“El phishing es la forma más sencilla de

ciberataque y, al mismo tiempo, la más

peligrosa y efectiva”.
Incluso antes de que arraigara el término “phishing”, se describió en detalle una
técnica de phishing en una presentación del Grupo Internacional de Usuarios HP,
Interex, en 1987.

La creación del término se atribuyó a un conocido spammer y hacker de mediados

de los años 90, Khan C Smith. Asimismo, según los registros de Internet, la
primera vez que se utilizó públicamente la palabra phishing y quedó registrado fue
el 2 de enero de 1996. La mención ocurrió en un grupo de noticias Usenet
denominado AOHell. En ese momento, America Online (AOL) era el proveedor
número uno de acceso a Internet, con millones de conexiones diarias.

Naturalmente, la popularidad de AOL la convirtió en blanco de los estafadores. Los

hackers y piratas informáticos la utilizaron para comunicarse entre sí, así como
para realizar ataques de phishing contra usuarios legítimos. Cuando AOL adoptó
medidas para cerrar AOHell, los atacantes recurrieron a otras técnicas. Enviaban
mensajes a los usuarios de AOL afirmando ser empleados de esta compañía y les
pedían que verificaran sus cuentas y facilitaran la información de facturación. Con
el tiempo, el problema creció tanto que AOL añadió advertencias en todos los
programas cliente de correo electrónico y mensajería instantánea indicando que
“nadie que trabaje en AOL le pedirá su contraseña o información de facturación”.

“Los sitios de redes sociales se convirtieron

en un objetivo principal de phishing”.
En la década de 2000, el phishing dirigió su atención a explotar los sistemas de
pago online. Se hizo común que los phishers dirigieran sus ataques a los clientes
de servicios de pago bancario y online, algunos de los cuales, según
investigaciones posteriores, fueron identificados correctamente y asociados al
banco que verdaderamente utilizaban. De igual forma, los sitios de redes sociales
se convirtieron en un objetivo principal del phishing, que era atractivo para los
defraudadores porque los detalles personales registrados en dichos sitios son de
utilidad para el robo de identidad.

Los delincuentes registraron docenas de dominios que se hacían pasar por eBay y
PayPal imitándolos tan bien que parecían reales si no se prestaba la suficiente
atención. Los clientes de PayPal recibieron entonces correos electrónicos de
phishing (con enlaces al sitio web falso), pidiéndoles que actualicen los números
de su tarjeta de crédito y otra información personal. The Banker (una publicación
propiedad de The Financial Times Ltd.) informó del primer ataque conocido de
phishing contra un banco en septiembre de 2003.

A mediados de la década de 2000, un software “llave en mano” de phishing estaba

disponible en el mercado negro. Al mismo tiempo, grupos de hackers empezaron a
organizarse para elaborar sofisticadas campañas de phishing. Las estimaciones
de pérdidas debido al éxito de los ataques de phishing durante este período
varían, con un informe de Gartner de 2007 que indica que 3,6 millones de adultos
perdieron 3.200 millones de dólares entre agosto de 2006 y agosto de 2007.