Phishing: como reconocer un email falso

Los ataques de phishing cuestan miles de millones de dolares cada ano. Los emails son cada vez mas sofisticados, pero aun hay formas confiables de detectarlos.

Que es el phishing?

El phishing es un ataque de ingenieria social donde criminales envian emails disfrazados de comunicaciones legitimas de organizaciones de confianza — bancos, empresas tecnologicas, agencias gubernamentales o empleadores — para enganar a los destinatarios y que revelen informacion sensible, hagan clic en enlaces maliciosos o descarguen malware. El termino viene de "fishing" (pescar) — lanzar una red amplia y esperar que alguien muerda el anzuelo.

El phishing ha evolucionado mucho mas alla de los emails burdos del "principe nigeriano" de principios de los 2000. Las campanas modernas de phishing usan emails disenados profesionalmente que replican perfectamente la marca, el diseno y el tono de empresas legitimas. Algunas usan IA para generar mensajes personalizados basados en informacion sobre el objetivo recopilada de redes sociales y filtraciones de datos.

Las senales de alerta a vigilar

A pesar de su creciente sofisticacion, la mayoria de los emails de phishing comparten caracteristicas comunes que pueden ayudarte a identificarlos:

  • Direccion del remitente sospechosa: El nombre mostrado puede decir "Seguridad PayPal" pero la direccion real es algo como "security@paypa1-verify.com." Verifica siempre la direccion completa del remitente, no solo el nombre mostrado.
  • Urgencia y miedo: "Tu cuenta sera suspendida en 24 horas," "Acceso no autorizado detectado," "Debes verificar inmediatamente." Las empresas legitimas rara vez envian emails que inducen panico exigiendo accion inmediata.
  • Saludos genericos: "Estimado cliente" o "Estimado usuario" en lugar de tu nombre real. Las empresas donde tienes cuentas conocen tu nombre y lo usan.
  • Enlaces sospechosos: Pasa el cursor (no hagas clic!) sobre cualquier enlace en el email. Si la URL no coincide con el dominio legitimo de la empresa, es phishing. Busca errores ortograficos sutiles: "arnazon.com" en lugar de "amazon.com."
  • Archivos adjuntos inesperados: Las empresas legitimas rara vez envian adjuntos no solicitados. Ten especial cuidado con .zip, .exe, .js o documentos de Office con macros.
  • Mala gramatica y formato: Aunque esto es menos fiable a medida que la IA mejora, muchos emails de phishing aun contienen errores gramaticales sutiles, formato inconsistente o logos de baja resolucion.

Las variantes mas peligrosas

Spear phishing apunta a individuos especificos usando informacion personal recopilada de redes sociales, sitios web de empresas o filtraciones de datos. Un email que menciona tu cargo especifico, proyectos recientes o colegas por nombre es mucho mas convincente que un envio masivo generico.

Business email compromise (BEC) implica suplantar a un ejecutivo de la empresa o proveedor para enganar a los empleados y que transfieran fondos o compartan datos sensibles. Los ataques BEC causaron mas de $2,7 mil millones en perdidas solo en 2022.

Clone phishing toma un email legitimo que realmente has recibido y lo recrea con enlaces o adjuntos maliciosos, enviandolo desde una direccion falsificada que se parece mucho al remitente original.

Que hacer cuando detectas un email de phishing

  • No hagas clic en ningun enlace ni descargues archivos adjuntos.
  • No respondas al email.
  • Si el email afirma ser de una empresa que usas, abre una nueva pestana del navegador y ve directamente al sitio web de la empresa (escribe la URL manualmente) para verificar tu cuenta.
  • Reporta el email como phishing en tu cliente de correo.
  • Si ya hiciste clic en un enlace o ingresaste credenciales, cambia inmediatamente tu contrasena en el sitio real y habilita la autenticacion de dos factores.

Prevencion mediante la gestion de direcciones

Una defensa contra el phishing poco apreciada es la gestion de direcciones de email. Si usas una direccion unica para cada servicio, puedes identificar inmediatamente intentos de phishing: un email que afirma ser de tu banco pero que llega a la direccion que usaste para un registro en un foro es obviamente falso.

Usar direcciones desechables de TempoMail para interacciones de baja confianza tambien reduce tu exposicion al phishing. Si una direccion temporal recibe un email de phishing, sabes que el servicio para el que se uso ha sido filtrado o ha vendido tus datos — y puedes simplemente descartar la direccion sin ningun riesgo para tu identidad real.

← Volver a todas las guías