¿Qué es?
El Phishing es una técnica de ciberataque que utiliza el engaño y la suplantación de identidad para manipular a las personas y lograr que revelen información confidencial.
A diferencia de otros ataques que buscan fallos en el código, el Phishing explota la "vulnerabilidad humana", haciéndose pasar por una entidad de confianza (como un banco, una red social o una plataforma de trabajo) para robar contraseñas o datos bancarios.
El Funcionamiento:
Desde la vista del Atacante:
Para el atacante, el éxito depende de crear un anzuelo creíble. Su proceso suele ser:
Preparación: Crea una copia casi idéntica de una página web real (como el inicio de sesión de Instagram o PayPal).
Distribución: Envía correos electrónicos o mensajes de texto masivos con un tono de urgencia, como: "Tu cuenta ha sido bloqueada, haz clic aquí para verificar tu identidad".
Captura: Cuando la víctima introduce sus datos en la web falsa, el atacante recibe la información en tiempo real y toma el control de la cuenta verdadera.
Desde la vista de la Víctima (El Usuario):
Para la víctima, todo parece una notificación legítima y rutinaria:
El disparador: Recibe un aviso que le genera miedo o curiosidad (un premio ganado o una compra no autorizada).
La acción: Al estar bajo presión, no revisa la dirección de correo del remitente ni el enlace sospechoso y procede a iniciar sesión.
La consecuencia: Tras "iniciar sesión", la página suele dar un error o redirigir a la web real, pero para entonces el atacante ya tiene sus credenciales.
Un Caso Real: El hackeo a FACC (2016)
Un ejemplo masivo de phishing enfocado (conocido como "Whaling") ocurrió en la empresa aeroespacial austriaca FACC.
Impacto: Los atacantes enviaron un correo suplantando al CEO de la empresa, pidiendo a un empleado del departamento financiero una transferencia urgente para un "proyecto de adquisición secreto".
Consecuencia: El empleado, creyendo que seguía órdenes directas del jefe, transfirió aproximadamente 42 millones de euros a cuentas controladas por los hackers. La empresa tuvo que despedir a varios directivos debido a este error de seguridad.
Curiosidades del Phishing
El origen del nombre: Se llama "Phishing" por la analogía de "pescar" (fishing) usuarios. Se cambió la "F" por "Ph" como un guiño a la cultura de los primeros hackers, conocidos como "Phreaks".
No solo es por Email: Existen variantes como el Vishing (por llamadas de voz) y el Smishing (por mensajes de texto o SMS).
El candado no lo es todo: Muchos usuarios creen que si una web tiene el candado verde (HTTPS), es segura. Sin embargo, los atacantes hoy en día también usan certificados de seguridad para que sus webs falsas parezcan más profesionales.
A continuacion adjunto un video de un caso real que le ocurrio a un "Youtuber" de ciber seguridad sumamente interesante