El phishing es un tipo de estafa en la que los delincuentes se hacen pasar por una persona u organización de confianza para engañarte y hacer que hagas clic en un enlace, descargues un archivo o compartas información sensible como contraseñas o números de tarjetas de crédito. Estas estafas nos llegan básicamente por cualquier forma de comunicación entrante, incluidos correos electrónicos, mensajes de texto, publicaciones en redes sociales, llamadas telefónicas o mensajes directos. Las estafas también pueden intentar victimizarte a través de tu buzón físico, aunque esto normalmente se clasifica como fraude postal.  

El phishing es la forma más común de "ingeniería social", que se refiere a atacantes que dependen del engaño en lugar de habilidades de hackeo para tener éxito.  

La buena noticia: una vez que sabes en qué fijarte, los intentos de phishing son más fáciles de detectar. Esto es cierto incluso en nuestra era de IA y deepfakes: aunque los errores tipográficos y gramaticales son menos comunes ahora, los mensajes de phishing siempre intentan crear una sensación de urgencia.  

¿Cómo se ve un mensaje de phishing? 

Los mensajes de phishing hoy en día son más convincentes que nunca, pero casi siempre intentan crear urgencia e intentar convencerte de hacer algo (como abrir un enlace, responder a un mensaje de texto, descargar un archivo adjunto o ingresar una contraseña). Incluso en nuestra era de la IA, puedes estar atento a las señales de alerta.  

Ofertas demasiado buenas para ser verdad

A menudo, un mensaje de phishing intenta inspirar una sensación positiva de urgencia: "¡Ganaste una hielera costosa!" Los mensajes que prometen dinero gratis, premios o ofertas exclusivas suelen ser estafas, especialmente si no recuerdas haberte inscrito. En muchos casos, la dirección de correo electrónico del remitente parecerá muy poco oficial, como si usara muchos números y un dominio de correo extraño. Pero elimina y reporta cualquier mensaje inesperado que parezca demasiado bueno para ser verdad.

Lenguaje urgente o amenazante

Los estafadores también usan sensaciones negativas de urgencia. Tratan de apresurarte con mensajes como:

• “¡Tu cuenta será bloqueada!”

• “¡Actúa ahora para evitar sanciones!”

• “¡Estás bajo investigación!”

Ignora, elimina y reporta mensajes como este: las organizaciones, empresas y agencias gubernamentales reales no se comunicarán contigo por correo electrónico de esta manera.

Solicitudes de información sensible

Las organizaciones legítimas no pedirán contraseñas, números de Seguro Social ni detalles financieros por correo electrónico o mensaje de texto. Si recibes un mensaje extraño de una organización real, comunícate directamente con ella para obtener más detalles (es decir, no a través de la información de contacto del mensaje), como su sitio web oficial.

Solicitudes inesperadas

Ten muchísimo cuidado con cualquier solicitud inesperada:

• Facturas que no reconoces

• Solicitudes repentinas de pago

• Mensajes que piden tarjetas de regalo o transferencias bancarias

Nunca envíes dinero usando formas de pago extrañas, como criptomonedas, tarjetas de regalo, transferencias bancarias o efectivo enviado con un mensajero; cualquier solicitud de pago de este tipo suele ser una estafa.

Direcciones de remitente sospechosas

Revisa con cuidado el correo electrónico del remitente. Pequeñas faltas de ortografía o dominios inusuales (como pavpal.com en lugar de paypal.com) son una señal de alerta importante.

Enlaces o archivos adjuntos extraños

En laptops o computadoras de escritorio, normalmente puedes pasar el cursor sobre los enlaces antes de hacer clic para ver el destino real

Nunca descargues archivos adjuntos que no esperabas, incluso si vienen de alguien que conoces. Verifica por tu cuenta que sea seguro.

Redacción o formato deficientes

Aunque antes los mensajes de phishing eran fáciles de detectar, ahora muchos usan un lenguaje pulido gracias a la IA. Aun así, las frases torpes o las inconsistencias deberían activar tu radar de phishing.

Saludos genéricos

Los mensajes que empiezan con “Estimado cliente” en lugar de tu nombre pueden indicar un intento masivo de phishing. Una vez más, esto es menos común ahora con la IA, pero aun así es algo a lo que debes prestar atención.

¿Por qué las estafas de phishing se sienten tan urgentes?

La sensación de urgencia es una de las señales de alerta más importantes del phishing.

Los estafadores quieren que actúes rápido antes de que tengas tiempo de pensar.

Pueden crear urgencia de dos maneras principales.

Urgencia positiva

• “¡Ganaste un premio!”

• “¡Reclama tu recompensa ahora!”

• “¡Oferta por tiempo limitado!”

Urgencia negativa

• “¡Hackearon tu cuenta!”

• “¡El IRS te está investigando!”

• “¡Te arrestarán si no respondes!”

Piensa antes de hacer clic

Estos mensajes están diseñados para provocar pánico o emoción, y ambas cosas pueden llevar a decisiones rápidas y arriesgadas.

Chequeo de realidad: Las organizaciones legítimas, especialmente las agencias gubernamentales como la policía local o el IRS, no se comunican contigo de esta manera para asuntos serios.

Tómate unos segundos con cada mensaje

Una de las formas más sencillas de evitar el phishing es hacer una pausa antes de actuar. Incluso dedicar de 5 a 9 segundos a cada correo puede tranquilizarte y ayudarte a pensar con más claridad. Sí, los segundos se acumulan, pero la tranquilidad bien vale la pena.

Antes de hacer clic en un enlace, responder o descargar algo, pregúntate:

• ¿Esperaba este mensaje?

• ¿Algo no me cuadra?

• ¿El remitente es quien dice ser?

• ¿Siento que debo actuar rápido?

Si no estás seguro, no interactúes.

Una buena idea es pedirle una segunda opinión a un compañero de trabajo, amigo o familiar.

Ningún mensaje legítimo requiere una respuesta inmediata.

¿Qué es el spear phishing?

Algunos ataques de phishing están más dirigidos. A esto se le llama spear phishing (piensa en apuntar una lanza especial a un pez sabroso en el río).

En estos casos, los estafadores quizá ya conozcan detalles sobre ti, como:

• Tu nombre

• Tu trabajo o empresa

• Tu dirección de correo electrónico

• Nombres de compañeros de trabajo o amigos

Los estafadores usan esta información, que a menudo obtienen de las redes sociales o fuentes públicas, para hacer que su mensaje sea más creíble.

¡Pero puedes esquivar las lanzas!

Incluso si un mensaje se siente personal, mantente cauteloso, especialmente si incluye urgencia o solicitudes inusuales.

Probablemente el CEO de tu empresa no necesita que compres tarjetas de regalo.

Qué hacer si recibes un mensaje de phishing

Si crees que has detectado un intento de phishing:

Cómo proteger tu océano digital del daño del phishing 

Los correos de phishing pueden pasar los filtros de spam, así que es importante crear buenos hábitos de seguridad que te ayuden a mantenerte resistente incluso si caes en un mensaje de phishing: 

Usa la autenticación multifactor (MFA) 

Agregar un segundo paso de verificación hace mucho más difícil que los atacantes accedan a tus cuentas. ¡Nunca le des a nadie tu código MFA! 

Crea contraseñas fuertes y únicas 

Usa una contraseña diferente para cada cuenta, idealmente de al menos 16 caracteres. ¡Los administradores de contraseñas ayudan muchísimo! 

Mantén el software actualizado 

Las actualizaciones corrigen vulnerabilidades de seguridad que los estafadores intentan aprovechar. 

Por qué reportar el phishing importa 

Reportar el phishing no solo sirve para protegerte a ti; también ayuda a proteger a todos. 

Los proveedores de correo y los equipos de seguridad usan los reportes para: 

• Bloquear mensajes fraudulentos 

• Cerrarles el paso a remitentes maliciosos 

• Mejorar los sistemas de detección 

¡Tu reporte puede detener el próximo ataque! 

Una breve pausa es tu mejor defensa contra el phishing 

Las estafas de phishing dependen de reacciones rápidas. Tu mejor defensa son unos segundos de reflexión. 

Si algo no te cuadra, confía en tu instinto. Tómate un momento, verifica dos veces y, si tienes dudas, ¡no hagas clic! Para más consejos de seguridad en línea, suscríbete a nuestro boletín por correo electrónico! 

Preguntas frecuentes 

¿Qué es el phishing en términos simples? 

El phishing es cuando los estafadores usan comunicación digital (como correo electrónico o mensajes de texto) para tratar de engañarte y hacer que hagas clic en un enlace, descargues un archivo adjunto o compartas información personal. 

¿Cómo puedes saber si un mensaje es phishing? 

Los mensajes que crean urgencia y los mensajes inesperados (¡o ambos!) suelen ser phishing. También puedes buscar enlaces sospechosos y direcciones de remitente que no coincidan con la empresa. 

¿Qué debes hacer si haces clic en un enlace de phishing? 

Reporta el incidente a tu equipo de TI o de seguridad si estás en el trabajo. Desconéctate de internet, ejecuta un análisis de seguridad con el software de seguridad de tu dispositivo y cambia cualquier contraseña que hayas compartido o que creas que podría verse afectada. 

¿Puede ocurrir phishing por mensajes de texto o redes sociales? 

Sí. El phishing puede ocurrir por mensajes de texto (“smishing”), llamadas telefónicas (“vishing”), redes sociales o mensajes directos, no solo por correo electrónico. 

Recursos adicionales

• Mira nuestro seminario web bajo demanda “Detecta el phishing antes de que te atrape”

• Cómo reportar phishing en Gmail

• Aprende a superar las estafas de phishing con consejos de ciberseguridad de Accenture

• Recupérate de una estafa

• Recibe alertas de estafas de Better Business Bureau