El phishing es cuando los cibercriminales utilizan correos electrónicos, publicaciones en redes sociales o mensajes directos para engañarte y hacer que hagas clic en enlaces dañinos o descargues archivos maliciosos. El phishing es un ataque común de "ingeniería social" en el que un hacker intenta engañarte en lugar de atacar directamente tu sistema. Caer en una estafa de phishing puede exponer tu información personal, como contraseñas o números de tarjetas de crédito, e incluso puede resultar en que los cibercriminales instalen malware en tu dispositivo. 

Pero con algo de conocimiento, puedes convertirte en un experto en detectar intentos de phishing y no caer en la trampa. Además, puedes bloquear y reportar correos electrónicos de phishing para quitar las redes de phishing.

¿Cómo es un correo electrónico de phishing? 

Los estafadores a menudo disfrazan los correos electrónicos de phishing como mensajes de organizaciones o personas de confianza, pero hay señales reveladoras que los delatan. Aquí está lo que debes buscar:  

• Ofertas que parecen demasiado buenas para ser verdad. ¿El mensaje promete dinero gratis, artículos de lujo o ofertas exclusivas demasiado buenas para ser verdad? ¡Alerta roja! ¡Lo mismo sucede si ganaste un concurso en el que no recuerdas haber participado!

• Lenguaje urgente o amenazante. Ten cuidado con frases como "¡Tu cuenta será eliminada!" o "¡Actúa ahora!" que están diseñadas para hacerte entrar en pánico. Incluso podrían decirte que tu computadora ha sido hackeada o que estás arrestado.

• Solicitudes de información personal. Las empresas legítimas nunca te pedirán detalles sensibles como contraseñas por correo electrónico.

• Solicitudes comerciales extrañas. ¿Una demanda repentina de pago o de datos privados? ¿Una factura que no reconoces? Pausa y cuestiona su legitimidad.

• Direcciones de remitente que no coinciden. Antes de abrir cualquier correo electrónico que contenga datos sensibles o dinero, siempre revisa la dirección de correo electrónico del remitente por dominios extraños o ligeros errores ortográficos.

• Hipervínculos o archivos adjuntos desconocidos. Pasa el cursor sobre los enlaces para verificar a dónde llevan. Si parecen sospechosos (por ejemplo, pavpal.com en lugar de paypal.com), no hagas clic. Nunca descargues un archivo adjunto de un remitente que no reconozcas, e incluso si reconoces al remitente, usa el antivirus de tu correo electrónico para escanearlo.

• Contenido mal redactado. Busca mala gramática, frases incómodas o palabras mal escritas; las empresas profesionales rara vez cometen estos errores. Sin embargo, la gramática de muchos correos de phishing está mejorando con la rápida propagación de sistemas de inteligencia artificial. 

• Saludos genéricos. Ten cuidado con aperturas vagas como "Estimado cliente" en lugar de tu nombre. 

¿Qué es un sentido de urgencia en el phishing? 

Los cibercriminales se centran en jugar con tus emociones con sus correos electrónicos de phishing. La señal más roja para los correos electrónicos de phishing es un "sentido de urgencia", donde sientes presión para actuar rápidamente. ¡Los estafadores quieren que actúes rápido para que hagas clic antes de pensar! 

En los mensajes de phishing, un sentido de urgencia puede ser negativo o positivo. 

• Ejemplos de sentido de urgencia positivo: ganaste un premio, se te debe dinero, puedes obtener una oferta exclusiva.  

• Ejemplos de sentido de urgencia negativo: Has sido hackeado, el IRS está investigándote, los criminales están grabándote a través de tu webcam, hay una orden de arresto en tu contra.  

Incluso si los mensajes son inquietantes y preocupantes, es importante recordar que casi todos los mensajes enviados a tu bandeja de entrada o DM de redes sociales sobre asuntos serios, como auditorías del IRS, son estafas. Los estafadores dirán que tienen imágenes embarazosas tuyas como una forma de captar tu atención y dinero – no se lo des.  

Tómate 5 segundos con cada correo electrónico 

Normalmente puedes escanear las señales de alerta de un correo electrónico de phishing tomando cinco segundos por correo. Antes de hacer clic en un enlace, enviar cualquier información o descargar un archivo adjunto, respira y considera si el correo electrónico es un phishing. Pregunta a un compañero de trabajo, un amigo o a un familiar si el mensaje parece extraño. Ningún correo necesita una respuesta en menos de un minuto.  

Cuando los estafadores conocen tu nombre: spearphishing 

A veces, los cibercriminales dedican tiempo a personalizar un correo electrónico de phishing solo para ti. Podrían conocer tu nombre, tu trabajo, tu dirección o los nombres de personas que conoces. Podrían obtener estos datos de redes sociales u otras fuentes disponibles públicamente. Esto se llama “spearphishing”, como en que el estafador tiene que dirigirse a ti específicamente con su mensaje.  

Debido a esto, ten cuidado con cualquier mensaje inesperado con un sentido de urgencia, incluso si el remitente parece saber quién eres.

Qué hacer si detectas un mensaje de phishing

¿Has detectado un intento de phishing? Aquí te decimos cómo manejarlo: 

1. Mantén la calma y no hagas clic. No hagas clic en ningún enlace ni descargues archivos adjuntos. Incluso el enlace para cancelar la suscripción podría ser una trampa. No respondas al correo.

2. Reporta el correo: 

   1. En el trabajo: Notifica a tu departamento de TI o al oficial de seguridad de inmediato. 

   2. En casa: Muchas plataformas de correo electrónico tienen una función de “Reportar Phishing”. Úsala para alertarlos:

      1. Reportar un phishing en Outlook.

      2. Reportar un phishing en Gmail.  

      3. Reportar un phishing en Mac Mail. 

3. Bloquea al remitente. Da un paso adicional bloqueando al remitente en tu programa de correo electrónico.

4. Elimina el correo. Elimina el mensaje. No respondas ni interactúes con el remitente.

Protege tu lago antes de que ocurra el phishing 

Los correos electrónicos de phishing pueden deslizarse a través de tu filtro de spam, así que mantenerse proactivo es crucial. Adoptar algunos comportamientos clave de ciberseguridad puede ayudarte a protegerte cuando el phishing ocurre. 

• Habilita la autenticación multifactorial (MFA) siempre que sea posible para agregar una capa adicional de seguridad. 

• Usa contraseñas fuertes y únicas y almacénalas de manera segura en un gestor de contraseñas. Cada contraseña debe tener al menos 16 caracteres de longitud y ser única para la cuenta.  

• Mantén todos los softwares y dispositivos actualizados para parchar las vulnerabilidades que explotan los cibercriminales.

Reportar phishing hace la diferencia 

Al reportar intentos de phishing, te proteges a ti mismo y ayudas a prevenir que otros caigan víctimas. Los proveedores de correo electrónico y los equipos de TI utilizan tus informes para bloquear a estos estafadores y mejorar las medidas de seguridad. Por favor reporta y bloquea.

Pensar antes de hacer clic 

Puedes estar un paso adelante de los estafadores de phishing. Recuerda: Si algo se siente raro, confía en tus instintos. Incluso puedes pedirle a un amigo que revise por ti. Piensa por unos segundos antes de hacer clic, y estarás bien encaminado hacia mantenerte seguro en línea.  

Recursos Adicionales

• Mira nuestro seminario web a demanda "Detecta el Phishing Antes de que Te Atrapée"

• Cómo reportar phishing en Gmail

• Aprende cómo burlar las estafas de phishing con Accenture

• Recupérate de una estafa

• Recibe alertas de estafas de la Oficina de Mejores Negocios