Phishing es un engaño donde los criminales crean sitios de Internet y correos electrónicos que imitan a empresas legítimas o a instituciones financieras. Crees que estás respondiendo a solicitudes de información de tu banco o de una empresa conocida, pero en realidad estás enviando información personal valiosa -como números de tarjetas de crédito, contraseñas, información de cuentas, etc.- a criminales.

Las estafas son otra táctica en la que el criminal envía un mensaje diciendo que recibirás una buena suma de dinero si le envías una pequeña cantidad a cierta persona o empresa mencionada en el correo electrónico. En ocasiones, este engaño se esconde detrás de anuncios sobre supuestas herencias de parientes lejanos o triunfos en la lotería; al recibir estos mails eres instruido a enviar dinero para procesar la liberación de los fondos, lo que constituye una mentira.

Escenarios para el engaño

En la gran mayoría de los casos, se recibe un correo electrónico tratando de engañarte; hay dos formas muy conocidas:

Escenario 1, al archivo adjunto.
Recibes un correo en donde te “informan” que tu servicio de banca en línea ha sido suspendido por diversas causas, y que debes seguir las instrucciones contenidas en el archivo adjunto para restablecerlo.
En el momento que ejecutas el archivo adjunto (haciendo doble clic), un código troyano (keylogger) es instalado en tu propia computadora de manera imperceptible. A partir de ese momento, ese código malicioso se encargará de almacenar todo lo que hagas en el equipo, lo que escribas en el teclado, los programas que ejecutes, los movimientos del mouse, etc., para enviar esa información continuamente y en forma invisible vía Internet para ser revisada por los delincuentes, quienes pueden fácilmente distinguir cuáles son Nombres de Usuario, Contraseñas y otros datos necesarios para cometer sus fraudes.

Escenario 2, el sitio falso.
En este caso, un correo electrónico explica que, por diferentes causas (todas falsas), cierta institución financiera requiere que confirmes algunos datos. Para ello se solicita que ingreses a tu homebanking, que parece ser el habitual, e ingreses los datos (usuario y clave). A partir de ese momento quedará claro –por el mensaje recibido- que no era la página real (quizás diga, por ejemplo, que momentáneamente el servicio no está disponible y que es necesario volver más tarde), pero los delincuentes se habrán quedado con los datos de acceso para ir al sitio real y robar.
Generalmente incluyen un link para “facilitar” el acceso, y al hacer clic el usuario será llevado al sitio falso donde se pedirá toda la información. Algunos esquemas más avanzados logran llevar a la víctima a estos sitios con sólo hacer clic sobre cualquier parte del texto del correo, no necesariamente sobre el link en cuestión. (Esto sucede cuando el texto completo del mensaje es en realidad una imagen única). Una variante de este escenario es cuando al visitar el sitio fraudulento, un código troyano (keylogger) es automáticamente instalado en el equipo sin tu consentimiento, creando entonces el mismo riesgo a la privacidad presentado en el escenario 1.

Si tienes interés en conocer distintos modelos que han sido realmente utilizados por criminales para engañar a los usuarios, puede consultar aquí (en inglés) el archivo histórico que publica en su sitio la Anti-Phishing Working Group, organización no lucrativa que se dedica a combatir este cáncer informático.