Delito Informático Phishing

Título
Nombres y Apellidos Código de estudiantes

Autor/es

Fecha 01/06/2022

Carrera Ing. Sistemas

Asignatura Legislación
Grupo A
Docente
Periodo I/2022
Académico
Subsede
 Título: Delito Informático “Phishing”

RESUMEN:

Phishing es una técnica, la cual consiste en el envio de un correo electrónico de un

ciberdelincuente, a un usuario simulando ser una entidad legitima, con el objetivo de robar
información privada.

Palabras clave: técnica, información, objetivo.

ABSTRACT:

Phishing is a technique, which consists of sending an email from a cybercriminal, to a user pretending to
be a legitimate entity, with the aim of stealing private information.

Key words: technique, information, objective.

Asignatura: Legislación
Página 2 de 21
Carrera: Ing. Sistemas
 Título: Delito Informático “Phishing”

Problemática

Actualmente muchos usuarios caen dentro del phishing, al no saber cómo identificar cuando una
página no es real y esto tiende a representar a que los usuarios coloquen sus datos confidenciales
dentro de dicha página y esto genera a que se les robe información bancaria.

Asignatura: Legislación
Página 3 de 21
Carrera: Ing. Sistemas
 Título: Delito Informático “Phishing”

Introducción

Phishing es la capacidad de duplicar una página web para hacer creer al visitante que se
encuentra en la página original en lugar de la copiada. Normalmente se utiliza con fines
delictivos duplicando páginas de bancos conocidos y enviando indiscriminadamente correos para
que se acceda a esta página a actualizar datos de acceso al banco.
En ocasiones el termino phishing, se dice que es la contracción de “Password harvesting fishing”
(Cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo.
Phishing es el acto de adquirir, de forma fraudulenta y a través de engaño, información personal
como contraseñas o detalles de una tarjeta de crédito, haciéndose pasar por alguien digno de
confianza con una necesidad verdadera de tal información en un e-mail, un mensaje instantáneo
o cualquier forma de comunicación. Es una forma de ataque de la ingeniería social.

Asignatura: Legislación
Página 4 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Capítulo 2. Marco Teórico

Phishing
Cientos de correos llegan cada día a nuestras bandejas de entrada del correo electrónico. Una
parte de ellos son publicidad no deseada y correos fraudulentos que nuestros gestores de
correo filtran; sin embargo, algunos sí llegan a nuestra bandeja. En este artículo repasaremos
cómo funciona el fraude conocido como phishing y cómo debemos actuar para prevenirlo.
Cuando se trata de ganarse la confianza de los usuarios para engañarlos, los ciberdelincuentes
se sirven de todo un abanico de técnicas y artimañas con las que conseguirlo. Esto es
conocido como la ingeniería social. Una de estas técnicas, y quizás la más popular de todas, es
el phishing.
El phishing es una técnica que consiste en el envío de un correo electrónico en el que los
ciberdelincuentes suplantan la identidad de entidades, como nuestro banco, una red social, una
entidad pública, una empresa reconocida o un servicio que utilicemos, y su objetivo es
obtener toda la información personal y bancaria que puedan conseguir de nosotros, como
usuarios y contraseñas, direcciones, datos de tarjetas de crédito, etc., realizar un cargo
económico o infectar el dispositivo. Para ello, adjuntan archivos infectados o enlaces a
páginas fraudulentas.

Asignatura: Legislación
Página 5 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Funcionamiento del Phishing

Para comprender cómo funciona este tipo de ataque y que seamos capaces de identificarlo en
nuestro día a día, vamos a verlo a través de un ejemplo:
La madre de la familia Cibernauta, nuestra protagonista, suele utilizar su teléfono móvil
inteligente para llamar y recibir llamadas, escribirse con su familia y amigos, utilizar algunas
apps para ver vídeos y escuchar música y, desde hace poco, revisar también su correo
electrónico.
Generalmente, su bandeja de entrada solo contiene algunos correos con ofertas de las
aplicaciones que utiliza, algunas facturas y mensajes de su banco y correos personales que
intercambia con su círculo de amistades.
Sin embargo, esta mañana recibió un correo que ha llamado su atención. El correo pertenecía
a una tienda online muy conocida donde nuestra protagonista tenía una cuenta creada y había
realizado compras en varias ocasiones.

Asignatura: Legislación
Página 6 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Bajo el titular “Cuidado, actividad sospechosa en su cuenta”, podía leer en el cuerpo del
mensaje cómo la empresa propietaria de la web le advertía sobre algunos inicios de sesión
localizados en otro país y que, por seguridad, lo más recomendable era que actualizase su
contraseña lo antes posible y revisase las últimas transacciones en busca de alguna
irregularidad.

Para ello, el mensaje incluía un enlace que la redirigiría supuestamente a la web en cuestión.
Nuestra protagonista, preocupada por el estado de su cuenta, pulso sobre el link, que la llevó a
una ventana de inicio de sesión con los logos y textos habituales de la web. Introdujo su
usuario y contraseña, pero tras un breve instante, volvió a una ventana muy similar a la
anterior, aunque con algunas diferencias.

Asignatura: Legislación
Página 7 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Volvió a introducir sus datos de acceso y entonces sí logró entrar a su cuenta, donde pudo
comprobar que no había ninguna compra previa.
Las semanas pasaron, cuando otro mensaje llegó a su bandeja de entrada, que llamó su
atención. En este caso, era de su banco, informándola de una serie de cargos realizados desde
su cuenta bancaria. Sin embargo, ella no había realizado ninguno de ellos.

¿Qué había ocurrido?

Los ciberdelincuentes crearon un mensaje falso simulando ser la tienda online, desde el que se
redirigía a una web fraudulenta muy similar a la original. Cuando nuestra protagonista hizo
clic en el enlace e introdujo sus credenciales, realmente las estaba compartiendo con los
atacantes. Estos consiguieron entrar en su cuenta, en la que se encontraban sus datos
bancarios, y con los que realizaron varias compras sin el consentimiento de nuestra
protagonista.

Asignatura: Legislación
Página 8 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Los incidentes de phishing siguen todos un modus operandi muy similar, y podemos
encontrarnos cómo suplantan la identidad de todo tipo de entidades. La mayoría de ellos
incluyen enlaces que nos llevan a webs fraudulentas o archivos adjuntos maliciosos que, una
vez descargados y ejecutados, instalarán un malware, infectando así nuestro dispositivo.
Por suerte, también tienen características similares que nos ayudarán a identificarlos
fácilmente. En este enlace veremos una infografía que nos será realmente útil para nuestra
misión.

¿Qué hacer si somos víctimas de un phishing?

Asignatura: Legislación
Página 9 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Si creemos estar ante un correo fraudulento, lo primero que debemos hacer es ignorar el
mensaje y eliminarlo, y por supuesto, no hacer clic en ningún enlace ni descargar ningún
archivo adjunto del correo. Si tenemos la sospecha de haber sido víctima de uno de estos
correos, lo primero que debemos hacer es:
 Escanear nuestro dispositivo con un antivirus actualizado.
 Eliminar cualquier archivo que hayamos descargado del correo.
 Cambiar nuestras contraseñas de las cuentas implicadas.
 Activar la verificación en dos pasos en las cuentas que lo permitan para evitar la
suplantación de identidad.
 Contactar con el banco para cancelar cualquier pago no autorizado o nuestra tarjeta en
caso necesario.
 Y, finalmente, recopilar todas las pruebas posibles y denunciarlo ante las Fuerzas y
Cuerpos de Seguridad del Estado.

Trucos para evitar ser víctima de phishing:

 Sé precavido ante los correos que aparentan ser de entidades bancarias o servicios
conocidos (Dropbox, Facebook, Google Drive, Apple ID, Correos y Telégrafos, Agencia
Tributaria, etc.) con mensajes que no esperabas, que son alarmistas o extraños.
 Sospecha si hay errores gramaticales en el texto, pueden haber utilizado un traductor
automático para la redacción del mensaje trampa. Ningún servicio con cierta reputación
enviará mensajes mal redactados.
 Si recibes comunicaciones anónimas del tipo “Estimado cliente”, “Notificación a
usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
 Si el mensaje te obliga a tomar una decisión de manera inminente o en unas pocas horas,
es mala señal. Contrasta directamente si la urgencia es real o no directamente con el
servicio o consultando otras fuentes de información de confianza: la OSI, Policía,
Guardia Civil, etc.
 Revisa si el texto del enlace que facilitan en el mensaje coincide con la dirección a la que
apunta, y que ésta corresponda con la URL del servicio legítimo.

Asignatura: Legislación
Página 10 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

 Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de
email corporativas. Si recibes la comunicación desde un buzón de correo tipo
@[Link], @[Link] o cualquier otro similar, sospecha.
 Aplica la ecuación: solicitud de datos bancarios + datos personales = fraude.

Cómo reconocer un mensaje de tipo phishing

¿El contenido es sospechoso?
El primer paso para identificar un phishing es valorar el contenido del mensaje o correo
electrónico. Como hemos mencionado anteriormente, el intento de suplantación puede ser a
un banco, una plataforma de pago, una red social, un servicio público, etc.

Asignatura: Legislación
Página 11 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

El objetivo es intentar asustar al usuario e instarle a actuar según las indicaciones del mensaje.
Siempre añaden una excusa, ejemplo “problemas técnicos o de seguridad”, y proporcionan
una solución sencilla del tipo “acceda a su banco utilizando este enlace”. Además, es muy
habitual que soliciten nombre de usuario, claves y otros datos de acceso a las cuentas, práctica
que las entidades legítimas nunca llevarían a cabo.
¿La escritura es correcta?
Si nos fijamos en la imagen anterior, podemos ver que, por ejemplo, no se han utilizado tildes
y que hay errores gramaticales (enes en lugar de eñes), y de puntuación. Resulta extraño que
una entidad envíe una comunicación a todos sus clientes con una redacción y ortografía
descuidadas.
Los delincuentes que realizan las campañas de estafa, en ocasiones son extranjeros, y deben
por tanto traducir sus mensajes al español, en general con errores. Estos errores en la
traducción aparecen en forma de:
 Fallos semánticos: artículos “el” o “la” intercambiados.
 Palabras con símbolos extraños: donde deberían estar palabras acentuadas como por
ejemplo: “DescripciÃ?n”. Este caso aparece al intentar escribir vocales acentuadas en un
teclado no español.
 Frases mal construidas.
Si detectamos que el correo tiene una ortografía pobre y su escritura es informal, debemos
estar alerta.
¿A quién va dirigido el correo?
Si un delincuente quiere estafar a cientos de miles de personas, es muy complicado saber el
nombre de todas esas personas. Por ello, utilizan fórmulas genéricas como “Estimado cliente”,
“Hola”, “Hola amigo”, etc. para evitar decir un nombre:

Asignatura: Legislación
Página 12 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

>

Cuando una entidad tiene que dirigirse por correo a un usuario o cliente, siempre lo hará
enviando correos electrónicos personalizados, donde utilizará el nombre de la persona e
incluso en algunas ocasiones, parte de su C.I. Si recibimos un correo no personalizado,
estamos probablemente ante un caso de intento de estafa.

Asignatura: Legislación
Página 13 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

¿Pide hacer algo de manera urgente?

Otra técnica utilizada por los delincuentes es la de pedir la realización de una acción en un
período de tiempo muy corto: “Una vez emitido este correo electrónico, tendrá un plazo de 8
horas para llevar a cabo dicha acción, de lo contrario…”:

Con esta urgencia, los delincuentes intentan que su víctima tome una decisión precipitada y
caiga en la trampa, que incluye visitar un enlace e indicar datos personales y/o contraseñas.
Este es otro síntoma que nos hace sospechar que el mensaje recibido ha sido enviado por un
delincuente.

Asignatura: Legislación
Página 14 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

¿El enlace es fiable?

La intención de los delincuentes es que pinchemos en un enlace para llevarnos a un sitio web
fraudulento. En el texto del mensaje hay un enlace que, en lugar de llevarte a la web oficial,
página legítima, te lleva a otra fraudulenta que estéticamente es igual o muy parecida.
¿Cómo podemos saber la verdadera dirección a la que apunta un enlace? Muy fácil: situando
el puntero encima del enlace y observando la verdadera dirección que se muestra en la parte
inferior izquierda del navegador.

Una recomendación a seguir es la de no acceder a una web a través de un enlace en el correo

electrónico. Si deseamos acceder a la web legítima, la mejor práctica es escribir directamente
en la barra de direcciones del navegador la dirección deseada (si se conoce previamente).

Asignatura: Legislación
Página 15 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

¿Quién envía el correo?

Por último, sólo nos queda comprobar la identidad del remitente. Hemos dejado esta pregunta
para el final ya que no ofrece garantías para saber a ciencia cierta si un correo es fiable o no.
Debemos sospechar si el remitente es una dirección de correo que no pertenece a la entidad,
como sucede en el siguiente ejemplo, que el mensaje hace referencia a PayPal y el email del
remitente no hace ninguna alusión a dicho servicio.

Asignatura: Legislación
Página 16 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

El hecho de que el correo provenga de un correo aparentemente correcto no es indicio

concluyente de la legitimidad del mismo. El remitente de un correo electrónico puede ser
manipulado y los delincuentes son capaces de enviar correos con el remitente falsificado en
nombre de entidades.
Medios usados para propagar phishing
El principal medio de propagación del phishing es el correo electrónico, pero que sea el
método más utilizado no implica que sea el único. También pueden utilizarse otros medios
como redes sociales, sistemas de mensajería instantánea, etc. Por cualquiera de estas vías es
muy sencillo enviar un mensaje que contenga un enlace que nos redirija a un sitio fraudulento.

Asignatura: Legislación
Página 17 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Cómo actuar si detectas un phishing

 No facilites la información que te solicitan ni contestes en ningún caso a estos mensajes.
En caso de duda consulta directamente a la empresa o servicio que supuestamente
representan a través de sus canales oficiales. También puedes ponerte en contacto con
nosotros, la OSI, y hacernos llegar tu consulta.
 No accedas a los enlaces facilitados en el mensaje ni descargues ningún documento
adjunto que puede contener, podría tratarse de malware.

Asignatura: Legislación
Página 18 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

 Elimínalo y si puedes, alerta a tus contactos sobre este fraude para que ellos no caigan
tampoco en la trampa.
Qué hacer si has caído en la trampa
En caso de haber sido víctima de un fraude de tipo phishing, recopila toda la información que
te sea posible: correos, capturas de conversaciones mediante mensajería electrónica,
documentación enviada, etc. Puedes apoyarte en testigos online para la recopilación de
evidencias.
Para los casos de phishing bancario, contacta con tu oficina bancaria para informarles de lo
sucedido con tu cuenta online. Adicionalmente, modifica la contraseña de todos aquellos
servicios en los que utilizases la misma clave de acceso que para el servicio de banca online.
Recuerda: no uses la misma contraseña en varios servicios, es muy importante gestionar de
forma segura las contraseñas para evitar problemas.
A continuación, presenta una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado
(FCSE). Si quieres conocer más detalles, visita nuestra sección Reporte de Fraude o contacta
con nosotros para saber cómo actuar.

Asignatura: Legislación
Página 19 de 21
Carrera: Ing. Sistemas
 Título: Delito Informático “Phishing”

Capítulo 3. Conclusiones

3.1 Conclusiones y Recomendaciones

Una vez que ya se conoció lo que es el phishing, aparte de saber su existencia y significado,
también gracias a este trabajo se pudo ver y conocer formas de protegerse, para no caer en esta
trampa, que ya se sabe que puede traer consecuencias negativas, como la entrega de datos
personales, números de tarjetas de crédito y todo esto genera consecuencias negativas para el
propietario y además de la perdida de privacidad.

Recomendaciones

Para evitar ser atacado por phishing tenemos que usar un buen navegador, esto permitirá
protegerse de las páginas web maliciosas y bloquear amenazas dentro de esta, también tenemos
que disponer de un buen antivirus que en conjunto con el del navegador terminar haciendo un
buen efecto al protegerte y ante la menor sospecha de que el mensaje que te llego pueda ser
phishing no abrir el link que te mandaron y no poner datos confidenciales dentro de estas
páginas.

Asignatura: Legislación
Página 20 de 21
Carrera: Ing. Sistemas
Título: Delito Informático “Phishing”

Referencia

Asignatura: Legislación
Página 21 de 21
Carrera: Ing. Sistemas