El phishing inteligente: la pesca de datos

por Goizane Uriondo

publicado el 14 diciembre 2021

Categorías: General

A pesar de ser una técnica de ingeniería social que lleva años existiendo, el phishing es una amenaza cada vez más frecuente y sofisticada. Los ciberdelincuentes han perfeccionado sus técnicas para engañar a sus potenciales víctimas, ya que actualmente las autoridades han alertado a la ciudadanía de la presencia de estos piratas informáticos, de su peligrosidad y de cómo no caer en sus triquimañas.

Para aquellos que desconocen lo que es el phishing, trata de la recepción de mensajes a través del correo electrónico u otros servicios de mensajería instantánea absolutamente falsos que aparentan ser emitidos por entidades bancarias u otras instituciones, donde se solicitan por distintos motivos tus datos personales, así como la introducción de tus contraseñas de acceso a cuentas bancarias electrónicas. Son dos los principales métodos que se utilizan para estafar a los ciudadanos: la suplantación de identidad (spoofing) y el uso de nombres de dominio supuestamente legítimos. No obstante, cada día aparecen nuevas formas más creativas y avanzadas para engañar, como la estafa mediante la red social Facebook haciéndose pasar por un amigo o las llamadas de delincuentes simulando ser agentes de Microsoft para pedirte realizar determinadas acciones en tu ordenador para después tomar el control del mismo.

Por lo tanto, el fin no es otro que lograr la mayor cantidad de datos confidenciales para que posteriormente sean utilizados de forma fraudulenta y maliciosa. De hecho, esta práctica ilegal puede tener distintos objetivos específicos, por ejemplo, hacer que las redes corporativas de una entidad se vean comprometidas, robar dinero de las cuentas personales, la venta masiva de datos personales, infectar dispositivos con algún tipo de malware, etc.

En cuanto a sus consecuencias legales, el Código Penal no se ha olvidado de contemplar la penalidad de los ciberfraudes y regula las distintas modalidades de estafas informáticas existentes en la actualidad. La pesca de datos es un delito que cabe en el tipo penal de la estafa informática del art. 248.2 a) CP: “También se consideran reos de estafa, los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro”. No obstante, al margen del supuesto concreto que se trate, para poder hablar de estafa se debe atender a los elementos que estructuran el delito de estafa desde el punto de vista general y confirmar su concurrencia en el caso.

En caso de que caigas en cualquiera de estos engaños que circulan a través de los correos electrónicos, debes denunciarlo inmediatamente ante la Policía o Guardia Civil. De igual manera, es recomendable acudir a la entidad bancaria que se trate para poner en su conocimiento lo ocurrido. Además, como víctima puedes comunicar la situación a la Oficina de Seguridad del Internauta (OSI). Y, por supuesto, no dudes en cambiar las claves de todas tus cuentas lo antes posible (no utilizar siempre la misma clave, utilizar números, mayúsculas y minúsculas).

Por último, para evitar ser estafado es muy importante utilizar el sentido común; verificar la fuente de información de los correos entrantes, no abrir links que lleguen por medio de terceros que no conozcamos o desconfiemos, no descargar cualquier tipo de archivo sospechoso o iniciar sesión a través de enlaces, no caer en promociones o sorteos con gancho, etc. Igualmente, es muy importante contar con herramientas de seguridad adecuadas, dado que un buen antivirus va a ayudarnos a evitar la entrada de un software malicioso que pueda ser utilizado por el atacante. Ante la mínima duda, más vale prevenir que curar.