Recibes un correo electrónico de banc0popular@cu€nta.com que te informa de que han detectado alguna actividad sospechosa en el extracto de tu tarjeta de crédito y te piden que verifiques tu información financiera.

¿Qué haces? Tendrás la tentación de hacer clic en un enlace para resolver inmediatamente el problema, pero piensa que es probable que sea obra de un ciberdelincuente.

El phishing es una estafa que te engaña para que proporciones voluntariamente información personal importante. Protégete del phishing revisando algunos ejemplos de este tipo de correos electrónicos y aprendiendo más sobre esta estafa habitual en Internet.

¿Qué es el phishing?

El phishing es un ciberdelito cuyo objetivo es robar tu información confidencial. Los estafadores se hacen pasar por grandes empresas u otras entidades prestigiosas para engañarte y conseguir que facilites voluntariamente determinada información, como tus credenciales de inicio de sesión o, peor aún, el número de tu tarjeta de crédito.

¿Qué es un correo electrónico/SMS de phishing?

Un correo electrónico o mensaje de texto (SMS) de phishing (también conocido como SMiShing) es un mensaje fraudulento que aparenta ser legítimo, y normalmente te pide que proporciones información personal confidencial de diversas formas. Si no te fijas bien, puede que no seas capaz de distinguir entre un mensaje normal y un mensaje de phishing. Los estafadores ponen todo su empeño en conseguir que los mensajes de phishing se parezcan mucho a los de correo electrónico y SMS enviados por empresas de confianza. Así que, sé cauto cuando abras estos mensajes y hagas clic en los enlaces que contienen.

¿Cómo detectar un mensaje de phishing?

Los estafadores de phishing a menudo deshacen sus propios planes cometiendo errores sencillos que son fáciles de detectar una vez que sabes cómo reconocerlos. Estos son indicios de phishing que puedes verificar cada vez que abras un correo electrónico o un SMS:

Está mal escrito

Incluso las empresas más grandes cometen a veces pequeños errores en sus comunicaciones. Los mensajes de phishing suelen contener errores gramaticales, faltas de ortografía y otros fallos evidentes, que las grandes empresas no cometerían. Si observas varios errores gramaticales flagrantes en un mensaje de correo electrónico o de texto en el que te piden información personal, puede que seas objeto de una estafa de phishing.

Algo le pasa al logotipo

Para ser más creíbles, los estafadores de phishing suelen robar los logotipos de las empresas a las que suplantan. En muchos casos, sin embargo, no consiguen los logotipos corporativos correctos. Es posible que en el mensaje de correo electrónico o SMS de phishing el logotipo presente una relación de aspecto incorrecta o una resolución baja. Si tienes que hacer un esfuerzo para ver bien el logotipo de un mensaje, lo más probable es que se trate de phishing.

La URL no coincide

El phishing siempre se gira en torno a enlaces en los que debes hacer clic. Estas son algunas formas de comprobar si un enlace que te han enviado es legítimo:

  • Pasa el puntero por encima del enlace en el mensaje de correo electrónico, para mostrar la URL. Las URL de phishing suelen contener faltas de ortografía y esto es un indicio habitual de que se trata de phishing. Al pasar el puntero sobre el enlace, verás la URL, si te parece sospechosa, no interactúes con ella y borra inmediatamente el mensaje.
  • Haz clic con el botón derecho en el enlace, cópialo y pega la URL en un procesador de textos. Así podrás examinar a fondo el enlace para detectar errores gramaticales u ortográficos sin ser dirigido a la página web potencialmente maliciosa.
  • Para comprobar la URL de un enlace en un dispositivo móviles, hay que mantenerlo pulsado con el dedo.

Si la URL que descubres no coincide con la entidad que supuestamente te envió el mensaje, es probable que hayas recibido un correo electrónico de phishing.

Tipos de mensajes de correo electrónico y SMS de phishing

Hay mensajes de phishing de multitud de clases y tamaños, pero algunos son más habituales que otros. Repasemos algunos ejemplos de las estafas de phishing más frecuentes:

Estafa de suspensión de cuenta

Algunos mensajes de correo electrónico de phishing supuestamente te notifican que tu banco ha suspendido temporalmente tu cuenta debido a una actividad inusual. Si recibes un mensaje de este tipo de un banco en el que no tienes cuenta, no lo pienses dos veces y elimínalo inmediatamente. Sin embargo, los mensajes de phishing sobre suspensión de cuentas de bancos con los que sí trabajas son más difíciles de detectar. Utiliza los métodos que hemos indicado para comprobar la integridad del correo electrónico y, si todo lo demás falla, ponte en contacto directamente con tu banco y no abras ningún enlace del mensaje recibido.

Estafa de autenticación de doble factor

La autenticación de doble factor (2FA) ya es habitual, por lo que probablemente estés acostumbrado a recibir correos electrónicos que te piden que confirmes tus datos de inicio de sesión con códigos numéricos de seis dígitos. Los estafadores de phishing también lo saben, así que no dudarán en aprovecharse de este servicio que en principio pretende proteger tu identidad. Si recibes un correo electrónico pidiéndote que accedas a una cuenta para confirmar tu identidad, aplica los criterios que hemos descrito para verificar la autenticidad del mensaje. Desconfía especialmente si alguien te pide que proporciones un segundo método de autenticación (2FA) para una cuenta a la que hace tiempo que no accedes.

Estafa de confirmación de pedidos

A veces, los ciberdelincuentes intentarán picar tu curiosidad enviándote correos electrónicos con confirmaciones de pedidos falsas. Estos mensajes normalmente contienen “recibos” adjuntos o enlaces que afirman incluir más información sobre tu pedido. Sin embargo, en realidad son métodos para propagar el malware en el dispositivo de la víctima.

Phishing en el trabajo

También debes tener cuidado con el phishing cuando utilices la dirección de correo electrónico del trabajo. Una de las estafas de phishing más frecuentes consiste en enviar mensajes diseñados para que parezca que el remitente es algún directivo de tu empresa. En ellos se solicita a al empleado que transfiera fondos a supuestos clientes, pero en realidad, el dinero va a parar a los bolsillos de los estafadores. Utiliza estos consejos para detectar estos correos falsos.

Cuando el phishing pasa desapercibido

Los hackers buscan continuamente formas de actualizar tácticas antiguas para que pasen desapercibidas a los usuarios que ya son conscientes de ciertas ciberamenazas. Tal es el caso de la última técnica de evasión de phishing, que detecta las máquinas virtuales para sortear la detección. Las empresas de ciberseguridad suelen utilizar dispositivos sin periféricos (headless) o máquinas virtuales (un archivo informático que se comporta como un ordenador real) para determinar si un sitio web es realmente una página de phishing. Sin embargo, ahora algunos kits de phishing contienen código JavaScript (un lenguaje de programación que permite implementar funciones complejas en las páginas web), que comprueba si una máquina virtual está analizando la página. Si detecta algún intento de análisis, este kit mostrará una página en blanco, en lugar de la página de phishing, para así evitar la detección. Para estar seguro de que no vas a morder el anzuelo, mantente al corriente de las últimas técnicas de phishing y así podrás ir un paso por delante de los ciberdelincuentes.

¿Qué ocurre si haces clic en un enlace de un correo electrónico de phishing?

Nunca hagas clic en enlaces de mensajes sospechosos. Si haces clic en un enlace que sospechas que te ha enviado un estafador de phishing, te llevará a una página web con un formulario en el que puedes introducir datos confidenciales, como tu número de documento de identidad, tu tarjeta de crédito o tus credenciales de inicio de sesión. No introduzcas ningún dato en esta página.

¿Qué hacer si sospechas que has caído en la trampa?

Si accidentalmente introduces datos en una página web vinculada a un mensaje sospechoso, realiza un análisis completo de malware en tu dispositivo. Una vez finalizado el análisis, haz una copia de seguridad de todos tus archivos y cambia tus contraseñas. Aunque solo hayas proporcionado los datos de una cuenta, es posible que hayas abierto al ciberdelincuente la puerta a otros datos personales, por lo que, tras un presunto ataque de phishing, es importante que cambies todas las contraseñas que utilizas en Internet.

Cómo reconocer un mensaje de phishing: consejos sencillos

Para finalizar, estos son algunos consejos resumidos para evitar los correos electrónicos de phishing:

  • En caso de duda, no abras los enlaces que incluye el mensaje y ponte en contacto directamente con la organización que supuestamente los ha enviado.
  • Examina detenidamente los mensajes sospechosos para detectar indicios reveladores de phishing, como fallos gramaticales, logotipos granulados o enlaces falsos.
  • Si haces clic en un enlace de phishing sin querer, no introduzcas ningún dato y cierra la página.
  • Si crees que eres víctima de phishing, realiza un análisis antivirus, haz una copia de seguridad de tus archivos y cambia todas tus contraseñas.

Ponte a salvo

Los mensajes de phishing aprovechan el desconocimiento de los usuarios. Ahora que sabes cómo detectarlos y qué hacer si sospechas que estás en el punto de mira, es mucho menos probable que caigas en la trampa de estas estafas. Recuerda tener cuidado con tu información personal cuando utilices Internet y peca de precavido si alguien te pide que divulgues detalles sensibles sobre tu identidad, finanzas o datos de acceso.