Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

El medio más utilizado actualmente por los atacantes para realizar una acometida de Phishing es por correo electrónico. Sus mensajes suelen ser convincentes, y simulan haber sido enviados por una entidad conocida con la cual trabaja ocacionalmente.

La mayoría de los métodos de phishing utilizan la manipulación en el diseño de el correo electrónico para lograr que un enlace parezca una ruta legítima de la organización por la cual se hace pasar el impostor. En los mensajes se alegan motivos variados, como problemas técnicos, actualización o revisión de los datos.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.

El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "muerdan el anzuelo".

A continuación podrá ver la anatomía común del phishing más frecuentemente utilizado, solicitudes por correos electrónicos de información sensible.