Volver a las guías

Cómo protegerse de los correos de phishing y los sitios web falsos

El phishing es una de las formas más comunes en que los estafadores roban credenciales, vacían cuentas bancarias y obtienen acceso a información confidencial. La buena noticia: puede aprender a reconocer y evitar los ataques de phishing.

¿Qué es el phishing?

El phishing es una estafa en la que los atacantes se hacen pasar por organizaciones legítimas (bancos, PayPal, Microsoft, Apple, etc.) para engañarlo y hacer que revele contraseñas, números de tarjetas de crédito u otra información confidencial. La mayoría del phishing ocurre por correo electrónico, pero también sucede a través de mensajes de texto (smishing), llamadas telefónicas (vishing) y sitios web falsos.

Por qué el phishing es tan eficaz

  • Los correos falsos se ven casi idénticos a los reales
  • Los atacantes crean una urgencia artificial ("Su cuenta será cerrada", "Actividad sospechosa detectada")
  • A menudo las personas no revisan las URLs con cuidado
  • La mayoría de las personas reciben miles de correos legítimos, lo que facilita pasar por alto uno falso
  • Las empresas legítimas ocasionalmente envían correos similares, lo que confunde a las personas

Cómo detectar correos de phishing

Revise la dirección de correo del remitente

Esta es una de las verificaciones más importantes. Las empresas legítimas envían correos desde su dominio oficial. Un correo falso de "paypa1.com" (con un 1 en lugar de una l) o "secure-verification@banking.service" no es real.

Consejo:

Pase el cursor sobre el nombre del remitente en su correo para revelar la dirección de correo real. Algunos clientes de correo ocultan la dirección real de forma predeterminada.

Saludo sospechoso

Los correos de phishing suelen usar saludos genéricos como "Estimado cliente", "Estimado usuario" o "Estimado miembro valioso" en lugar de su nombre real. Las empresas legítimas conocen su nombre porque tienen la información de su cuenta.

Urgencia artificial o amenazas

"Su cuenta será cerrada en 24 horas", "Actividad inusual detectada", "Confirme su información ahora", "Su tarjeta ha sido comprometida". Estas frases generan pánico que impide pensar con cuidado.

Solicitudes de información confidencial

Las empresas legítimas NUNCA le pedirán que verifique contraseñas, números de tarjetas de crédito, números de Seguro Social u otra información confidencial por correo electrónico. Punto. Si un correo pide esto, es un intento de phishing.

Enlaces que no coinciden con el texto

Pase el cursor sobre cualquier enlace del correo (no haga clic). Observe la URL en la parte inferior de su pantalla. Si el texto del enlace dice "Haga clic aquí para verificar su cuenta" pero la URL real es "malicious-site.com", es phishing.

Errores de ortografía, gramática o formato

Las empresas profesionales revisan sus comunicaciones. Los correos con errores de ortografía, frases extrañas o mal formato suelen ser intentos de phishing. Sin embargo, algunos correos de phishing están bien redactados, así que no se base solo en esto.

Archivos adjuntos inesperados

Las empresas legítimas normalmente no envían archivos adjuntos no solicitados. Desconfíe especialmente de archivos de Excel, PDFs o descargas de software que no solicitó. A menudo contienen malware.

SEÑAL DE ALERTA: "Haga clic aquí para confirmar" o "Verifique ahora"

Cualquier correo que le pida hacer clic en un enlace para "confirmar", "verificar", "actualizar" o "validar" su cuenta probablemente sea phishing. Las empresas legítimas pueden pedirle que inicie sesión, pero lo dirigirán a su sitio web oficial, no mediante enlaces de correo.

Cómo verificar las URLs

Las URLs son fáciles de falsificar. Así puede comprobar si un sitio web es legítimo:

Revise el dominio (la parte principal de la URL)

La URL real de Coinbase es coinbase.com. Los sitios falsos podrían usar:

  • coibase.com (falta la i o está cambiada)
  • coinbase-secure.com (agregando palabras)
  • coinbase.net o coinbase.co (extensión diferente)
  • mycoinbase.com (agregando un prefijo)

Escriba la URL directamente en su navegador de memoria o desde una fuente confiable. Nunca haga clic en enlaces de correos o mensajes.

Busque el candado (HTTPS)

Los sitios web legítimos usan HTTPS (conexión segura). Busque el icono de un candado en la barra de direcciones de su navegador. Aunque HTTPS es estándar, algunos sitios de phishing también lo usan, así que esto ayuda pero no es suficiente por sí solo.

Verifique el certificado SSL

Haga clic en el candado para ver el certificado SSL. Debería mostrar el nombre de la empresa legítima. Si muestra un nombre diferente o un proveedor de certificados genérico, probablemente sea falso.

Vaya directamente al sitio web oficial

No haga clic en los enlaces del correo. En su lugar, escriba el sitio web de la empresa en su navegador o use un marcador. Esto asegura que está visitando el sitio real. Si hay algún problema con su cuenta, lo verá al iniciar sesión directamente.

Use las herramientas de seguridad del navegador

Los navegadores modernos (Chrome, Firefox, Safari, Edge) tienen detección de phishing integrada. Pueden advertirle si está a punto de visitar un sitio de phishing conocido. Preste atención a estas advertencias.

Cómo proteger sus cuentas

Active la autenticación de dos factores (2FA)

Incluso si un estafador obtiene su contraseña mediante phishing, no podrá iniciar sesión sin un segundo factor (normalmente un código de su teléfono). Active 2FA en:

  • Cuentas de correo electrónico
  • Cuentas bancarias y financieras
  • Cuentas de redes sociales
  • Gestores de contraseñas
  • Cualquier cuenta con información confidencial

Use aplicaciones de autenticación (Google Authenticator, Authy) en lugar de SMS cuando sea posible, ya que los SMS pueden ser interceptados.

Use contraseñas únicas y seguras

Use un gestor de contraseñas (1Password, Bitwarden, LastPass) para generar y almacenar contraseñas únicas para cada cuenta. Si una contraseña se ve comprometida por phishing, las demás permanecen seguras.

Nunca ingrese contraseñas en enlaces de correo

Incluso si un correo parece legítimo y le pide "confirmar su contraseña", no haga clic en el enlace. Inicie sesión directamente en el sitio web (escriba la URL usted mismo) para comprobar si algo anda mal.

Revise sus cuentas con regularidad

Vigile sus cuentas bancarias, de tarjetas de crédito y de correo en busca de actividad sospechosa. Muchas filtraciones pasan desapercibidas durante meses. La detección temprana puede evitar pérdidas significativas.

Qué hacer si hace clic en un enlace de phishing

Hizo clic en el enlace pero no ingresó información

Probablemente esté bien. Simplemente cierre la página de inmediato. No permanezca en el sitio web falso. Vigile su correo y sus cuentas en busca de actividad inusual, pero no se comprometió información confidencial.

Ingresó su contraseña

Cambie su contraseña de inmediato en el sitio web real (no haciendo clic en enlaces de correo). Use una contraseña fuerte y única. Active 2FA si aún no lo ha hecho. Vigile su cuenta en busca de actividad no autorizada.

Ingresó información de tarjeta de crédito, bancaria o personal

Comuníquese de inmediato con su banco y su compañía de tarjeta de crédito. Reporte el fraude. Ellos pueden:

  • Vigilar sus cuentas en busca de transacciones sospechosas
  • Disputar cargos fraudulentos
  • Emitir nuevas tarjetas si es necesario

También congele su crédito para prevenir el robo de identidad. Comuníquese con las tres agencias de crédito (Equifax, Experian, TransUnion).

Reporte el phishing

Repórtelo a la empresa suplantada

La mayoría de las empresas tienen un correo para reportar phishing (normalmente phishing@companyname.com). Reenvíeles el correo de phishing (incluya los encabezados completos si es posible). Ellos pueden cerrar sitios web falsos y advertir a otros clientes.

Repórtelo a su proveedor de correo

Gmail, Outlook y otros servicios de correo tienen botones para reportar. Marcar los correos de phishing como "phishing" ayuda a mejorar sus sistemas de detección.

Repórtelo a la FTC

Reporte el phishing y el robo de credenciales en reportfraud.ftc.gov. Esto crea un registro oficial y ayuda a las autoridades a identificar patrones.

Reporte las URLs de phishing

Envíe los sitios web de phishing a bases de datos de abuso como PhishTank.com. Esto ayuda a los navegadores y proveedores de seguridad a bloquear los sitios.

Recuerde: las empresas legítimas nunca piden contraseñas por correo

Esta es la regla de oro. Su banco, su proveedor de correo, PayPal, Amazon o cualquier organización legítima nunca le pedirá que verifique su contraseña, número de Seguro Social o tarjeta de crédito por correo electrónico. Si necesitan contactarlo sobre su cuenta, lo dirigirán a iniciar sesión directamente en su sitio web seguro, no a través de enlaces de correo.

Cómo protegerse de los correos de phishing y los sitios web falsos | AVASC