Cómo protegerse de los correos de phishing y los sitios web falsos
El phishing es una de las formas más comunes en que los estafadores roban credenciales, vacían cuentas bancarias y obtienen acceso a información confidencial. La buena noticia: puede aprender a reconocer y evitar los ataques de phishing.
¿Qué es el phishing?
El phishing es una estafa en la que los atacantes se hacen pasar por organizaciones legítimas (bancos, PayPal, Microsoft, Apple, etc.) para engañarlo y hacer que revele contraseñas, números de tarjetas de crédito u otra información confidencial. La mayoría del phishing ocurre por correo electrónico, pero también sucede a través de mensajes de texto (smishing), llamadas telefónicas (vishing) y sitios web falsos.
Por qué el phishing es tan eficaz
- Los correos falsos se ven casi idénticos a los reales
- Los atacantes crean una urgencia artificial ("Su cuenta será cerrada", "Actividad sospechosa detectada")
- A menudo las personas no revisan las URLs con cuidado
- La mayoría de las personas reciben miles de correos legítimos, lo que facilita pasar por alto uno falso
- Las empresas legítimas ocasionalmente envían correos similares, lo que confunde a las personas
Cómo detectar correos de phishing
Revise la dirección de correo del remitente
Esta es una de las verificaciones más importantes. Las empresas legítimas envían correos desde su dominio oficial. Un correo falso de "paypa1.com" (con un 1 en lugar de una l) o "secure-verification@banking.service" no es real.
Consejo:
Pase el cursor sobre el nombre del remitente en su correo para revelar la dirección de correo real. Algunos clientes de correo ocultan la dirección real de forma predeterminada.
Saludo sospechoso
Los correos de phishing suelen usar saludos genéricos como "Estimado cliente", "Estimado usuario" o "Estimado miembro valioso" en lugar de su nombre real. Las empresas legítimas conocen su nombre porque tienen la información de su cuenta.
Urgencia artificial o amenazas
"Su cuenta será cerrada en 24 horas", "Actividad inusual detectada", "Confirme su información ahora", "Su tarjeta ha sido comprometida". Estas frases generan pánico que impide pensar con cuidado.
Solicitudes de información confidencial
Las empresas legítimas NUNCA le pedirán que verifique contraseñas, números de tarjetas de crédito, números de Seguro Social u otra información confidencial por correo electrónico. Punto. Si un correo pide esto, es un intento de phishing.
Enlaces que no coinciden con el texto
Pase el cursor sobre cualquier enlace del correo (no haga clic). Observe la URL en la parte inferior de su pantalla. Si el texto del enlace dice "Haga clic aquí para verificar su cuenta" pero la URL real es "malicious-site.com", es phishing.
Errores de ortografía, gramática o formato
Las empresas profesionales revisan sus comunicaciones. Los correos con errores de ortografía, frases extrañas o mal formato suelen ser intentos de phishing. Sin embargo, algunos correos de phishing están bien redactados, así que no se base solo en esto.
Archivos adjuntos inesperados
Las empresas legítimas normalmente no envían archivos adjuntos no solicitados. Desconfíe especialmente de archivos de Excel, PDFs o descargas de software que no solicitó. A menudo contienen malware.
SEÑAL DE ALERTA: "Haga clic aquí para confirmar" o "Verifique ahora"
Cualquier correo que le pida hacer clic en un enlace para "confirmar", "verificar", "actualizar" o "validar" su cuenta probablemente sea phishing. Las empresas legítimas pueden pedirle que inicie sesión, pero lo dirigirán a su sitio web oficial, no mediante enlaces de correo.
Cómo verificar las URLs
Las URLs son fáciles de falsificar. Así puede comprobar si un sitio web es legítimo:
Revise el dominio (la parte principal de la URL)
La URL real de Coinbase es coinbase.com. Los sitios falsos podrían usar:
- coibase.com (falta la i o está cambiada)
- coinbase-secure.com (agregando palabras)
- coinbase.net o coinbase.co (extensión diferente)
- mycoinbase.com (agregando un prefijo)
Escriba la URL directamente en su navegador de memoria o desde una fuente confiable. Nunca haga clic en enlaces de correos o mensajes.
Busque el candado (HTTPS)
Los sitios web legítimos usan HTTPS (conexión segura). Busque el icono de un candado en la barra de direcciones de su navegador. Aunque HTTPS es estándar, algunos sitios de phishing también lo usan, así que esto ayuda pero no es suficiente por sí solo.
Verifique el certificado SSL
Haga clic en el candado para ver el certificado SSL. Debería mostrar el nombre de la empresa legítima. Si muestra un nombre diferente o un proveedor de certificados genérico, probablemente sea falso.
Vaya directamente al sitio web oficial
No haga clic en los enlaces del correo. En su lugar, escriba el sitio web de la empresa en su navegador o use un marcador. Esto asegura que está visitando el sitio real. Si hay algún problema con su cuenta, lo verá al iniciar sesión directamente.
Use las herramientas de seguridad del navegador
Los navegadores modernos (Chrome, Firefox, Safari, Edge) tienen detección de phishing integrada. Pueden advertirle si está a punto de visitar un sitio de phishing conocido. Preste atención a estas advertencias.
Cómo proteger sus cuentas
Active la autenticación de dos factores (2FA)
Incluso si un estafador obtiene su contraseña mediante phishing, no podrá iniciar sesión sin un segundo factor (normalmente un código de su teléfono). Active 2FA en:
- Cuentas de correo electrónico
- Cuentas bancarias y financieras
- Cuentas de redes sociales
- Gestores de contraseñas
- Cualquier cuenta con información confidencial
Use aplicaciones de autenticación (Google Authenticator, Authy) en lugar de SMS cuando sea posible, ya que los SMS pueden ser interceptados.
Use contraseñas únicas y seguras
Use un gestor de contraseñas (1Password, Bitwarden, LastPass) para generar y almacenar contraseñas únicas para cada cuenta. Si una contraseña se ve comprometida por phishing, las demás permanecen seguras.
Nunca ingrese contraseñas en enlaces de correo
Incluso si un correo parece legítimo y le pide "confirmar su contraseña", no haga clic en el enlace. Inicie sesión directamente en el sitio web (escriba la URL usted mismo) para comprobar si algo anda mal.
Revise sus cuentas con regularidad
Vigile sus cuentas bancarias, de tarjetas de crédito y de correo en busca de actividad sospechosa. Muchas filtraciones pasan desapercibidas durante meses. La detección temprana puede evitar pérdidas significativas.
Qué hacer si hace clic en un enlace de phishing
Hizo clic en el enlace pero no ingresó información
Probablemente esté bien. Simplemente cierre la página de inmediato. No permanezca en el sitio web falso. Vigile su correo y sus cuentas en busca de actividad inusual, pero no se comprometió información confidencial.
Ingresó su contraseña
Cambie su contraseña de inmediato en el sitio web real (no haciendo clic en enlaces de correo). Use una contraseña fuerte y única. Active 2FA si aún no lo ha hecho. Vigile su cuenta en busca de actividad no autorizada.
Ingresó información de tarjeta de crédito, bancaria o personal
Comuníquese de inmediato con su banco y su compañía de tarjeta de crédito. Reporte el fraude. Ellos pueden:
- Vigilar sus cuentas en busca de transacciones sospechosas
- Disputar cargos fraudulentos
- Emitir nuevas tarjetas si es necesario
También congele su crédito para prevenir el robo de identidad. Comuníquese con las tres agencias de crédito (Equifax, Experian, TransUnion).
Reporte el phishing
Repórtelo a la empresa suplantada
La mayoría de las empresas tienen un correo para reportar phishing (normalmente phishing@companyname.com). Reenvíeles el correo de phishing (incluya los encabezados completos si es posible). Ellos pueden cerrar sitios web falsos y advertir a otros clientes.
Repórtelo a su proveedor de correo
Gmail, Outlook y otros servicios de correo tienen botones para reportar. Marcar los correos de phishing como "phishing" ayuda a mejorar sus sistemas de detección.
Repórtelo a la FTC
Reporte el phishing y el robo de credenciales en reportfraud.ftc.gov. Esto crea un registro oficial y ayuda a las autoridades a identificar patrones.
Reporte las URLs de phishing
Envíe los sitios web de phishing a bases de datos de abuso como PhishTank.com. Esto ayuda a los navegadores y proveedores de seguridad a bloquear los sitios.
Recuerde: las empresas legítimas nunca piden contraseñas por correo
Esta es la regla de oro. Su banco, su proveedor de correo, PayPal, Amazon o cualquier organización legítima nunca le pedirá que verifique su contraseña, número de Seguro Social o tarjeta de crédito por correo electrónico. Si necesitan contactarlo sobre su cuenta, lo dirigirán a iniciar sesión directamente en su sitio web seguro, no a través de enlaces de correo.
