• Phishing por correo electrónico, mensajería y SMS:
    cómo reconocer y prevenir ataques

El phishing es una de las ciberamenazas más comunes y peligrosas. Los ciberdelincuentes a menudo se hacen pasar por empresas, organizaciones o individuos conocidos y tratan de engañarte para que reveles datos sensibles o infectes tu ordenador/smartphone con malware a través de mensajes fraudulentos. Estos ataques ocurren con frecuencia por correo electrónico, aplicaciones de mensajería o SMS y pueden tener graves consecuencias.

Mission Security

Aumento de la actividad de phishing – por favor, manténgase alerta

icon

Los ciberdelincuentes a menudo intentan engañar a los clientes con correos electrónicos o mensajes de apariencia muy auténtica. Los remitentes pueden hacerse pasar por instituciones de confianza y pedir a los destinatarios que hagan clic en enlaces o divulguen información sensible.

Por lo tanto, esté siempre atento al recibir correos electrónicos o mensajes inesperados que afirmen ser de su banco.

Cómo protegerse: No abra enlaces ni archivos adjuntos de correos electrónicos o mensajes desconocidos. Compruebe críticamente los remitentes y el contenido en busca de signos típicos de fraude: Sea especialmente sospechoso de un lenguaje urgente, amenazas o solicitudes para divulgar datos personales. Si sospecha de fraude, póngase en contacto con su banco a través de los canales de comunicación que conoce.

Puntos clave:

A person holds a smartphone displaying a warning symbol on the screen

Los mensajes de phishing a menudo contienen enlaces de aspecto real o archivos adjuntos de direcciones de remitentes aparentemente confiables que pueden robar credenciales de inicio de sesión o propagar malware.

Woman sitting in front of a laptop, touching her face while looking at the screen

Los delincuentes utilizan la ingeniería social y la IA para hacer que sus ataques sean más creíbles y adaptados a sus víctimas.

Close-up of a screen showing a message with the subject “Urgent: Verify Your Account”

Desconfía de los mensajes inesperados y revisa cuidadosamente las direcciones de los remitentes y los enlaces incluidos antes de responder.

¿Cuáles son las señales de phishing?

Los ciberdelincuentes eligen un pretexto para que sigas sus instrucciones. Se hacen pasar por identidades fiables y proporcionan razones urgentes que parecen plausibles. A menudo, los mensajes enviados contienen enlaces maliciosos o archivos adjuntos infectados que pueden comprometer tu dispositivo o robar tus credenciales de inicio de sesión.

Características típicas de los mensajes de phishing:

icon

Presión y urgencia

Se te anima a actuar de inmediato, y se te dice que, de lo contrario, se producirán supuestas consecuencias negativas.

icon

Identidades de aspecto fiable

Los remitentes se hacen pasar por empresas, bancos, familiares o autoridades conocidas.

icon

Enlaces a sitios web falsos

Intentan dirigirte a copias de sitios web de aspecto real con URL ligeramente diferentes que pueden utilizarse para robar tus credenciales de inicio de sesión.

icon

Archivos adjuntos con malware

Los documentos o archivos ZIP pueden contener troyanos o ransomware.

icon

Números de devolución de llamada en lugar de enlaces

En lugar de un enlace, puede haber un número de teléfono fraudulento (ver ataque TOAD) que te incite a devolver la llamada.

Cómo protegerte del phishing

Revisa cuidadosamente la dirección del remitente o el número de teléfono

  • Haz clic en el nombre del remitente para verificar la dirección de correo electrónico o el número de teléfono subyacente.
  • Presta atención a pequeñas desviaciones, por ejemplo, "organizaciong1obal.com" en lugar de "organizacionglobal.com" y verifica el número de teléfono comparándolo con el número de contacto que ya tienes o que encuentras en el sitio web oficial.
  • Desconfía de los correos electrónicos de servicios de correo privado (por ejemplo, nombredeempresa@gmail.com) en nombre de empresas conocidas.

StayInformed

¡Cuidado!

Los números de teléfono también pueden ser falsificados. En el caso de una llamada o SMS, el número de teléfono que se muestra puede ser diferente del número desde el que realmente se origina la llamada, o el SMS fue enviado (lo que se conoce como suplantación de identidad telefónica). Sé cauteloso con las solicitudes inesperadas o urgentes. En caso de duda, cuelga y vuelve a llamar al contacto utilizando un número que conoces como correcto. Los mensajes de phishing pueden contener números de devolución de llamada en lugar de enlaces o archivos adjuntos. Cuando devuelves la llamada, se te manipula para que visites sitios web peligrosos o para que los estafadores concedan acceso remoto a tu ordenador (lo que se conoce como "ataque de entrega orientada por teléfono" (TOAD)). No sigas la solicitud de devolución de llamada si tienes la menor sospecha de que algo está mal. En su lugar, llama a la empresa u organización en cuestión utilizando un número de una fuente de confianza y haz preguntas sobre el correo electrónico que recibiste.

No hagas clic en enlaces ni archivos adjuntos en mensajes dudosos

Incluso si un mensaje parece importante: ¡revisa el remitente y piensa antes de hacer clic! Los delincuentes a menudo transmiten una sensación de urgencia para hacer que sus víctimas actúen precipitadamente.

¿Cómo reconozco los sitios web "seguros"?

No introduzcas datos personales en sitios web con una conexión sin cifrar. Puedes reconocer si un sitio web utiliza una conexión cifrada por la abreviatura "https://" en la barra de direcciones y el pequeño símbolo de candado junto a la barra de direcciones del navegador. Aunque un número creciente de sitios falsos también utiliza este cifrado, sigue siendo importante prestarle atención.

Informa inmediatamente los correos electrónicos sospechosos

Informa los mensajes sospechosos a tu proveedor de correo electrónico o, por ejemplo, a la agencia de protección del consumidor. En un entorno profesional, debes informar a tu supervisor, al departamento de TI, a los responsables de protección de datos y a tus compañeros para protegerte a ti y a tu organización contra los ciberataques.

Enlaces y archivos adjuntos peligrosos: qué hay detrás de ellos

El phishing es uno de los tipos de ciberataques más reportados. El robo de credenciales de inicio de sesión se está volviendo cada vez más lucrativo para los ciberdelincuentes, ya que la mitad de los ataques exitosos explotan cuentas de usuario robadas. Los correos electrónicos de phishing son la principal forma de propagar malware haciendo que las víctimas hagan clic en enlaces o descarguen archivos adjuntos. Los ataques también ocurren a través de mensajería y SMS.

Elderly woman with a phone to her ear sits at her kitchen table with an open laptop in front of her

Páginas de inicio de sesión falsas

Si te encuentras con un ataque de phishing con este método, aterrizarás en una página de inicio de sesión después de hacer clic en un enlace. Estas páginas a menudo se parecen a las páginas de inicio de sesión oficiales de Microsoft 365 o de la banca on line. Son visualmente casi indistinguibles de las reales, pero la dirección web suele revelar el fraude. Por lo tanto, accede siempre a las páginas de inicio de sesión directamente a través de la dirección web oficial y guárdalas como favoritas en tu navegador. Ten especial cuidado con los anuncios en los motores de búsqueda, ya que también pueden llevar a páginas falsas.

Sitios web falsos para la recopilación de datos

Muchos sitios fraudulentos tienen como objetivo robar datos personales como nombre, dirección, datos bancarios o número de tarjeta de crédito. Estos sitios a menudo parecen reales y te piden que introduzcas información. Nunca introduzcas datos confidenciales a través de enlaces en correos electrónicos, sino que accede siempre manualmente a los sitios web relevantes a través de la URL que conoces.

Woman at a coffee table staring intently at her smartphone in one hand while holding a bank card in the other.
Laptop with a warning message on the screen, with a woman sitting in front of it on a sofa

Malware en archivos adjuntos y descargas

Muchos correos electrónicos de phishing contienen archivos adjuntos o enlaces que pueden cargar ransomware, software de extorsión u otro malware en tu dispositivo. Los delincuentes a menudo disfrazan estos archivos como documentos aparentemente inofensivos, materiales de solicitud o actualizaciones de software. Los códigos QR también pueden llevar a enlaces peligrosos que propagan malware. Por lo tanto, sé especialmente cuidadoso si se te envía un archivo inesperadamente y verifica la fuente cuidadosamente antes de abrirlo.

StayInformed

Reconoce el phishing con un truco sencillo:

Pasa el ratón por encima de un enlace (sin hacer clic). La dirección real se muestra en la parte inferior del navegador o en Outlook. ¿Es diferente del objetivo especificado? No hagas clic.

Ingeniería social e IA: nuevas trampas de los estafadores

Ataques de phishing altamente individualizados (spear-phishing)

Los ciberdelincuentes utilizan la ingeniería social dirigida para dirigirse individualmente a la persona objetivo. Los sectores de infraestructura crítica y las personas en puestos de liderazgo tienen más probabilidades de verse afectados, ya que se puede obtener información valiosa de ellos.

Textos de phishing a través de inteligencia artificial (IA)

Los ciberdelincuentes utilizan cada vez más generadores de texto basados en IA para crear mensajes que son gramatical y ortográficamente correctos y, por lo tanto, parecen confiables.

Preguntas frecuentes: Preguntas frecuentes sobre phishing

Show content of ¿Cómo reconozco una dirección de correo electrónico falsa?

  • Dominios desviados: [nombre.apellido@organizaciong1obal.com] en lugar de [nombre.apellido@organizacionglobal.com]
  • Letras reemplazadas: Cirílico "o" en lugar de Latín "o"
  • Caracteres añadidos: [nombre.apellido@organisacion.com]

Show content of ¿Cómo reconozco una URL confiable?

  • HTTPS en lugar de HTTP: Los sitios seguros utilizan "https://" con un símbolo de candado
  • Sin errores tipográficos/"caracteres incorrectos": Comprueba si hay ortografía o caracteres inusuales de otros alfabetos (por ejemplo, "g00gle.com" en lugar de "google.com")
  • Dominios oficiales: comprueba qué dominio utiliza habitualmente la empresa u organización; las grandes empresas también utilizan terminaciones conocidas (.com, .es)
  • Sin caracteres innecesarios: Las URL largas o crípticas suelen ser sospechosas
  • Entrada manual: Evita hacer clic en los enlaces de los correos electrónicos, escribe la URL tú mismo

Show content of ¿Puede ocurrir el phishing a través de SMS o aplicaciones de mensajería?

  • Sí, es posible. En el llamado "smishing", los estafadores envían SMS o mensajes de texto a través de aplicaciones de mensajería en los que te piden que hagas clic en un enlace contenido bajo un pretexto. Esto lleva a una página de inicio de sesión falsa o a una descarga que contiene malware.
  • Los ataques de phishing a través de SMS o mensajes de texto en nombre de servicios de entrega como DHL y FedEx son particularmente comunes, anunciando supuestos paquetes o problemas con su entrega.

Sigue explorando temas relacionados como…

Woman scans a QR code on an e-scooter

Quishing Quishing

Woman with a shocked expression on her face clutches her heart with her hand while holding a phone to her ear.

Vishing Vishing

Password Security

More Seguridad de contraseñas