El phishing es cuando los ciberdelincuentes usan correos electrónicos, publicaciones en redes sociales o mensajes directos para engañarte y hacer que hagas clic en enlaces dañinos o descargues archivos maliciosos. El phishing es un ataque común de "ingeniería social" en el que un hacker intenta engañarte en lugar de atacar directamente tu sistema. Caer en una estafa de phishing puede exponer tu información personal, como contraseñas o números de tarjetas de crédito, e incluso puede resultar en que los ciberdelincuentes instalen malware en tu dispositivo. 

Pero con algo de conocimiento, puedes convertirte en un experto en detectar intentos de phishing y no caer en la trampa. Además, puedes bloquear y reportar correos electrónicos de phishing para quitarles las redes de phising.

¿Cómo se ve un correo electrónico de phishing? 

Los estafadores a menudo disfrazan los correos electrónicos de phishing como mensajes de organizaciones de confianza o personas, pero hay señales reveladoras que los delatan. Esto es lo que debes buscar:  

• Ofertas que parecen demasiado buenas para ser verdad. ¿El mensaje promete dinero gratis, artículos de lujo o ofertas exclusivas que parecen demasiado buenas para ser verdad? ¡Bandera roja! Lo mismo si ganaste un concurso que no recuerdas haber ingresado.

• Lenguaje urgente o amenazante. Ten cuidado con frases como "¡Tu cuenta será eliminada!" o "¡Actúa ahora!" que están diseñadas para hacerte entrar en pánico. Incluso podrían decir que tu computadora ha sido pirateada o que estás bajo arresto.

• Solicitudes de información personal. Las empresas legítimas nunca te pedirán detalles sensibles como contraseñas por correo electrónico.

• Solicitudes comerciales extrañas. ¿Una demanda repentina de pago o datos privados? ¿Una factura que no reconoces? Pausa y cuestiona su legitimidad.

• Direcciones de remitentes que no coinciden. Antes de abrir cualquier correo electrónico que contenga datos sensibles o dinero, siempre verifica la dirección de correo electrónico del remitente en busca de dominios extraños o errores de ortografía leves.

• Hipervínculos o archivos adjuntos desconocidos. Pasa el cursor sobre los enlaces para verificar a dónde conducen. Si parecen sospechosos (por ejemplo, pavpal.com en lugar de paypal.com), no hagas clic. Nunca descargues un archivo adjunto de un remitente que no reconozcas, e incluso si reconoces al remitente, usa el escáner de antivirus de tu correo en él.

• Contenido mal escrito. Busca mala gramática, frases incómodas o palabras mal escritas: las empresas profesionales rara vez cometen estos errores. Sin embargo, la gramática de muchos correos electrónicos de phishing está mejorando con la rápida difusión de sistemas de inteligencia artificial. 

• Saludos genéricos. Ten cuidado con aperturas vagas como "Estimado Cliente" en lugar de tu nombre. 

¿Qué es un sentido de urgencia en el phishing? 

Los ciberdelincuentes se enfocan en jugar con tus emociones con sus correos electrónicos de phishing. La señal más clara de un correo electrónico de phishing es un "sentido de urgencia", donde te sientes presionado a actuar rápidamente. Los estafadores quieren que actúes rápidamente para que hagas clic antes de pensar. 

En los mensajes de phishing, el sentido de urgencia puede ser negativo o positivo. 

• Ejemplos de sentido de urgencia positivo: ganaste un premio, te deben dinero, puedes obtener una oferta exclusiva.  

• Ejemplos de sentido de urgencia negativo: Has sido hackeado, el IRS está investigándote, los delincuentes te están grabando a través de tu cámara web, hay una orden de arresto en tu contra.  

Incluso si los mensajes son inquietantes y preocupantes, es importante recordar que casi todos los mensajes enviados a tu bandeja de entrada de correo electrónico o DM de redes sociales sobre asuntos serios, como auditorías del IRS, son estafas. Los estafadores dirán que tienen imágenes comprometedoras tuyas como una forma de obtener tu atención y dinero; no se lo des.  

Tómate 5 segundos con cada correo electrónico 

Por lo general, puedes escanear las señales de alerta de un correo electrónico de phishing tomándote cinco segundos por correo electrónico. Antes de hacer clic en un enlace, enviar cualquier información o descargar un archivo adjunto, tómate un respiro y considera si el correo electrónico es un phishing. Pregunta a un compañero de trabajo, amigo o familiar si el mensaje parece extraño. Ningún correo electrónico necesita una respuesta en menos de un minuto.  

Cuando los estafadores conocen tu nombre: spearphishing 

A veces, los ciberdelincuentes dedican tiempo a elaborar un correo electrónico de phishing solo para ti. Pueden conocer tu nombre, tu trabajo, tu dirección o los nombres de personas que conoces. Pueden obtener estos datos de las redes sociales u otras fuentes disponibles públicamente. Esto se llama “spearphishing”, es decir, el estafador tiene que dirigirse específicamente a ti con su mensaje.  

Por esto, ten cuidado con cualquier mensaje inesperado con un sentido de urgencia, incluso si el remitente parece conocerte.

Qué hacer si detectas un mensaje de phishing

¿Captaste un intento de phishing? Aquí está cómo manejarlo: 

1. Mantén la calma y no hagas clic. No hagas clic en ningún enlace ni descargues archivos adjuntos. Incluso el enlace para darse de baja podría ser una trampa. No respondas al correo electrónico.

2. Reporta el correo electrónico: 

   1. En el trabajo: Notifica a tu departamento de TI o a tu oficial de seguridad de inmediato. 

   2. En casa: Muchas plataformas de correo electrónico tienen una función de "Reportar Phishing". Úsala para alertarlos:

      1. Reporta un phishing en Outlook.

      2. Reporta un phishing en Gmail.  

      3. Reporta un phishing en Mac Mail. 

3. Bloquea al remitente. Da un paso adicional bloqueando al remitente en tu programa de correo electrónico.

4. Elimina el correo electrónico. Borra el mensaje. No respondas ni interactúes con el remitente.

Protege tu lago antes de que el phishing ataque 

Los correos electrónicos de phishing pueden filtrarse a través de tu filtro de spam, por lo que mantenerse proactivo es crucial. Adoptar algunos comportamientos clave de ciberseguridad puede ayudarte a protegerte cuando ocurra el phishing. 

• Habilita la autenticación multifactor (MFA) siempre que sea posible para agregar una capa extra de seguridad. 

• Usa contraseñas fuertes y únicas y almacénalas de manera segura en un gestor de contraseñas. Cada contraseña debe tener al menos 16 caracteres y ser única para la cuenta.  

• Mantén todo el software y dispositivos actualizados para corregir vulnerabilidades que los ciberdelincuentes explotan.

Informar sobre el phishing marca la diferencia 

Al reportar intentos de phishing, te proteges a ti mismo y ayudas a prevenir que otros sean víctimas. Los proveedores de correo electrónico y los equipos de TI usan tus reportes para bloquear a estos estafadores y mejorar las medidas de seguridad. ¡Por favor, informa y bloquea!

Piénsalo antes de hacer clic 

Puedes estar un paso adelante de los estafadores de phishing. Recuerda: Si algo te parece extraño, confía en tus instintos. Incluso puedes pedirle a un amigo que revise con un segundo par de ojos. Piensa durante unos segundos antes de hacer clic, y estarás bien encaminado para mantenerte seguro en línea.  

Recursos Adicionales

• Mira nuestro webinar a demanda "Detecta el Phishing antes de que te atrape”

• Cómo reportar el phishing en Gmail

• Aprende a burlar las estafas de phishing con consejos de ciberseguridad de Accenture

• Recupérate de una estafa

• Recibe alertas de estafas de la Better Business Bureau