Saber cómo evitar las estafas de phishing es una piedra angular para proteger tu información personal. El phishing es una de las formas más extendidas de ataques de ingeniería social hoy en día, y puede permitir a actores malintencionados robar tu identidad y secuestrar tus cuentas bancarias y de correo electrónico.
Estas estafas pueden adoptar muchas formas, como correos electrónicos, mensajes y sitios web falsos, y se dirigen tanto a empresas como a particulares.
Con los ataques de phishing en constante evolución, detectarlos puede ser complicado, lo que significa que un software de seguridad fiable es un complemento inestimable para hogares y empresas.
En esta guía, te explicaré cómo evitar los ataques de phishing, a qué debes prestar atención y qué pasos debes dar si tu información personal o financiera ya se ha visto comprometida.
¿Cómo funciona el phishing?
Las estafas de phishing más comunes comienzan con correos electrónicos y mensajes que atraen a los destinatarios para que introduzcan sus credenciales en sitios web que parecen servicios legítimos. Estos correos electrónicos suelen proceder de fuentes aparentemente legítimas, como bancos, organismos gubernamentales y plataformas de redes sociales.
como contraseñas o datos de tarjetas de crédito, en un formulario web. Los correos electrónicos de phishing suelen llevar a sitios web diseñados para obtener tus credenciales. A menudo también te redirigen a sitios web reales después de que hayas proporcionado tu información, para evitar que te des cuenta de que te han estafado.
Por ejemplo, un correo electrónico de phishing puede decirte que tienes que confirmar tu información de inicio de sesión y llevarte a una página de inicio de sesión en «paypale.com». Sin embargo, una vez que inicies sesión, acabarás en el sitio web real de PayPal.
Una vez que el objetivo introduce su información, los ciberdelincuentes detrás del correo falso pueden utilizar los detalles para robar su identidad y acceder a sus cuentas. Si has descargado archivos adjuntos o visitado un sitio web comprometido, tu dispositivo también puede infectarse con malware o spyware adicional que rastreará tu actividad en Internet.
¿Cómo detectar un correo electrónico de phishing?
Aunque surgen nuevas técnicas de phishing con regularidad, hay señales de alarma que hacen que la mayoría de los ataques sean relativamente fáciles de detectar.
Suelen ser correos electrónicos no solicitados que te instan a tomar medidas inmediatas y te piden que facilites tus credenciales o hagas clic en enlaces.
Éstos son algunos de los enfoques habituales de los correos electrónicos de phishing:
- Alertas de seguridad – Correos electrónicos que te instan a «proteger» tu cuenta, alegando que se ha visto comprometida o que se ha detectado actividad sospechosa
- Confirmaciones de cuenta o de pago: se trata de mensajes de phishing que te piden que actualices tus credenciales de inicio de sesión o tus datos de pago, algo que las empresas legítimas rara vez solicitan por correo electrónico.
- Exigencias de pago – Los actores maliciosos pueden amenazarte con la suspensión de la cuenta o con acciones legales debido a supuestas deudas impagadas, a veces incluyendo facturas falsas para subrayar la urgencia
- Deducciones fiscales u ofertas de reembolso – Los estafadores pueden ofrecer desgravaciones fiscales, descuentos exclusivos o reembolsos para engañarte y que hagas clic en enlaces o compartas tus datos personales
- Notificaciones de premios o herencias – Correos electrónicos no solicitados en los que te piden tus datos personales para recibir una herencia o el premio de un concurso – la estafa más conocida es la del «príncipe nigeriano».
Señales de advertencia habituales de un ataque de phishing por correo electrónico
Aunque algunos ataques de phishing son más convincentes que otros, hay algunos indicios que pueden ayudarte a detectar los intentos de phishing por correo electrónico y a prevenirlo. A continuación te explicamos cómo identificar los correos electrónicos de phishing buscando algunas banderas rojas comunes:
- Errores tipográficos – Un correo electrónico de un representante real de un banco, una red social o un comercio no tendrá errores gramaticales ni faltas de ortografía.
- Problemas con la dirección de correo electrónico del remitente – Los correos electrónicos de phishing a menudo proceden de direcciones registradas en dominios de correo electrónico gratuitos como Gmail o Yahoo, o incluyen ligeros errores ortográficos en el nombre de la empresa. En otros casos, el dominio de la dirección de correo electrónico del remitente puede no estar relacionado con la organización que aparentemente envía el mensaje.
- Saludos genéricos – Los mensajes que empiezan con saludos genéricos, como «Estimado cliente» en lugar de tu nombre, tienen más probabilidades de ser estafas por correo electrónico, ya que el mismo mensaje se ha enviado a cientos de personas.
- Enlaces sospechosos – Desconfía de los correos electrónicos que te piden que cambies tu contraseña, introduzcas datos personales o verifiques tu cuenta siguiendo un enlace.
- Ofertas inverosímiles – Debes ser escéptico ante promesas de grandes sumas de dinero, descuentos increíbles o devoluciones de productos que nunca compraste.
¿Qué hacer si sospechas de un intento de phishing?
Si sospechas que has recibido un correo electrónico falso diseñado para robar tus datos, no hagas clic en ninguno de los enlaces que contiene, no descargues ningún archivo adjunto y no rellenes ningún campo en los sitios web a los que enlaza.
Si no estás seguro de si el correo electrónico que has recibido es real o falso, intenta entrar directamente en la cuenta asociada al mensaje: si es un correo electrónico que te informa de que tienes que restablecer tu contraseña de Facebook, por ejemplo, intenta entrar en Facebook para ver si el problema se refleja allí.
Muchos antivirus también incluyen herramientas de protección web que pueden marcar enlaces a sitios web maliciosos de phishing, advirtiéndote de posibles intentos de suplantación de identidad.
Tras confirmar que se trata de un intento de phishing, denuncia el correo electrónico y elimínalo. Si crees que puedes haber puesto en peligro una de tus cuentas siguiendo las instrucciones de un correo electrónico de phishing, cambia tu contraseña y activa la autenticación multifactor lo antes posible, y realiza un análisis antivirus completo en tu dispositivo.
Tal vez quieras alertar al proveedor de la cuenta o, si se trata de una cuenta de trabajo, avisar a tu equipo de seguridad. Por supuesto, siempre es aconsejable mantener el software actualizado y hacer copias de seguridad de los archivos importantes.
Lee nuestras guías sobre los pasos a seguir después de hacer clic en un enlace de phishing, cómo prevenir el robo de identidad y cómo eliminar el software espía del iPhone para obtener consejos adicionales.
¿Cómo prevenir los ataques de phishing y protegerte?
Estar atento a las señales de advertencia es un primer paso importante para protegerte del phishing, pero hay otras medidas que puedes tomar para protegerte.
Algunas de las mejores soluciones antivirus -como TotalAV, Norton y NordVPN Threat Protection- ofrecen protección integrada contra el phishing y pueden ayudarte a identificar señales de alarma en tus correos electrónicos. Pueden detectar y marcar automáticamente enlaces maliciosos, archivos adjuntos infectados con malware y sitios web maliciosos, e impedir que roben tus datos.
También es importante que actualices regularmente tu software antivirus para asegurarte de que puede combatir nuevos virus e incluso las ciberamenazas más avanzadas. También debes mantener actualizados tu sistema operativo y tus aplicaciones para minimizar el riesgo de robo de identidad.
Implementar la autenticación multifactor ( MFA ) es otra medida de seguridad crítica. La AMF añade una capa adicional de seguridad a tus cuentas en línea solicitando una verificación adicional, como una contraseña de un solo uso o autenticación biométrica, además de la contraseña de tu cuenta.
Esto significa que un estafador no puede acceder a tu cuenta sólo con tu contraseña. Utilizar uno de los mejores gestores de contraseñas, como NordPass, también puede ayudarte a asignar contraseñas fuertes y únicas para cada una de tus cuentas online, al tiempo que facilita el acceso y la gestión de las mismas.
También es importante que evites compartir tu dirección de correo electrónico y tu número de teléfono en Internet en la medida de lo posible y que intentes no compartir más información personal de la necesaria al darte de alta en nuevos servicios.
Limitar la cantidad de información disponible sobre ti puede ayudarte a protegerte de los ataques de phishing y te convierte en un objetivo más difícil para los estafadores.
Tipos de ataques de phishing – Cómo detectar una estafa o un ataque de phishing
Aunque algunas estafas de phishing pueden ser fáciles de detectar, los actores maliciosos con mucha experiencia y recursos pueden engañar incluso a los usuarios más expertos en tecnología.
Hoy en día, los estafadores utilizan diversos tipos de ataques de phishing, y aquí tienes una lista de algunos de los enfoques con los que es más probable que te encuentres:
- Phishing por correo electrónico – Aunque limitado por las tecnologías avanzadas de filtrado de correo electrónico, el phishing por correo electrónico sigue siendo uno de los tipos de ataque de phishing más frecuentes, según el APWG.
- Vishing o Phishing VoIP – Se trata de una estafa de phishing realizada a través de llamadas telefónicas, en la que el atacante se hace pasar por un representante de una organización legítima.
- Spear Phishing – Ataques de phishing que se dirigen a una organización o persona concreta utilizando su información.
- Angler Phishing – Se trata de cuentas de redes sociales falsas que se hacen pasar por canales legítimos de atención al cliente, con el fin de engañar a los objetivos para que compartan sus credenciales.
- Pharming – Estos ataques se producen cuando un usuario es redirigido de un sitio web legítimo a otro fraudulento sin su conocimiento, normalmente a través de un código malicioso. Consulta nuestra guía sobre cómo detener los redireccionamientos de Google a Bing para obtener consejos sobre cómo hacer frente a los redireccionamientos inesperados.
- Phishing o Smishing por SMS – Se trata de mensajes de texto fraudulentos que intentan extraer información personal del objetivo o hacer que el destinatario haga clic en un enlace.
- Phishing de código QR – Estos ataques implican códigos QR maliciosos que conducen a sitios web fraudulentos o a contenidos descargables infectados con malware diseñados para recopilar información.
Conclusión – Cómo prevenir el phishing y detectar los correos electrónicos de phishing
Los correos electrónicos de phishing suponen una importante amenaza para tu privacidad y a menudo pueden conducir al robo de identidad y a pérdidas económicas. Saber cómo prevenir los ataques de phishing es crucial, y siempre debes estar atento a los errores tipográficos, la mala gramática, los enlaces sospechosos y otras señales de alarma en los correos electrónicos y los mensajes SMS.
Invertir en software de seguridad con funciones antiphishing, como TotalAV, NordVPN y Norton, puede ser muy valioso. Estas herramientas marcarán automáticamente el contenido sospechoso de tus correos electrónicos, evitando que seas víctima de ataques de phishing.
Además, tener un gestor de contraseñas fiable y configurar la autenticación multifactor en tus cuentas online puede mejorar tu seguridad general y en cómo evitar ser víctima del phishing.