque es el más poderoso, pero al mismo tiempo el equipo más vulnerable del mundo: la mente humana.

Los delincuentes que practican el phishing no quieren encontrar las vulnerabilidades técnicas en tu PC, sino que utilizan sencillos pero efectivos métodos de ingeniería social. Desde Windows y iPhone hasta Mac y Android, ningún sistema operativo ofrece una protección total contra el phishing, por muy potentes que sean sus herramientas antivirus.

En realidad, los ciberdelincuentes suelen recurrir al phishing porque no pueden encontrar ninguna vulnerabilidad técnica. ¿Por qué perder el tiempo rompiendo la seguridad multicapa cuando puede engañar a un usuario para que revele voluntariamente sus datos? El propio usuario el eslabón más débil en la protección del sistema, no un error oculto en el código del programa. El exceso de confianza es el arma que utilizan los atacantes.

Origen

El origen del término «phishing» es bastante fácil de rastrear. Un ataque de phishing se parece mucho a la pesca normal, como hemos dicho. Primero, debe adquirir un cebo que pueda engañar a la víctima, y luego abandonar la caña de pescar y esperar a que el «pez» muerda el anzuelo.

En inglés, la combinación de las palabras «pesca» y «falso» (engaño) llevó a que la letra «ph» fuera reemplazada por el dígrafo «ph», como resultado de lo cual el término para actividad maliciosa en Internet adquirió la ortografía «suplantación de identidad».

Sin embargo, algunas fuentes indican que su origen puede ser algo diferente. En la década de 1970, surgió una subcultura que utilizaba una serie de métodos de baja tecnología para piratear redes telefónicas. Estos primeros hackers fueron llamados phreaks, una combinación de las palabras phone y freak.

En ese momento, la cantidad de ordenadores conectados a la red era pequeña, por lo que el propósito de hacer phreaking era hacer llamadas internacionales gratuitas o llamadas a números que no figuraban en las guías telefónicas.

Incluso antes de que se estableciera firmemente el término «phishing», estas técnicas se describieron en detalle en un informe y presentación de 1987 de Interex (International HP Users Group). El uso del término se remonta a mediados de la década de 1990, y la primera mención se atribuyó al notorio spammer y hacker Khan C Smith.