Seguridad y Privacidad
|
Lectura breve
¿Qué es el phishing? Cómo identificar y evitar estafas de phishing
Los ciberdelincuentes están constantemente tratando de obtener información personal mediante phishing, pero no tienes que caer en una estafa.
El phishing es un tipo de estafa en la que los delincuentes se hacen pasar por una persona u organización de confianza para engañarte y hacer que hagas clic en un enlace, descargues un archivo o compartas información confidencial como contraseñas o números de tarjetas de crédito. Estas estafas nos llegan a través de prácticamente cualquier forma de comunicación entrante, incluidos correos electrónicos, mensajes de texto, publicaciones en redes sociales, llamadas telefónicas o mensajes directos. Las estafas también pueden intentar victimizarte a través de tu buzón físico, aunque esto normalmente se clasifica como fraude postal.
El phishing es la forma más común de "ingeniería social", que se refiere a atacantes que dependen del engaño en lugar de habilidades de hackeo para tener éxito.
La buena noticia: una vez que sabes qué buscar, los intentos de phishing son más fáciles de detectar. Esto sigue siendo cierto incluso en nuestra era de IA y deepfakes – aunque los errores tipográficos y gramaticales ahora son menos comunes, los mensajes de phishing siempre intentan crear una sensación de urgencia.
¿Cómo se ve un mensaje de phishing?
Los mensajes de phishing son más convincentes que nunca hoy en día, pero casi siempre intentan crear urgencia y convencerte de hacer algo (como abrir un enlace, responder a un mensaje de texto, descargar un archivo adjunto o ingresar una contraseña). Incluso en nuestra era de la IA, puedes estar atento a las señales de alerta.
Ofertas demasiado buenas para ser verdad
A menudo, un mensaje de phishing intenta inspirar una sensación positiva de urgencia: "¡Ganaste una hielera costosa!" Los mensajes que prometen dinero gratis, premios u ofertas exclusivas suelen ser estafas, especialmente si no recuerdas haberte inscrito. En muchos casos, la dirección de correo electrónico del remitente parecerá muy poco oficial, como usar muchos números y un dominio de correo extraño. Pero elimina y reporta cualquier mensaje inesperado que parezca demasiado bueno para ser verdad.
Lenguaje urgente o amenazante
Los estafadores también usan sensaciones negativas de urgencia. Intentan apurarte con mensajes como:
“¡Tu cuenta será bloqueada!”
“¡Actúa ahora para evitar sanciones!”
“¡Estás bajo investigación!”
Ignora, elimina y reporta mensajes como estos: las organizaciones, empresas y agencias gubernamentales reales no se pondrán en contacto contigo por correo electrónico de esta manera.
Solicitudes de información confidencial
Las organizaciones legítimas no pedirán contraseñas, números de Seguro Social o datos financieros por correo electrónico o mensaje de texto. Si recibes un mensaje extraño de una organización real, contáctala directamente para obtener más detalles (es decir, no a través de la información de contacto del mensaje), como su sitio web oficial.
Solicitudes inesperadas
Ten muchísimo cuidado con cualquier solicitud inesperada:
Facturas que no reconoces
Solicitudes repentinas de pago
Mensajes que piden tarjetas de regalo o transferencias bancarias
Nunca envíes dinero en formas de pago extrañas, como criptomonedas, tarjetas de regalo, transferencias bancarias o efectivo enviado por mensajería: cualquier solicitud de pago como esta suele ser una estafa.
Direcciones de remitente sospechosas
Observa con atención el correo electrónico del remitente. Pequeños errores ortográficos o dominios inusuales (como pavpal.com en lugar de paypal.com) son una señal de alerta importante.
Enlaces o archivos adjuntos extraños
En laptops o computadoras de escritorio, normalmente puedes pasar el cursor sobre los enlaces antes de hacer clic para ver el destino real
Nunca descargues archivos adjuntos que no esperabas, incluso si vienen de alguien que conoces. Verifica de forma independiente que sea seguro.
Mala redacción o formato
Aunque antes era fácil detectar los mensajes de phishing, ahora muchos usan un lenguaje pulido gracias a la IA. Aun así, una redacción torpe o inconsistencias deberían hacer que tu radar de phishing se active.
Saludos genéricos
Los mensajes que comienzan con “Estimado cliente” en lugar de tu nombre pueden indicar un intento masivo de phishing. Nuevamente, esto es menos común ahora con la IA, pero aun así es algo en lo que debes fijarte.
¿Por qué las estafas de phishing se sienten tan urgentes?
La sensación de urgencia es una de las señales de advertencia más grandes del phishing.
Los estafadores quieren que actúes rápido antes de que tengas tiempo de pensar.
Pueden crear urgencia de dos maneras principales.
Urgencia positiva
“¡Ganaste un premio!”
“¡Reclama tu recompensa ahora!”
“¡Oferta por tiempo limitado!”
Urgencia negativa
“¡Hackearon tu cuenta!”
“¡El IRS te está investigando!”
“¡Te arrestarán si no respondes!”
Piensa antes de hacer clic
Estos mensajes están diseñados para provocar pánico o emoción, y ambos pueden llevar a decisiones rápidas y riesgosas.
Chequeo de realidad: Las organizaciones legítimas, especialmente las agencias gubernamentales como la policía local o el IRS, no se ponen en contacto contigo de esta manera para asuntos serios.
Tómate unos segundos con cada mensaje
Una de las formas más simples de evitar el phishing es hacer una pausa antes de actuar. Incluso tomarte de 5 a 9 segundos con cada correo puede tranquilizarte y ayudarte a pensar con más claridad. Sí, los segundos se acumulan, pero la tranquilidad vale muchísimo la pena.
Antes de hacer clic en un enlace, responder o descargar algo, pregúntate:
¿Esperaba este mensaje?
¿Algo se siente raro?
¿El remitente es quien dice ser?
¿Siento que tengo que actuar rápido?
Si no estás seguro, no participes.
Una gran opción es pedirle una segunda opinión a un compañero de trabajo, un amigo o un familiar.
Ningún mensaje legítimo exige una respuesta instantánea.
¿Qué es el spear phishing?
Algunos ataques de phishing son más dirigidos. A esto se le llama spear phishing (piensa en apuntar una lanza especial a un pez sabroso en el río).
En estos casos, los estafadores quizá ya sepan detalles sobre ti, como:
Tu nombre
Tu trabajo o empresa
Tu dirección de correo electrónico
Nombres de compañeros de trabajo o amigos
Los estafadores usan esta información, a menudo obtenida de redes sociales o fuentes públicas, para hacer que su mensaje parezca más creíble.
¡Aunque sí puedes esquivar las lanzas!
Incluso si un mensaje parece personal, mantente cauteloso, especialmente si incluye urgencia o solicitudes inusuales.
Probablemente el director general de tu empresa no necesita que compres tarjetas de regalo.
Qué hacer si recibes un mensaje de phishing
Si crees que detectaste un intento de phishing:
No hagas clic ni respondas
No hagas clic en enlaces, no descargues archivos adjuntos ni respondas. Incluso los enlaces o botones de “cancelar suscripción” pueden ser maliciosos.
Reporta el mensaje
En el trabajo: Repórtalo a tu equipo de TI o de seguridad
En casa: Usa la función de “Reportar phishing” de tu proveedor de correo electrónico
Reporta un phishing en Outlook.
Reporta un phishing en Gmail.
Reporta un phishing en Mac Mail.
Bloquea al remitente
Evita mensajes futuros de la misma fuente.
Elimina el mensaje
Quítalo de tu bandeja de entrada una vez reportado. Esto evita que hagas clic en él accidentalmente en el futuro.
Cómo proteger tu océano digital del daño del phishing
Los correos de phishing pueden pasar los filtros de spam, así que es importante desarrollar buenos hábitos de seguridad que te ayuden a mantenerte resiliente incluso si caes en un mensaje de phishing:
Usa autenticación multifactor (MFA)
Agregar un segundo paso de verificación hace mucho más difícil que los atacantes accedan a tus cuentas. ¡Nunca le des a nadie tu código MFA!
Crea contraseñas fuertes y únicas
Usa una contraseña diferente para cada cuenta, idealmente de al menos 16 caracteres. ¡Los administradores de contraseñas ayudan muchísimo!
Mantén el software actualizado
Las actualizaciones corrigen vulnerabilidades de seguridad que los estafadores intentan explotar.
Por qué reportar el phishing importa
Reportar phishing no solo se trata de protegerte a ti: ayuda a proteger a todos.
Los proveedores de correo y los equipos de seguridad usan los reportes para:
Bloquear mensajes de estafa
Desactivar remitentes maliciosos
Mejorar los sistemas de detección
¡Tu reporte puede detener el siguiente ataque!
Una breve pausa es tu mejor defensa contra el phishing
Las estafas de phishing dependen de reacciones rápidas. Tu mejor defensa son unos segundos de reflexión.
Si algo se siente raro, confía en tu instinto. Tómate un momento, verifica dos veces y, si tienes dudas, ¡no hagas clic! Para más consejos de seguridad en línea, suscríbete a nuestro boletín por correo electrónico!
Preguntas frecuentes
¿Qué es el phishing en palabras simples?
El phishing es cuando los estafadores usan comunicación digital (como correo electrónico o mensajes de texto) para intentar engañarte y hacer que hagas clic en un enlace, descargues un archivo adjunto o compartas información personal.
¿Cómo puedes saber si un mensaje es phishing?
Los mensajes que crean urgencia y los mensajes inesperados (¡o ambos!) suelen ser phishing. También puedes fijarte en enlaces sospechosos y direcciones del remitente que no coincidan con la empresa.
¿Qué debes hacer si haces clic en un enlace de phishing?
Reporta el incidente a tu equipo de TI o de seguridad si estás en el trabajo. Desconéctate de internet, ejecuta un análisis de seguridad usando el software de seguridad de tu dispositivo y cambia cualquier contraseña que hayas enviado o que de otro modo creas que podría verse afectada.
¿Puede ocurrir phishing a través de mensajes de texto o redes sociales?
Sí. El phishing puede ocurrir por mensajes de texto (“smishing”), llamadas telefónicas (“vishing”), redes sociales o mensajes directos, no solo por correo electrónico.
