phishing cuando ser demasiado confiado sale caro

Phishing: cuando ser demasiado confiado sale caro

PorCarlos Ribeiro

Hay ataques informáticos sofisticados que requieren conocimientos avanzados, y luego está el phishing: el arte de engañarte para que tú mismo entregues tus datos en bandeja. No necesita grandes conocimientos técnicos, solo conocer cómo funcionamos los humanos. Y funciona sorprendentemente bien.

¿Qué es exactamente el phishing?

El phishing es una técnica de suplantación donde los ciberdelincuentes se hacen pasar por entidades legítimas —bancos, servicios de mensajería, plataformas conocidas— para engañar a las víctimas y conseguir que revelen información personal, credenciales o datos financieros.

La palabra viene del inglés «fishing» (pescar) porque, básicamente, lanzan un cebo y esperan que alguien pique. Y vaya si picamos… Según datos recientes, más del 90% de los ciberataques comienzan con un correo fraudulento de phishing.

Tipos de ataques de phishing más comunes

No todos los ataques de suplantación son iguales. Con el tiempo, el phishing ha evolucionado y se ha especializado:

  • Phishing tradicional por correo: El más común y conocido. Recibes un email aparentemente de tu banco, Amazon o Netflix pidiéndote «verificar» tu cuenta.

  • Spear phishing: Un ataque dirigido específicamente a ti. Saben tu nombre, dónde trabajas y adaptan el mensaje para hacerlo creíble. Es como pasar del «Estimado usuario» al «Hola Carlos, respecto a tu reciente compra en MediaMarkt…»

  • Smishing: El mismo concepto pero a través de SMS. «Su paquete está retenido, pulse aquí para pagar 1,95€ de tasas». ¿Te suena?

  • Vishing: Phishing por voz. Te llaman haciéndose pasar por soporte técnico o tu banco para sacarte información.

  • Whaling: Cuando van a por los «peces gordos» de una empresa, normalmente ejecutivos con acceso a información valiosa.

¿Por qué sigue funcionando el phishing en 2024?

A veces me preguntan cómo es posible que el phishing siga funcionando cuando llevamos años hablando de ello. La respuesta es simple: porque los atacantes han mejorado su juego y explotan vulnerabilidades que no son técnicas, sino humanas.

La psicología detrás del engaño

Los ataques de phishing modernos son efectivos porque juegan con:

  • Urgencia: «Su cuenta será bloqueada en 24 horas»
  • Miedo: «Hemos detectado actividad sospechosa»
  • Curiosidad: «Has sido grabado viendo contenido para adultos»
  • Codicia: «Has ganado un iPhone 15 Pro, reclámalo ahora»
  • Autoridad: Suplantan a tu jefe, a Hacienda o a la Policía

Y no, no se trata solo de personas mayores o inexpertos. He visto caer a profesionales de la tecnología porque recibieron el mensaje en el momento adecuado, cuando estaban distraídos o bajo presión.

El papel de la tecnología actual

La llegada de la IA generativa ha elevado el juego. Los correos fraudulentos ya no tienen esas faltas de ortografía que antes los delataban. ChatGPT puede generar un correo perfectamente redactado en segundos. Las herramientas de deepfake pueden clonar voces.

Si antes era fácil distinguir un correo de phishing, hoy ya no lo es tanto.

Cómo protegerte del phishing

La buena noticia es que hay maneras de evitar caer en estos engaños, y no requieren ser un experto en tecnología:

1. Verifica siempre la fuente

Nunca hagas clic directamente en enlaces de correos sospechosos. Ve directamente a la web oficial escribiendo la dirección en tu navegador o usando la app oficial.

Si recibes un correo del «banco», mira la dirección del remitente. ¿Es info@banco-santander-verificacion.net o realmente es@santander.es? La diferencia es crucial.

2. Establece una autenticación de dos factores

Las contraseñas ya no son suficientes. Activa la verificación de dos factores (2FA) en todos tus servicios importantes. Así, aunque te roben la contraseña, no podrán acceder sin el segundo factor (normalmente un código en tu teléfono).

3. Mantén actualizado tu software

Muchos ataques de phishing intentan instalar malware. Si mantienes tu sistema operativo y navegador actualizados, estarás cerrando puertas a estos intentos.

4. Educación: la mejor defensa

No lo digo solo como experto, sino por experiencia: la formación continua es la mejor herramienta contra el phishing. Empresas que entrenan regularmente a sus empleados reducen sus probabilidades de sufrir un ataque exitoso en más de un 70%.

El panorama del phishing en España

En España, los ataques de suplantación tienen sus propias peculiaridades. Los ciberdelincuentes adaptan sus técnicas a nuestro contexto:

  • Suplantan a empresas de paquetería como Correos, SEUR o MRW
  • Se hacen pasar por entidades como la Agencia Tributaria, especialmente en época de la Renta
  • Imitan a bancos españoles como Santander, BBVA o CaixaBank

Una tendencia preocupante es el aumento del phishing a través de WhatsApp, donde circulan cupones falsos de grandes superficies o falsas ofertas de empleo.

Casos recientes que han impactado a empresas

En los últimos meses he visto casos de empresas medianas españolas que han sufrido pérdidas superiores a 50.000€ por un simple correo fraudulento. El esquema suele ser similar: suplantan al CEO y solicitan una transferencia urgente al departamento financiero.

Lo más preocupante es que estos ataques son cada vez más sofisticados. Ya no basta con estar alerta; hay que estar formado y seguir protocolos estrictos para las operaciones sensibles.

El futuro del phishing: más personalizado y sofisticado

¿Hacia dónde va el phishing? No tengo una bola de cristal, pero viendo las tendencias actuales, puedo anticipar algunas evoluciones:

  • Phishing impulsado por IA: Ataques personalizados a escala, utilizando información de redes sociales y filtrados de datos.
  • Ataques multicanal: Una combinación de email + llamada telefónica + mensaje en redes sociales para aumentar la credibilidad.
  • Deepfakes de audio y video: Imagina recibir un video de tu jefe pidiéndote que hagas una transferencia urgente.

El phishing evoluciona, pero nuestras defensas también deben hacerlo. La clave seguirá siendo la combinación de tecnología, concienciación y sentido común.

Como siempre digo a mis clientes: si algo huele raro, probablemente lo sea. Y ante la duda, verifica por otro canal. Una llamada telefónica puede ahorrarte un disgusto enorme.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *