Del phising al fishing: los métodos de los ciberestafadores para vaciar nuestras cuentas bancarias

Probablemente sea el método más utilizado por los ciberdelincuentes. Es un tipo de ciberataque que utiliza correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web fraudulentos para engañar a las personas y hacer que compartan datos confidenciales, descarguen malware o se expongan de otro modo a la ciberdelincuencia .En las webs'fraudulentas se solicitan datos como los números de la tarjeta de crédito, DNI, contraseña de banca por internet e incluso el código CVV, con el cual los delincuentes ya podrían realizar compras online a espaldas del cliente.

Es una amenaza que combina una llamada telefónica fraudulenta con información previamente obtenida desde internet. Cuando sufres un ataque phishing el ciberdelincuente roba información confidencial a través de un correo electrónico o web fraudulenta pero necesita la clave SMS o token digital para realizar y validar una operación. Por eso llama a la víctima haciéndose pasar por personal del banco y, con mensajes alarmistas, intenta conseguir información para autorizar transacciones.

Es la variante del vishing pero con mensajes de texto SMS o por WhatsApp. Los estafadores se hacen pasar por el banco y alertan al cliente de que se ha realizado una compra sospechosa con su tarjeta de crédito. Por eso ofrecen un número falso para contactar y ahí el delincuente, haciéndose pasar por el banco, solicita información confidencial para supuestamente cancelar la compra. 

Es el término más preciso para referirse a los ataques por suplantación de identidad. El criminal se hace pasar, por llamada o mensaje, por un miembro de tu banco o de otra organización que reviste fiabilidad y tiene información detallada tuya, con tus datos. Es un tipo de estafa que requiere una investigación previa o el robo de tus datos. También pueden hacerse pasar por celebridades o personas reconocibles. El engaño se produce cuando te instan a dar información sensible, como las claves bancarias.

Las amenazas no suelen llegar de delincuentes haciéndose pasar por bancos. Hay otras variantes para morder el anzuelo que parten del llamado 'fishing' (pescar en inglés) en referencia a la técnica de enviar correos electrónicos, mensajes o llamadas y esperar a que alguien muerda el cebo. De esta modalidad hay variantes: 

El fishing masivo es la forma más sencilla del ciberataque y la más efectiva. Lo más simple es enviar el mismo mensaje a un gran número de destinatarios, sin personalizarlo ni dirigirlo a un perfil concreto. Se basa en la probabilidad de que alguno de ellos caiga en la trampa. 

Spear fishing es más sofisticado y dirigido. Consiste en enviar mensajes personalizados a un grupo reducido de destinatarios, que suelen tener algún rasgo en común, como pertenecer a la misma empresa. Se basa en la investigación previa de las víctimas potenciales, para adaptar el contenido del mensaje a sus intereses, necesidades o hábitos. 

Whaling. Es un fishing muy específico y selectivo. Consiste en enviar mensajes dirigidos a personas con un alto nivel de responsabilidad o influencia dentro de una organización. Se suplanta la identidad de una persona de confianza o autoridad con el objetivo de obtener información estratégica, financiera o corporativa, o inducir a la víctima a realizar una transferencia de dinero o una autorización de acceso. 

Pharming. Es un fishing más complejo a través de la manipulación del sistema de nombres de dominio (DNS). Consiste en redirigir el tráfico de una página web legítima a una página web falsa, que imita el diseño y el contenido de la original. El objetivo es engañar a los usuarios que acceden a la página web legítima y obtener sus datos personales o financieros, o infectar sus dispositivos con software malicioso.