Preguntas Frecuentes - FAQ

Ejemplos de correos electrónicos de phishing y cómo reconocerlos

Supongamos que recibes un correo electrónico de citibanamex@sucuenta.com en el que te afirman que han identificado actividad sospechosa en el extracto de tu tarjeta de crédito y te piden que verifiques tu información financiera. ¿Qué haces? Si bien podrías tener la tentación de hacer clic en el enlace para resolver el problema de inmediato, es probable que esto sea obra de un ciberdelincuente. El fraude electrónico de suplantación de identidad o phishing es una estafa que engaña a las personas para que proporcionen información personal importante de manera voluntaria. 

¿Qué es el phishing?

El phishing es un ciberdelito que busca robar tu información confidencial. Los estafadores se hacen pasar por grandes empresas u otras entidades de confianza para convencerte de entregarles voluntariamente tu información, tal como tus credenciales de acceso a sitios web, casillas de correo, paneles de control, o peor, el número de tu tarjeta de crédito.

¿Qué es un correo electrónico o mensaje de texto de phishing?

Un correo electrónico o mensaje de texto de phishing (también conocido como SMiShing) es un mensaje fraudulento que parece legítimo. Por lo general, te pide que proporciones información personal confidencial de diferentes maneras. Si no observas detenidamente los correos electrónicos o los mensajes de texto, es posible que no logres distinguir entre un mensaje normal y uno de phishing. Los estafadores se esfuerzan por hacer que los mensajes de phishing se parezcan en gran medida a los correos electrónicos y mensajes de texto enviados por empresas de confianza, por lo que debes tener cuidado al abrir estos mensajes y evitar hacer clic en los enlaces que contienen.

¿Cómo reconozco un mensaje de phishing?

Los estafadores de phishing a menudo se delatan a sí mismos al cometer errores simples que son fáciles de detectar cuando aprendes a reconocerlos. Busca las siguientes señales de phishing cada vez que abras un correo electrónico o mensaje de texto:

Está mal redactado 

Hasta las empresas más grandes cometen de vez en cuando pequeños errores en sus comunicaciones. Sin embargo, los mensajes de phishing a menudo contienen errores gramaticales y ortográficos, u otros errores bastante obvios que las grandes corporaciones no cometerían. Si ves varios errores gramaticales evidentes en un correo electrónico o mensaje de texto que solicita tu información personal, es posible que seas objeto de una estafa de phishing.

El logotipo tiene un aspecto extraño

Para que parezca más legítimo, los estafadores de phishing suelen robar los logotipos de las empresas por las que se hacen pasar. Pero en muchos casos, no roban los logotipos corporativos correctamente. Un logotipo de un correo electrónico o mensaje de texto de phishing podría tener dimensiones incorrectas o una resolución baja. Si tienes que entrecerrar los ojos para distinguir el logotipo en un mensaje, lo más probable es que se trate de phishing.

La URL parece sospechosa

El phishing siempre se centra en los enlaces en los que quiere que hagas clic. Aquí hay algunas formas de verificar si un enlace que alguien te envió es legítimo:

• Sin hacer clic, ubica el cursor sobre el enlace en el correo electrónico para que aparezca la URL. A menudo, las URL de phishing contienen errores ortográficos, o números en lugar de letras, una señal común del phishing. Si ubicas el cursor sobre el enlace, verás una vista previa del enlace. Si la URL parece sospechosa, no interactúes con ella.
• Haz clic derecho en el enlace, copia y pega la dirección URL en un procesador de texto. Esto te permitirá examinar el enlace en detalle, en busca de errores gramaticales o de ortografía, sin que te dirijas a la página web potencialmente maliciosa.
• Para verificar la URL de un enlace en dispositivos móviles, mantenla presionada con un dedo.

Si la URL que aparece no coincide con la entidad que supuestamente te envió el mensaje, probablemente recibiste un correo electrónico de phishing.

Tipos de correos electrónicos y SMS de phishing

Los mensajes de phishing vienen en todas las formas y tamaños, pero hay algunos tipos que son más comunes que otros. Repasemos algunos ejemplos de las estafas de phishing más frecuentes:

Estafa de cuenta suspendida

Algunos mensajes de phishing supuestamente te notifican que tu hosting suspendió temporalmente tu cuenta debido a una actividad inusual. Si recibes un correo electrónico de suspensión de cuenta de parte del hosting o una empresa con el que no has abierto una cuenta, no dudes en eliminarlo inmediatamente. Por el contrario, los correos electrónicos de phishing de suspensión de cuentas de empresas de los que sí eres cliente son más difíciles de detectar. Usa los métodos que enumeramos anteriormente para verificar la integridad del correo electrónico y, si todo lo demás falla, comunícate con tu hosting directamente en lugar de abrir los enlaces dentro del correo electrónico que recibiste.

Estafa de autenticación de dos factores

La autenticación de dos factores, o 2FA, se ha vuelto común, así que probablemente ya te has acostumbrado a recibir correos electrónicos que te piden que confirmes tu información de inicio de sesión con códigos numéricos de seis dígitos. Los estafadores de phishing también saben que la 2FA se ha convertido en algo estándar y podrían aprovechar este servicio que se supone que protege tu identidad. Si recibes un correo electrónico pidiéndote que inicies sesión en una cuenta para confirmar tu identidad, usa los criterios de arriba para verificar la autenticidad del mensaje. Ten especial cuidado si se te solicita una autenticación de dos factores para una cuenta a la que no has accedido por un tiempo.

Estafa de confirmación de pedidos

A veces, los ciberdelincuentes intentarán engañarte enviando correos electrónicos con confirmaciones de pedidos falsos. Estos mensajes a menudo contienen “facturas de compra” adjuntas al correo electrónico o enlaces que afirman contener más información sobre el supuesto pedido. Sin embargo, los delincuentes suelen utilizar estos archivos adjuntos y enlaces para infectar los dispositivos de sus víctimas con malware.

Phishing en el trabajo

También debes tener cuidado con el phishing cuando uses tu correo electrónico del trabajo. Una conocida estafa de phishing consiste en correos electrónicos diseñados para parecerse a los enviados por algún directivo de la empresa. Estos mensajes les piden a los trabajadores que transfieran fondos a supuestos clientes, pero este dinero en realidad es dirigido a los estafadores. Usa los consejos indicados anteriormente para detectar estos correos electrónicos fraudulentos.

Cuando el phishing pasa inadvertido

A menudo, los hackers buscan formas de actualizar trampas antiguas para que los usuarios que ya conocen ciertas amenazas cibernéticas no los detecten. Tal es el caso de la técnica más reciente de evasión de phishing, que detecta máquinas virtuales para poder pasar inadvertida. Las empresas de ciberseguridad suelen usar equipos sin pantalla o máquinas virtuales (un archivo informático que se comporta como una computadora real) para determinar si un sitio web es en realidad una página de phishing. Pero ahora, algunos kits de phishing contienen JavaScript, un lenguaje de programación que permite ejecutar funciones complejas en páginas web, y que verifica si una máquina virtual está analizando la página. Si detecta algún intento de análisis, el kit de phishing mostrará una página en blanco en lugar de la página de phishing, lo que permitirá que la estafa eluda la detección. Para asegurarse de no caer en las últimas estafas de phishing, mantente al día sobre las técnicas de phishing más recientes para que puedas estar un paso por delante de los ciberdelincuentes.

¿Qué sucede si hago clic en un enlace de un correo electrónico de phishing?

Nunca hagas clic en enlaces de correos electrónicos sospechosos. Si haces clic en un enlace enviado por un estafador de phishing, el enlace te llevará a una página web con un formulario donde te piden ingresar datos confidenciales, como tu documento de identidad, la información de tu tarjeta de crédito o tus credenciales de inicio de sesión. No ingreses ningún dato en esta página.

¿Qué debo hacer si sospecho que he sido víctima de phishing?

Si ingresas accidentalmente datos en una página web vinculada a un correo electrónico sospechoso, realiza un análisis completo de malware en tu dispositivo. Una vez que se complete el análisis, haz una copia de seguridad de todos tus archivos y cambia tus contraseñas. Incluso si solo le proporcionaste a un estafador de phishing los datos de una sola cuenta, es posible que también hayas abierto la puerta a otros datos personales, por lo que es importante cambiar todas las contraseñas que usas en línea después de un posible ataque de phishing.

Consejos para reconocer un correo electrónico de phishing

Terminemos con algunos consejos resumidos para evitar los correos electrónicos de phishing:

• En caso de duda, comunícate directamente con la organización que supuestamente te envió el mensaje en lugar de abrir enlaces incluidos en correos electrónicos sospechosos.
• Examina los mensajes sospechosos detenidamente en busca de indicios de phishing, como mala gramática, logotipos pixelados o enlaces falsos.
• Si haces clic accidentalmente en un enlace de phishing, no ingreses ningún dato y cierra la página.
• Si crees que has sido blanco de phishing, ejecuta un análisis en busca de virus, haz una copia de seguridad de tus archivos y cambia todas tus contraseñas.