Logo phishing

Conoce los principales tipos de phishing que los ciberdelincuentes ponen en circulación para intentar obtener datos privados y bancarios de los usuarios que piquen en la trampa.

Si lees nuestro blog con frecuencia, posiblemente ya sepas lo que es un fraude de tipo phishing, pero si no es el caso, y aún no conoces lo que este término significa no te preocupes porque es el objetivo de este post, explicarte qué es un phishing y cómo puedes identificarlos fácilmente.

¿Qué se conoce como phishing?

La técnica que consiste en el envío por parte de un delincuente de un correo electrónico a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robarle información privada.

Los correos de tipo phishing generalmente contienen algún enlace a una página falsa que suplanta la identidad de una empresa o servicio en la que, si introducimos nuestros datos, éstos pasarán directamente a manos del estafador.

Cuando hablamos de phishing casi siempre lo relacionamos con el correo electrónico, aunque cada vez más, se están detectando casos de este fraude con el mismo objetivo, pero que redirigen a una página web falsa a través de otros medios como pueden ser los mensajes intercambiados a través de aplicaciones de mensajería instantánea, mensajes en redes sociales o SMS.

¿Qué características tienen en común los correos de phishing?

Los mensajes suplantadores utilizan todo tipo de argumentos ingeniosos relacionados con la seguridad de la entidad o el adelanto de algún trámite administrativo para justificar la necesidad de facilitar sus datos personales. Entre las excusas frecuentes nos encontramos con:

  • Problemas de carácter técnico.
  • Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
  • Nuevas recomendaciones de seguridad para prevención del fraude.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Premios, regalos o ingresos económicos inesperados.
  • Accesos o usos anómalos a tu cuenta.
  • Inminente desactivación del servicio.
  • Falsas ofertas de empleo.

Además, el correo fraudulento tratará de forzar al usuario a tomar una decisión de forma casi inmediata advirtiendo de consecuencias negativas como por ejemplo la denegación de acceso al servicio correspondiente o el pago de una multa económica.

Aunque los timadores perfeccionan sus técnicas continuamente, los mensajes fraudulentos generalmente se generan a través de herramientas automáticas que integran funcionalidades de traducción y diccionarios de sinónimos por lo que suelen presentar faltas ortográficas y errores gramaticales.

¿Qué servicios son los más utilizados por los ciberdelincuentes para suplantar su identidad?

1. Bancos y cajas

Excusas utilizadas para engañar al usuario: cambio en la normativa del banco, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, bloqueo de la cuenta por motivos de seguridad, etc.

Objetivo: robar números de tarjetas de crédito, tarjetas de coordenadas, PIN secreto, etc.

Ejemplos reales: phishing a ING DIRECT, phishing a Bankia, phishing a Banco Popular, phishing a Caja España, phishing al Banco Santander, phishing a Banco BBVA.

Ejemplo phishing

2. Pasarelas de pago online (PayPal, Mastercard, Visa, etc.)

Excusas utilizadas para engañar al usuario: cambio en la normativa del servicio, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, etc.

Objetivo: al igual que en el caso del phishing anterior, principalmente robar datos bancarios

Ejemplos reales: phishing a Mastercard.

Ejemplo phishing

3. Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.)

Excusas utilizadas para engañar al usuario: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc.

Objetivo: robar cuentas de usuarios, obtener sus datos privados y suplantar su identidad.

Ejemplos reales: phishing en Facebook, phishing en Twitter

Ejemplo phishing

4. Páginas de compra/venta y subastas (Amazon, eBay, etc.)

Excusas utilizadas para engañar al usuario: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.

Objetivo: robar cuentas de usuarios y estafar económicamente al usuario

Ejemplos reales:

Ejemplo phishing

5. Juegos online

Excusas utilizadas para engañar al usuario: fallos de seguridad en la plataforma del juego, problemas en la cuenta del usuarios.

Objetivo: robar cuentas, datos privados, bancarios y suplantar la identidad de los usuarios.

Ejemplos reales:

Ejemplo phishing

6. Soporte técnico y de ayuda (helpdesk) de empresas y servicios (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusas utilizadas para engañar al usuario: confirmación de la cuenta de usuario, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta, se ha superado el límite de capacidad de la cuenta, etc.

Objetivo: robar cuentas y datos privados de los usuarios.

Ejemplos reales: phishing a Apple

Ejemplo phishing

7. Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.)

Excusas utilizadas para engañar al usuario:

Objetivo: Conseguir cuentas de distintos servicios de usuarios, obtener información privada.

Ejemplos reales: phishing a Google Docs

Ejemplo phishing

8. Phishing a servicios o empresas públicas

Excusas utilizadas para engañar al usuario: información sobre una notificación, una multa,

Objetivo: infectar el ordenador, robar datos privados, bancarios y estafar económicamente al usuario.

Ejemplos reales: phishing a la Agencia Tributaria, phishing a la Policía Nacional, phishing a Correos y Telégrafos.

Ejemplo phishing

9. Phishing a servicios de mensajería

Excusas utilizadas para engañar al usuario: el paquete enviado no ha podido ser entregado, tienes un paquete esperando, información sobre el seguimiento de un pedido, etc.

Objetivo: infectar ordenadores, robar datos privados y bancarios de los usuarios.

Ejemplos reales: phishing a DHL

Ejemplo phishing

10. Falsas ofertas de empleo

Excusas utilizadas para engañar al usuario: puestos de trabajo.

Objetivo: robar datos privados que pueden ser utilizados posteriormente con distintos fines fraudulentos.

Ejemplos reales: Las 8 falsas ofertas de empleo más utilizadas por ciberdelincuentes en Internet

NOTA: las empresas y servicios están invirtiendo muchos esfuerzos en mejorar sus sistemas de seguridad. La práctica del phishing no se debe asociar a problemas de seguridad por su parte, se trata de una técnica que utilizan los ciberdelincuentes, empleando la imagen de empresas y servicios conocidos como gancho para propagarse. Debido a la cantidad de problemas que genera este fraude entre los usuarios, la mayoría de empresas y servicios luchan contra el phishing y alertan sobre él en su página web.

¿Cómo puedes protegerte del phishing?

Has detectado un caso de phishing. ¿Qué debes hacer?

  • No accedas a las peticiones de solicitud de información. En caso de duda, consulta directamente a la empresa o servicio a través de los mecanismos oficiales que facilitan en su página web oficial.
  • No contestes en ningún caso a estos correos.
  • Bajo ningún concepto sigas posibles enlaces que se puedan facilitar en el correo fraudulento ni descargues ficheros que traiga adjuntos.
  • Elimínalo y, si lo deseas, alerta a tus contactos sobre este fraude.
  • Haznos llegar los correos sospechosos a http://www.osi.es/es/te-ayudamos/actua-ante-el-fraude

En ocasiones, una imagen vale más que mil palabras. Rescatamos una infografía que publicamos en nuestro blog la cual explicaba de forma gráfica y sencilla este fraude.

Infografía phishing

Comentarios

La posibilidad de crear nuevos comentarios ha sido temporalmente deshabilitada. Disculpe las molestias.

Hola, hace tiempo que me lleva saliendo cada vez que inicio google una pagina que no recuerdo su link y era algo como aler.notificationoficial y se abría de repente y decía algo como que mi teléfono (con el modelo y todo) estaba infectado de virus y quiero saber si he sido hackeada o si mi teléfono esta realmente infectado de virus. Paso antivirus cada día y me dice que ando protegido pero no se si detecta algún caso de Phishing..por favor, agradaría una respuesta lo antes posible..
Ayer por la tarde quise abrir mi fb en distintos navegadores y me aparecía que tenia que cambiar datos de mi cuenta y contraseña y después me decía que cambiara la contraseña después puse continuar y decía que mi Fb había sido bloqueado temporalmente por que había entrado a una pagina "phishing" y que esa pagina solo era pirata y que ya no podría entrar. Hoy ya seguí intentando entrar... Ya pude entrar mi Fb, lo revise y esta bien pero temo que vuelva a suceder y no se pero aún no estoy tranquila porfavor ayudenme no se si mi cuenta esta segura.
Hola!, Yo no recibí ningún correo ni nada por el estilo, simplemente estaba haciendo transacciones en mi banca movil (en el celular) y de pronto me apareció un mensaje de error, para continuar trate de entrar al portal desde mi laptop en la banca en linea y entonces desde el supuesto sitio de bancomer: http://www.bancomer.com/# me pidieron que ingresará los datos de mi token y tontamente lo hice pensando que solo era cuestión de seguridad, .. ahora, aunque reporté el fraude temo que no me hagan ninguna devolución, pues ya conozco casos donde el banco se lava las manos.. ¿como puedo protegerme contra esta situación? ¿existe alguna manera de asegurar que el banco me devuelva el dinero robado? .. y si ellos no me hacen la devolución ¿a donde puedo dirigirme para denunciar al banco?.. Saludos..
en ningun caso un banco tiene una direccion que no sea https, debido a los protocolos de seguridad web y restricciones de acceso con claves asincronas
hola un favor en mi teléfono celular cuando estoy hablando por whatssap se interrumpe saliendo una advertencia, la que dice: este medio puede ser un pishing (algo similar), desea cerrarlo. pongo aceptar, pero obviamente vuelvo a entrar al whatssap; que significa eso, que están queriendo entrar a robar mi información?? como puedo saber y que debo hacer para evitarlo, por favor ayúdenme!
Revisa todas las aplicaciones que tienes instaladas en tu Smartphone y desinstala todas aquellas que no utilices o cuyo origen no sea de confianza. Por otro lado, ¿descargaste Whatsapp del market oficial? Prueba a reinstalar la app. Si el problema continúa, escríbenos: https://www.osi.es/es/contacto
Que debo hacer si di click al enlace de un correo, me pidió que aceptara las cookies y las acepte, empece a sospechar y borre todo el historial con cookies, también puse en no permitir cookies. Mi pregunta es me pudieron robar información en un lapso de 10 minutos?
Quiero denunciar a un chico q utiliza varias contrasenas para hackear cuentas redes y calibrar sas asi desde mi ordenador es jairoalberto1407@gmail.com
Armas, sin saber cual es el link al que accediste, no podemos darte una respuesta de si o no. Si aceptaste las cookies de una página "normal", con las medidas que has tomado sería suficiente. En cambio, desconocemos si cuando aceptaste las cookies, en realidad estabas aceptando otra cosa... Por si se trata de esto último, analiza tu equipo para descartar una posible infección (http://www.osi.es/es/desinfecta-tu-ordenador). También es recomendable que actualices tus contraseñas de acceso a servicios de Internet.
QUE HACER CUANDO UNO CAYO ENVIANDO LA INFORMACION DEL MAIL POR EJEMPLO
Dependiendo del tipo de phishing en el que hayas picado, deberás realizar unas acciones u otras. En cualquier caso, si has hecho clic en el enlace y has facilitado tus credenciales de acceso, modifica lo antes posible tus contraseñas de acceso a servicios online. Además, si se trata de un phishing bancario, contacta lo antes posible con tu banco para notificar la situación. Finalmente, si has facilitado otros datos personales, revisa periódicamente la información que está publicada sobre ti en Internet, en caso de que veas que se está utilizando sin tu consentimiento, notifícalo al servicio donde esté publicado. Un saludo
Recibo correos con mi nombre pero no se envian desde mi ordenador.¿que puedo hacer? Gracias
En el siguiente artículo podrás encontrar la solución ;) https://www.osi.es/es/actualidad/historias-reales/2014/12/12/mis-contactos-estan-recibiendo-spam-y-el-remitente-soy-yo-por-que Un saludo
No entiendo porque si esta es una pagina de la que se debe confiar un usuario, el link es http://www.osi.es/es/te-ayudamos/actua-ante-el-fraude y no https://www.osi.es/es/te-ayudamos/actua-ante-el-fraude como dicen ustedes que deberia ser una pagina confiable.
Hola me mandaron este mensaje por internet de la pagina cgbrd.investresponsibly.info: ¡ATENCIÓN!Su dispositivo móvil ha sido bloqueado por razones de seguridad vistos los motivos abajo detallados. VIDEO Y SONIDO GRABADO IN PROCESO. El monto de la multa es de 100€. La multa puede ser pagada con Ukash o PaySafeCard vouchers. ESCRIBA EL CÓDIGO (€100 Ukash o PaySafeCard). Y CLIC´OK´ No me deja salir del mensaje y tengo que apagar el teléfono para poder trabajar normal menos en internet donde vuelve a aparecer el mensaje. ¿Como puedo solucionar este problema? Gracias de antemano.
Hola me mandaron este mensaje por internet de la pagina cgbrd.investresponsibly.info: ¡ATENCIÓN!Su dispositivo móvil ha sido bloqueado por razones de seguridad vistos los motivos abajo detallados. VIDEO Y SONIDO GRABADO IN PROCESO. El monto de la multa es de 100€. La multa puede ser pagada con Ukash o PaySafeCard vouchers. ESCRIBA EL CÓDIGO (€100 Ukash o PaySafeCard). Y CLIC´OK´ No me deja salir del mensaje y tengo que apagar el teléfono para poder trabajar normal menos en internet donde vuelve a aparecer el mensaje. ¿Como puedo solucionar este problema? Gracias de antemano.
Quería daros las gracias tambien por aqui, pues ya os las he dado por correo pero de verdad que me habeis servido de ayuda, asi da gusto, un saludo.
MUCHISIMAS GRACIAS POR VUESTRO SERVICIO DE SEGURIDAD Y ADEMÁS ES GRATIS, OS ESTOY MUY AGRADECIDO, SINCERAMENTE.

Deberían decir que hacer despues de caer en un plagio de Phishing, a mi me acaba de pasar con mi cuenta de correo y temo por perder mis datos o perjudicar a otros, aunque ya estoy informada al 100% para no volver a equivocarme

Me gustaría que me dieran permiso a usar este link como referencia en mi blog de seguridad informática para personas de la tercera edad. Suelo tenerles como fuente de información.

Hola, puedes utilizar el contenido de OSI siempre que quieras, mencionando su origen. Mira: http://www.osi.es/es/aviso-legal

Me gustaría que me dieran permiso a usar este link como referencia en mi blog de seguridad informática para personas de la tercera edad.

Es una excelente referencia para utilizarla en el Taller de Seguridad Internet que estoy preparndo. Mil gracias @ morreducation