Con este tipo de robo los ciberdelincuentes pueden saber más de la víctima que la víctima misma: pueden robar sus credenciales para obtener información financiera, de salud, de RRSS, suscripciones, etc. Vamos, que de un plumazo pueden dejarnos completamente desnudos.
El phishing (suplantación de identidad de una organización legítima para solicitar datos comprometidos, como nuestras credenciales bancarias) es una de las técnicas más habituales empleadas para el robo de la identidad digital. De hecho, la ciberdelincuencia invierte cada vez más en mecanismos para embaucar a los usuarios (técnicas de ingeniería social) antes que en sofisticadas herramientas tecnológicas para burlar las barreras impuestas por el circuito financiero. Mensajes de urgencia en fechas clave, enviados desde un presunto buzón de una empresa reconocida, con un enlace a un dominio casi idéntico al de la organización legítima, y que nos hace aterrizar en una página clon de la corporativa, pueden confundirnos para que acabemos haciendo lo que no debemos, dar nuestras credenciales a un receptor fraudulento.
Incluso existe un tipo de troyano especializado en el robo de datos bancarios que utiliza el phishing para robarnos las credenciales, el denominado Trojan Banker, cuyo uso se ha extendido de forma muy significativa en los últimos años (más de 1.200.000 ataques en 2024). Incluso a menudo utilizan cuentas hackeadas para enviar los mensajes fraudulentos con objeto de aumentar su credibilidad.
Ahora bien, el phishing también puede producirse desde la acción proactiva del usuario, es decir, cuando navega por la web para acceder a diferentes tipos de servicios que él mismo solicita, como la reserva de una plaza hotelera o la participación en algún concurso o promoción. En estos casos, los atacantes nos engatusarán haciéndose pasar por quienes no son, y realizando ofertas muy atractivas pero apremiantes. Por lo demás, si la suplantación está bien hecha, no tendremos ninguna otra señal de que posiblemente estemos frente a una estafa.
Por ejemplo, en 2024 se extendió un tipo de phishing dirigido a viajeros, cuyo objetivo era confundirles a la hora de realizar la reserva de una plaza de hotel. En estos casos, el propósito era que el viajero proporcionara los datos bancarios para hacer la reserva desde un sitio web que reproducía a la perfección las rutinas propias de estos servicios de reserva. Lamentablemente, cuando llegaba al hotel, no sólo no tenía la reserva hecha sino que le habían vaciado la cuenta.
Entonces ¿cómo detectar un phishing cuándo está realmente bien hecho? Todo depende de nuestra atención y de nuestro olfato, pero, por regla general, cualquier mensaje que nos llegue, sea por mail, SMS, red social o voz, que nos apremie a actuar de urgencia y ofrezca un enlace para ingresar en algún sitio (aunque sea de confianza) o descargar algún archivo, es motivo suficiente para ponernos en alerta. Tanto es así, que desde Rikki creemos que lo mejor es no obedecer y, si dudamos, debemos ponernos en contacto con nuestro proveedor por nuestros propios medios, y eludir los recursos que nos ofrecen en bandeja.
Pero si la acción la iniciamos nosotros, como el ejemplo de la reserva de hotel, debemos vigilar muy bien los dominios en los que insertamos nuestras credenciales, y detenernos allí donde algo no nos cuadre.
