Seguridad frente a phishing: guía completa para no caer en la trampa

Portada » Windows » Seguridad frente a phishing: guía completa para no caer en la trampa

Hoy en día vivimos pegados al móvil, al correo y a las redes, y eso tiene una cara B: los ciberdelincuentes aprovechan cualquier despiste para intentar colarnos una estafa. El phishing y todas sus variantes (vishing, smishing, spear phishing, whaling, etc.) se han convertido en una de las amenazas más habituales tanto para usuarios particulares como para empresas.

Aunque creamos que ya controlamos el spam, los ataques actuales son cada vez más creíbles: copian logos, suplantan webs oficiales, utilizan datos reales sobre nosotros y juegan con la urgencia y el miedo. Por eso, si quieres tener una buena seguridad frente a phishing, necesitas saber cómo funcionan estos engaños, qué señales los delatan y qué medidas prácticas aplicar para no caer en la trampa.

¿Qué es exactamente el phishing?

El phishing es una técnica de ingeniería social mediante la cual un atacante se hace pasar por una entidad fiable (banco, administración pública, empresa conocida, red social, servicio de mensajería, etc.) para convencerte de que realices una acción que le dé acceso a tu información o a tus dispositivos.

El objetivo final suele ser que la víctima revele datos sensibles (credenciales de acceso, números de tarjeta, datos bancarios, documentos personales) o que ejecute algo que permita instalar malware. La acción que te piden puede ser muy variada: abrir un archivo adjunto, hacer clic en un enlace, rellenar un formulario o responder con cierta información.

En la práctica, las campañas de phishing suelen combinar mensajes muy convincentes con sitios web falsificados que imitan casi a la perfección a los oficiales. Cuando introduces tus credenciales en esa página clonada, en realidad se las estás entregando directamente al delincuente. Para disimular, muchas veces, tras robar los datos, te redirigen al sitio legítimo, de modo que tardas en darte cuenta de que te han estafado.

El medio más común sigue siendo el correo electrónico, pero hoy el phishing se ha extendido a mensajes SMS, llamadas telefónicas, redes sociales, aplicaciones de mensajería e incluso resultados de búsqueda. Cualquier canal digital es susceptible de convertirse en un anzuelo.

Cómo funciona un ataque de phishing típico

La base de cualquier ataque de phishing es siempre la misma: confianza + urgencia. Primero el atacante se gana (o simula) tu confianza haciéndose pasar por alguien conocido o una entidad seria, y después introduce un componente de presión para que actúes rápido, sin pensar demasiado.

Un escenario clásico sería este: abres tu bandeja de entrada y aparece un mensaje supuestamente de tu banco alertando de un problema con tu cuenta. El correo incluye un enlace para “verificar tu usuario y contraseña”. Al pulsarlo, se abre una página que parece idéntica a la del banco. Introduces tus datos, pero en realidad estás en un sitio controlado por el estafador. Tras capturar tus credenciales, te redirige al banco real y tú sigues navegando como si nada, mientras tus datos de acceso ya han sido robados.

En otros casos, el gancho puede ser un falso aviso de impuestos, una supuesta devolución, un premio inesperado o un mensaje que dice venir de un organismo oficial. El patrón se repite: usar un tema creíble, asociado a dinero o seguridad, y un lenguaje que te empuje a actuar de inmediato.

Además, los ciberdelincuentes no siempre se conforman con acceder a tu información. Si consiguen controlar tu correo o tus redes sociales, pueden enviar nuevos mensajes de phishing a tus contactos suplantando tu identidad, logrando así que otras personas caigan en la trampa gracias a esa confianza previa.

¿Quién puede ser víctima de phishing?

Cualquier persona con una dirección de correo, un número de teléfono o una cuenta en redes sociales es un posible objetivo. Hoy todo el mundo, desde niños hasta personas mayores, utiliza dispositivos conectados, y nuestros datos de contacto son cada vez más fáciles de conseguir a través de filtraciones, redes sociales, foros, directorios públicos o simples combinaciones automatizadas de nombres y dominios.

No hace falta “ser importante” para que intenten estafarte: a los atacantes les basta con que alguien pique. Algunos ataques son masivos, se lanzan a millones de direcciones esperando que un pequeño porcentaje responda. Otros, en cambio, son muy selectivos y personalizados, centrados en personas concretas o roles específicos dentro de una organización.

Cuando el ataque se diseña expresamente contra un individuo, una empresa o un grupo concreto, hablamos de spear phishing. Si además el objetivo es un directivo, un CEO u otro cargo de alto nivel, se suele hablar de whaling (ir a por el “pez gordo”), ya que el potencial beneficio económico es muy superior.

Tipos de ataques de phishing más habituales

Los intentos de phishing pueden llegarte por prácticamente cualquier vía digital. Conviene conocer las principales modalidades para que te suenen las alarmas en cuanto veas algo raro.

1. Phishing masivo o spam phishing
Es el típico correo o mensaje masivo que se envía a grandes listas de destinatarios, muchas veces obtenidas de forma automática. Funciona como el “correo basura” de toda la vida, pero con un componente de estafa. El objetivo es que un porcentaje pequeño de víctimas siga el enlace, abra el archivo adjunto o facilite datos.

Este tipo de campañas suele buscar tres cosas: conseguir dinero directo (pagos, “tasas”, falsas deudas), robar credenciales o números de tarjeta, o instalar malware en los dispositivos para usarlos después en otros ataques.

2. Phishing selectivo, spear phishing y whaling
En el spear phishing, el atacante se toma el tiempo de investigar a sus víctimas: analiza perfiles de redes sociales, datos filtrados, noticias sobre la empresa, organigramas, etc. Con esa información diseña correos muy creíbles, por ejemplo simulando ser un proveedor, un jefe de departamento o el propio director general.

En el caso del whaling, los objetivos son altos cargos o personas con acceso privilegiado a información sensible y a autorizaciones de pagos. Aquí el engaño puede durar semanas o meses, estableciendo previamente una relación de confianza, hasta que llega la petición clave: una transferencia, el envío de documentación, acceso a sistemas internos, etc.

3. Vishing (phishing por voz)
En el vishing, el gancho llega por teléfono. El delincuente llama haciéndose pasar por el banco, la policía, el soporte técnico o incluso un organismo público. Frecuentemente parte de información obtenida antes por phishing (por ejemplo, usuario y contraseña bancaria) y solo le falta el código SMS o token digital que valida la operación.

Con un discurso alarmista (“se ha detectado una operación fraudulenta, puede perder todo su dinero”) intenta que la víctima revele ese código de un solo uso. En cuanto lo tiene, confirma la transacción que ya tenía preparada y vacía la cuenta. Ningún banco serio te pedirá nunca por teléfono ese tipo de claves.

4. Smishing (phishing por SMS)
El smishing emplea mensajes de texto o mensajería móvil como WhatsApp para enviar avisos falsos del banco, de empresas de mensajería, de la administración tributaria o de otros servicios. El mensaje suele incluir un enlace acortado o un número al que llamar. El tono casi siempre es urgente: “último intento de entrega”, “bloqueo de cuenta”, “reembolso pendiente”, etc.

Al pulsar el enlace, acabas en una web fraudulenta donde te piden tus datos o se descarga malware en tu teléfono. Estos mensajes, al ser cortos y directos, explotan muy bien la impulsividad: es fácil hacer clic sin pensarlo demasiado.

5. Phishing en redes sociales y mensajería
En redes sociales, los atacantes crean perfiles falsos de empresas oficiales, de soporte técnico o incluso se hacen pasar por amigos o conocidos. Pueden prometernos premios, sorteos, regalos, ayudas o utilizar mensajes privados para ir ganando confianza y, pasado un tiempo, pedirnos datos, dinero o incluso fotos y vídeos íntimos (catphishing).

Otra técnica es clonar un perfil real y escribir a los contactos haciéndose pasar por esa persona que “ha perdido el móvil”, “está en el extranjero y necesita ayuda urgente” o cosas similares. Antes de enviar dinero o datos, conviene siempre validar por otro canal que la historia es real.

6. Phishing de clonación
En este caso, el atacante copia un correo legítimo que ya has recibido alguna vez (por ejemplo, una factura de tu operadora o una notificación de tu banco) y sustituye los enlaces o archivos adjuntos legítimos por otros maliciosos. A simple vista parece un mensaje igual al original, pero con el contenido manipulado para que, al pinchar, acabes en una web controlada por el atacante o ejecutes un archivo infectado.

7. Phishing desde sitios web y resultados de búsqueda
Más allá del correo, hay varias técnicas que atacan directamente a través de la navegación:

• Pharming: manipula la resolución DNS (en tu equipo o en servidores intermedios) para que, aunque escribas correctamente la URL legítima, termines redirigido a un sitio falso que la imita.
• Typosquatting: los delincuentes registran dominios muy parecidos a los auténticos (con una letra cambiada, añadida o sustituida, como “arneria” en lugar de “america”) para cazar a quienes se equivocan al teclear.
• Clickjacking: inserta capas invisibles sobre botones o formularios de una web legítima. Crees que estás haciendo clic en un elemento inofensivo, pero en realidad estás pulsando en un botón oculto que roba tus credenciales o cambia una acción.
• Tabnabbing: aprovecha pestañas abiertas y desatendidas en el navegador para recargarlas con una falsa pantalla de login de un servicio popular. Cuando vuelves a la pestaña, piensas que te ha caducado la sesión y vuelves a iniciar sesión… en un formulario de phishing.
• Phishing HTTPS: los atacantes consiguen certificados TLS para sus páginas falsas, de modo que tu navegador muestra el candado y “https”. Eso solo garantiza que la comunicación está cifrada, no que la web sea legítima.
• Evil twin: crea un punto de acceso Wi-Fi falso que imita a la red pública de un bar, aeropuerto o biblioteca. Si te conectas, el atacante puede espiar tu tráfico, redirigirte a webs falsas o inyectar contenido malicioso.
• Phishing en resultados de búsqueda (SEO/SEM phishing): usan técnicas de posicionamiento o anuncios de pago para que sus webs fraudulentas aparezcan por encima de las legítimas en buscadores. Si no te fijas bien y haces clic en la primera opción, puedes terminar en una página clonada que roba tus datos.

8. BEC y otros fraudes empresariales
En el compromiso de correo empresarial (BEC), los atacantes logran infiltrarse en la cadena de correos de una empresa o suplantan a un proveedor, director financiero o CEO. Piden transferencias “urgentes”, modifican cuentas bancarias de pago en facturas o solicitan datos confidenciales. El mensaje suele ser muy profesional y perfectamente adaptado al contexto de la organización.

9. Phishing relacionado con criptomonedas
Quienes manejan criptomonedas son un objetivo jugoso: a través de correos, webs falsas, apps fraudulentas o mensajes en redes, los atacantes intentan que la víctima revele las claves de su wallet, la frase semilla o que firme transacciones maliciosas. Una vez transferidos los fondos, recuperarlos es prácticamente imposible.

Ejemplos comunes de estafas de phishing

Hay determinados ganchos que se repiten una y otra vez, con pequeñas variaciones, porque funcionan muy bien a la hora de engañar:

Avisos bancarios falsos
Son correos o SMS que simulan venir de tu banco y que te avisan de movimientos sospechosos, bloqueo de tarjeta, actualización de datos o verificación de seguridad. Incluyen un enlace para “acceder a tu cuenta” que lleva a una web clonada del banco. Ahí te piden usuario, contraseña y, a veces, códigos de un solo uso.

Alertas de servicios online (Microsoft, Office 365, PayPal, Amazon…)
Muy habituales son los correos que dicen venir de Microsoft o de otros grandes servicios advirtiendo de que se van a borrar archivos, cerrar tu cuenta o suspender la licencia si no inicias sesión de inmediato. El enlace abre una pantalla de login falsa casi igual a la verdadera. Si introduces tus credenciales, pasan al atacante.

Premios, herencias y concursos sorpresa
Mensajes que te informan de que has ganado un premio sin haber participado, o de que un familiar lejano te ha dejado una herencia. Te piden rellenar formularios o pagar pequeñas “tasas administrativas” para cobrar. Estas estafas buscan tanto robar datos personales como obtener pagos directos.

Correo de un supuesto amigo en apuros
Un contacto conocido te escribe diciendo que está en el extranjero, ha perdido la cartera o ha sufrido un robo y necesita que le envíes dinero de forma urgente. A menudo el remitente es real porque el atacante ha comprometido previamente su cuenta y usa tu confianza para pedirte transferencias o recargas. Antes de ayudar, conviene llamar o contactar por otro canal.

Estafas ligadas a campañas de impuestos
Muy típicas en temporada de declaración de la renta: correos o SMS que dicen venir de Hacienda u otros organismos tributarios para notificar un reembolso, una revisión o una supuesta investigación. Siempre incluyen un enlace a una web falsa que te pide datos fiscales y bancarios detallados.

Phishing aprovechando crisis sanitarias o noticias de impacto
Durante la pandemia de COVID-19, se dispararon los mensajes que simulaban provenir de la OMS, ministerios de sanidad o gobiernos. Ofrecían información exclusiva, mapas de contagios o apps para “rastrear casos”, pero en realidad buscaban que el usuario descargase malware o facilitase datos bancarios, como ocurrió con el troyano bancario Ginp y su supuesto “buscador de coronavirus”.

Cómo identificar un correo o mensaje de phishing

Detectar un mensaje de phishing exige bajar un poco el ritmo y mirar los detalles. No se trata de volverse paranoico, pero sí de aplicar cierta desconfianza sana ante cualquier comunicación inesperada que pida datos o acciones urgentes.

Algunas señales muy habituales son:

• Llamadas a la acción urgentes o amenazantes: mensajes que insisten en que debes actuar ya para evitar un bloqueo, una multa, una pérdida de datos o para no perder un premio.
• Remitentes desconocidos o inusuales: correos desde direcciones que no te suenan, remitentes marcados como externos por tu sistema, o mensajes que supuestamente vienen de alguien conocido pero desde otro dominio (por ejemplo, un banco escribiendo desde una cuenta de Gmail).
• Errores de ortografía y gramática: aunque cada vez están más pulidos, muchos mensajes fraudulentos siguen teniendo fallos llamativos de redacción, traducciones raras o un tono poco profesional.
• Saludos genéricos: frases como “Estimado cliente” o “Señor/a” en vez de tu nombre y apellidos, cuando se supone que es una entidad con la que ya tienes relación.
• Enlaces que no apuntan donde dicen: al pasar el ratón sobre un enlace (sin hacer clic) la URL real que aparece en la barra de estado no coincide con la que se muestra en el texto o pertenece a un dominio raro.
• Archivos adjuntos inesperados: documentos Word, Excel, PDF o ZIP que no esperabas, sobre todo si vienen de fuentes desconocidas, pueden contener malware.

Muchos clientes de correo, como Outlook y otros, ya incluyen avisos cuando un mensaje no supera controles de autenticación estándares. Si ves banners del tipo “No se ha podido comprobar el remitente” o marcas de advertencia, tómate ese correo especialmente en serio.

Qué hacer si recibes un mensaje sospechoso

Ante la duda, lo más prudente es no interactuar con el contenido: ni enlaces, ni adjuntos, ni respuestas. La estrategia básica para gestionar un correo o mensaje con pinta de phishing es sencilla.

En primer lugar, si identificas claramente que se trata de spam o phishing, lo recomendable es eliminar el mensaje sin abrirlo o, al menos, sin abrir sus adjuntos ni pulsar enlaces. Algunos clientes de correo permiten ejecutar scripts al abrir el mensaje, así que, si tu sistema es antiguo o poco protegido, mejor ni siquiera previsualizar.

En segundo lugar, bloquea al remitente y, si es posible, al dominio. Muchos servicios de correo permiten crear reglas para que todo lo que llegue de esa dirección acabe directamente en spam o papelera. Esta medida es especialmente útil cuando compartes la cuenta o el equipo con otras personas que podrían no detectar tan fácilmente el engaño.

En entornos corporativos o educativos, es buena práctica reportar el correo como phishing mediante las opciones de “Informar” o “Reportar” que ofrecen clientes como Outlook o herramientas de colaboración como Microsoft Teams. Esto ayuda a mejorar los filtros y proteger al resto de usuarios.

Si se trata de una web sospechosa que has abierto en tu navegador (por ejemplo, en Microsoft Edge), puedes informar del sitio como no seguro desde el propio menú de ayuda del navegador, para contribuir a que se bloquee para otros usuarios.

Y, por supuesto, si el mensaje parece venir de tu banco, de Hacienda, de la policía o de alguna entidad sensible y te genera dudas, no utilices los datos de contacto que aparezcan en el correo: cierra ese mensaje, entra en su web escribiendo la dirección manualmente o usa un número oficial obtenido de documentos físicos o del sitio auténtico.

Pasos clave para protegerte del phishing

Más allá de detectar y borrar, hay una serie de hábitos que reducen de forma drástica el riesgo de caer en estos engaños. Son medidas sencillas, pero muy efectivas si las conviertes en rutina.

Primero, aplica el sentido común antes de compartir cualquier información sensible. Si te llega un aviso crítico de tu banco o de un servicio importante, nunca entres a tu cuenta usando enlaces del mensaje. Abre una pestaña nueva en el navegador, escribe tú mismo la URL o usa tu app oficial.

Segundo, desconfía de cualquier comunicación que te meta prisa o te asuste: las empresas serias no gestionan trámites sensibles a base de amenazas por correo. Si recibes un correo pidiendo datos de cuenta, contraseñas o números de tarjeta, bórralo y llama tú a la entidad por sus canales habituales para comprobarlo.

Tercero, no abras archivos adjuntos de mensajes sospechosos, sobre todo si son ejecutables o documentos ofimáticos con macros. Muchos ataques combinan el phishing con la instalación de malware, troyanos o ransomware.

Cuarto, no hagas clic en enlaces incrustados en mensajes de remitentes dudosos o que no esperabas. Si necesitas comprobar una notificación de un proveedor, entra a su web tecleando la dirección oficial o usando enlaces guardados de confianza.

Quinto, mantén siempre actualizados el sistema operativo, el navegador, las aplicaciones y el antivirus. Muchos ataques se aprovechan de fallos ya corregidos por los fabricantes, pero que siguen siendo explotables en equipos sin parchear.

Reducir el spam para reducir el riesgo

Cuanto menos correo basura recibas, menos oportunidades tendrán los atacantes de colarte un phishing. Hay algunas estrategias sencillas para limitar la exposición de tus direcciones de correo.

Una buena idea es disponer de una dirección de correo privada solo para comunicaciones personales importantes, con un nombre poco evidente (evita direcciones tipo nombre.apellido fácilmente adivinables). Esta cuenta no deberías publicarla en webs, foros, perfiles públicos ni formularios abiertos.

Si en algún sitio estás obligado a mostrar esa dirección, puedes “disfrazarla” para evitar que los robots que rastrean internet la detecten fácilmente, escribiéndola por ejemplo como “nombre-punto-apellido-arroba-dominio-punto-com” en lugar de mostrarla en formato estándar.

En paralelo, conviene tener una o varias direcciones públicas que uses para registros en servicios, foros, newsletters y similares. Asume que estas cuentas se llenarán antes de spam y cámbialas periódicamente si empiezan a estar demasiado saturadas.

Importantísimo: nunca respondas al spam ni pulses en enlaces de “cancelar suscripción” de remitentes que no conoces. Muchos spammers usan esos enlaces solo para confirmar que una dirección está activa y merece la pena seguir bombardeándola con basura o venderla a terceros.

Por último, asegúrate de que tu proveedor de correo cuenta con filtros antispam y antiphishing decentes, y refuérzalos con una solución de seguridad que incluya funciones específicas de filtrado de correo malicioso.

El papel del software de seguridad frente al phishing

La primera línea de defensa siempre eres tú, pero un buen paquete de seguridad para internet es un respaldo imprescindible. Herramientas modernas de seguridad integran varias capas pensadas específicamente para parar el phishing y el malware asociado.

Por un lado, el módulo antispam filtra automáticamente gran parte del correo no deseado y de los intentos de phishing en base a listas negras, análisis de patrones, reputación de remitentes y aprendizaje automático. Cuanto mejor sea este filtro, menos basura acabará llegando a tu bandeja de entrada principal.

Por otro lado, el componente antimalware detecta y bloquea archivos adjuntos maliciosos, scripts y descargas peligrosas antes de que se ejecuten. Dado que muchas campañas de phishing buscan instalar troyanos bancarios, keyloggers o ransomware, contar con una protección activa y actualizada marca la diferencia.

Además, muchos paquetes de seguridad incluyen protección específica antiphishing a nivel de navegador: analizan las webs antes de cargarlas, comprueban certificados, comparan URLs con listas de sitios fraudulentos conocidos y analizan el comportamiento de las páginas para prevenir el robo de credenciales incluso en ataques nuevos.

Combinando firewall, antispam, antimalware y módulos antiphishing, consigues un entorno mucho más robusto, en el que incluso si pulsas un enlace peligroso por error, hay más probabilidades de que el sistema intercepte el ataque a tiempo.

Gestión segura de contraseñas y autenticación

Uno de los mayores daños del phishing es que compromete contraseñas reutilizadas. Si usas la misma clave para el correo, el banco, redes sociales y compras online, cuando un ataque consigue robar una, abre la puerta a muchas más cuentas.

Por eso es tan importante utilizar un gestor de contraseñas. Estas herramientas generan claves fuertes y diferentes para cada servicio y las guardan cifradas. Solo tienes que recordar una contraseña maestra, y el programa se encarga de rellenar los formularios de login de forma automática.

Esta función de autocompletado tiene una ventaja extra frente al phishing: si estás en una web falsa con un dominio ligeramente distinto al original, el gestor no reconocerá el sitio y no completará las credenciales, lo que sirve como aviso de que algo no cuadra.

Complementariamente, activa siempre que puedas la autenticación multifactor (MFA). Aunque un atacante consiga tu usuario y contraseña por phishing, necesitará superar ese segundo factor (código temporal, app de autenticación, llave física, etc.) para entrar. No es una barrera perfecta, pero añade una capa más que complica la vida a los delincuentes.

Si sospechas que has caído en una estafa y has introducido datos sensibles, cambia tus contraseñas de inmediato, empezando por el correo (que suele ser la llave del resto de servicios) y por las cuentas financieras. Activa MFA en todos los sitios donde todavía no lo tengas y contacta con tu banco para bloquear tarjetas o movimientos si fuese necesario.

En última instancia, la mejor defensa contra el phishing pasa por combinar conocimiento, desconfianza razonable y buenas herramientas: entender cómo te intentan engañar, no precipitarte ante mensajes alarmistas, comprobar siempre el origen real de lo que recibes, usar software de seguridad actualizado y gestionar de forma seria tus contraseñas y accesos reduce enormemente las posibilidades de acabar en manos de un ciberdelincuente.