Síguenos en: Facebook YouTube Instagram TikTok
TOP NEWS
Cargando titulares...

Cómo identificar correos falsos y evitar el phishing

 



Cómo identificar correos falsos y evitar el phishing

El correo electrónico sigue siendo una de las herramientas más usadas para comunicarse, trabajar, estudiar, comprar, recibir notificaciones bancarias y gestionar servicios digitales. Sin embargo, también es uno de los medios más utilizados por los ciberdelincuentes para robar información.

Uno de los ataques más frecuentes es el phishing, una técnica de engaño digital donde el atacante se hace pasar por una empresa, banco, institución, plataforma conocida o persona de confianza para lograr que la víctima entregue datos sensibles, haga clic en enlaces maliciosos, descargue archivos infectados o realice pagos fraudulentos.

El problema actual es que los ataques de phishing ya no siempre tienen mala ortografía, diseños pobres o mensajes fáciles de reconocer. Con el uso de inteligencia artificial, los delincuentes pueden crear correos más convincentes, personalizados, bien redactados y adaptados al contexto de la víctima. Por eso, identificar un correo falso requiere más atención y criterio técnico. CISA recomienda no hacer clic en enlaces o archivos adjuntos sospechosos y reportar los intentos de phishing cuando se detecten.

En este artículo aprenderás cómo identificar correos falsos, revisar enlaces sospechosos, reconocer archivos adjuntos peligrosos y verificar correctamente al remitente.


1. ¿Qué es el phishing?

El phishing es una técnica de ingeniería social utilizada para engañar a una persona y hacer que realice una acción peligrosa. El objetivo puede variar según el atacante, pero normalmente busca obtener información confidencial o acceso a cuentas.

Un ataque de phishing puede intentar robar:

  • Usuario y contraseña.

  • Datos bancarios.

  • Códigos de verificación.

  • Información de tarjetas.

  • Acceso a correo electrónico.

  • Acceso a redes sociales.

  • Credenciales empresariales.

  • Documentos personales.

  • Información de clientes.

  • Datos de facturación.

  • Cuentas de servicios en la nube.

El phishing no depende únicamente de tecnología avanzada. Su principal arma es la manipulación psicológica. El atacante intenta provocar miedo, urgencia, curiosidad, confianza o presión para que la víctima actúe rápido sin analizar el mensaje.


2. ¿Cómo funciona un ataque de phishing?

Un ataque típico de phishing sigue una secuencia parecida a esta:

  1. El atacante prepara un mensaje falso.

  2. Usa la imagen de una empresa conocida o institución confiable.

  3. Envía el correo a una o muchas personas.

  4. El mensaje contiene un enlace, archivo adjunto o solicitud urgente.

  5. La víctima hace clic o descarga el archivo.

  6. Se abre una página falsa, archivo malicioso o formulario fraudulento.

  7. La víctima entrega información o infecta su equipo.

  8. El atacante usa los datos robados para acceder a cuentas, hacer compras, transferencias o nuevos ataques.

Por ejemplo, podrías recibir un correo supuestamente de tu banco indicando:

“Su cuenta será bloqueada. Actualice sus datos en el siguiente enlace.”

Al hacer clic, se abre una página visualmente parecida a la del banco. El usuario escribe su DNI, número de tarjeta, usuario, clave o token. Esa información no llega al banco, sino al atacante.


3. ¿Por qué el phishing es peligroso?

El phishing es peligroso porque muchas veces no necesita vulnerar directamente el sistema. En lugar de atacar la computadora, ataca la confianza del usuario.

Un antivirus puede bloquear muchas amenazas, pero si el usuario entrega voluntariamente sus datos en una página falsa, el daño puede ocurrir aunque el equipo no esté infectado.

Las consecuencias pueden ser graves:

  • Robo de dinero.

  • Acceso no autorizado a cuentas.

  • Suplantación de identidad.

  • Pérdida de información.

  • Secuestro de cuentas de correo.

  • Fraude con tarjetas.

  • Instalación de malware.

  • Robo de datos empresariales.

  • Pérdida de reputación.

  • Acceso a redes internas de una empresa.

En empresas, un solo correo de phishing puede ser la puerta de entrada para ataques más graves como ransomware, robo de información o fraude financiero.


4. ¿Por qué el phishing con IA es más difícil de detectar?

Antes, muchos correos falsos se reconocían por errores de ortografía, traducciones extrañas o diseños poco profesionales. Hoy eso ha cambiado.

Con inteligencia artificial, un atacante puede generar mensajes:

  • Mejor redactados.

  • Sin errores ortográficos evidentes.

  • Personalizados para una persona o empresa.

  • Con lenguaje formal o técnico.

  • Imitando estilos de comunicación.

  • Adaptados al país o institución.

  • Con asuntos más convincentes.

  • Con respuestas automáticas más creíbles.

La IA también puede facilitar ataques de spear phishing, que son ataques dirigidos a una persona específica. Por ejemplo, el atacante puede investigar redes sociales, cargos laborales, correos filtrados o datos públicos para crear un mensaje más realista.

Reportes recientes de ciberseguridad señalan que los ataques de phishing generados o potenciados por IA están aumentando, y algunos estudios advierten que estos mensajes pueden ser más efectivos que los correos falsos tradicionales.


5. Correos bancarios falsos

Los correos bancarios falsos son uno de los métodos más comunes de phishing. Los atacantes se hacen pasar por bancos, cajas, cooperativas, billeteras digitales o servicios financieros para obtener información sensible.


Señales de alerta en correos bancarios

Debes sospechar si el mensaje indica:

  • “Su cuenta será bloqueada.”

  • “Actualice sus datos inmediatamente.”

  • “Tiene una transferencia retenida.”

  • “Su tarjeta fue suspendida.”

  • “Detectamos actividad sospechosa.”

  • “Confirme su clave para evitar restricciones.”

  • “Ingrese al enlace para desbloquear su cuenta.”

  • “Verifique su token digital.”

  • “Tiene un premio o devolución pendiente.”

  • “Debe pagar una comisión urgente.”

Estos mensajes buscan generar miedo o urgencia para que el usuario actúe sin pensar.


Qué información nunca debes entregar por correo

Un banco real no debería pedirte por correo electrónico:

  • Clave secreta.

  • PIN de tarjeta.

  • Código CVV.

  • Token digital.

  • Código recibido por SMS.

  • Contraseña completa.

  • Número completo de tarjeta mediante enlace.

  • Datos personales sensibles en formularios no verificados.

Si un correo solicita esta información, es altamente sospechoso.


Recomendación técnica

Nunca ingreses a tu banco desde un enlace recibido por correo. Lo más seguro es abrir el navegador y escribir manualmente la dirección oficial del banco o usar la aplicación oficial instalada desde la tienda correspondiente.

Microsoft también recomienda no hacer clic en enlaces o adjuntos sospechosos; si el mensaje parece venir de una organización conocida, es mejor ingresar al sitio oficial desde el navegador o contactar mediante canales oficiales.


6. Enlaces sospechosos

Los enlaces son una de las partes más peligrosas de un correo falso. Un enlace puede llevarte a una página fraudulenta que imita a un banco, red social, tienda, servicio de correo o plataforma de pago.


Cómo analizar un enlace

Antes de hacer clic, coloca el cursor encima del enlace sin presionarlo. En la parte inferior del navegador o cliente de correo debería aparecer la dirección real.

Por ejemplo, el texto visible puede decir:

“Banco Oficial”

Pero al pasar el mouse encima puede mostrar:

https://banco-seguro-validacion.xyz/login

Eso indica que el enlace no corresponde al dominio oficial.


Señales de un enlace falso

Debes tener cuidado si el enlace:

  • Tiene errores en el nombre del dominio.

  • Usa palabras adicionales sospechosas.

  • Tiene dominios extraños como .xyz, .top, .click, .info.

  • Usa acortadores de URL.

  • Incluye muchos números o caracteres raros.

  • No coincide con la empresa que dice representar.

  • Imita una marca con pequeñas variaciones.

  • Usa subdominios engañosos.

  • Redirige varias veces antes de abrir la página.

Ejemplos de dominios engañosos

Un dominio real podría ser:

banco.com

Un dominio falso podría ser:

banco-seguridad.com

banco-validacion.net

banco.com.seguridad-login.xyz

banc0.com

clientes-banco-soporte.com

El atacante intenta que el usuario vea rápidamente una palabra conocida y no analice el dominio completo.


Diferencia entre dominio y subdominio

Este punto es importante. En una URL, el dominio principal normalmente está justo antes de la extensión final.

Ejemplo:

https://seguridad.banco.com

Dominio principal: banco.com

Este podría ser legítimo si pertenece al banco.

Pero en este caso:

https://banco.com.seguridad-alerta.xyz

Dominio principal: seguridad-alerta.xyz

Aunque aparece “banco.com” dentro de la dirección, no es el dominio principal.


Recomendación técnica

Antes de ingresar usuario o contraseña, verifica siempre:

  • Que el dominio sea correcto.

  • Que use HTTPS.

  • Que no haya errores de escritura.

  • Que la página no haya sido abierta desde un enlace sospechoso.

  • Que el certificado corresponda a la entidad esperada.

  • Que el diseño no tenga elementos extraños.

Importante: que una página tenga candado HTTPS no significa automáticamente que sea segura. Significa que la conexión está cifrada, pero una página falsa también puede tener HTTPS.


7. Archivos adjuntos peligrosos

Los archivos adjuntos son otra vía frecuente de infección. Un correo puede incluir supuestas facturas, boletas, estados de cuenta, documentos legales, comprobantes de pago, cotizaciones, guías de entrega o archivos comprimidos.

El objetivo puede ser que el usuario descargue y abra un archivo infectado.

Tipos de archivos que requieren mayor cuidado

Debes tener especial precaución con archivos como:

  • .exe

  • .scr

  • .bat

  • .cmd

  • .js

  • .vbs

  • .ps1

  • .msi

  • .iso

  • .img

  • .zip

  • .rar

  • .7z

  • .docm

  • .xlsm

  • .hta

  • .lnk

  • .svg

  • .html

Algunos archivos parecen documentos normales, pero pueden ejecutar código malicioso.


Documentos de Office con macros

Un archivo de Word o Excel puede incluir macros. Las macros son instrucciones automatizadas que pueden ser útiles en entornos legítimos, pero también pueden usarse para descargar malware o ejecutar comandos peligrosos.

Debes sospechar si un documento te pide:

  • “Habilitar edición.”

  • “Habilitar contenido.”

  • “Activar macros para ver el documento.”

  • “Permitir ejecución para desbloquear la factura.”

Si no esperabas ese archivo, no habilites macros.


Archivos comprimidos

Los atacantes suelen usar archivos .zip, .rar o .7z para ocultar malware y evadir algunos filtros de correo.

Ejemplo:

Factura_45982.zip

Al descomprimirlo, podría contener:

Factura_45982.pdf.exe

Si Windows oculta las extensiones conocidas, el usuario puede pensar que es un PDF, cuando en realidad es un ejecutable.


Recomendación técnica

Antes de abrir un adjunto:

  • Confirma que esperabas ese archivo.

  • Verifica al remitente por otro medio.

  • Revisa la extensión real.

  • Analiza el archivo con antivirus.

  • No habilites macros.

  • No abras archivos comprimidos de origen desconocido.

  • No ejecutes archivos recibidos por correo.

  • Usa visor en línea si está disponible.

  • Mantén Windows y Office actualizados.

La FTC recomienda proteger computadoras con software de seguridad actualizado y mantener dispositivos móviles con actualizaciones automáticas para enfrentar nuevas amenazas.


8. Verificación de remitentes

Una parte clave para identificar phishing es revisar cuidadosamente el remitente. Muchos usuarios solo miran el nombre visible, pero no revisan la dirección real.

Por ejemplo, el correo puede mostrar:

Banco Nacional

Pero la dirección real puede ser:

soporte.banco@gmail.com

O:

alertas@banco-seguro.net

Una empresa formal, especialmente un banco, no debería enviar notificaciones críticas desde cuentas genéricas como Gmail, Outlook, Hotmail o Yahoo.

Qué revisar en el remitente

Verifica:

  • Nombre visible.

  • Dirección completa.

  • Dominio del correo.

  • Errores de escritura.

  • Dominios parecidos.

  • Cuentas gratuitas sospechosas.

  • Respuestas dirigidas a otro correo.

  • Inconsistencias entre remitente y contenido.

Ejemplos sospechosos

bancooficial@gmail.com

seguridad@banco-validacion.com

soporte@banc0.com

notificaciones@clientes-banco-alerta.net

admin@secure-login-bank.xyz


Suplantación de remitente

También existe una técnica llamada spoofing, donde el atacante falsifica el remitente para que parezca provenir de una dirección legítima. Por eso, revisar el remitente ayuda, pero no es suficiente.

Las empresas pueden usar mecanismos como SPF, DKIM y DMARC para ayudar a verificar la autenticidad del correo. Estos controles no son visibles de forma simple para todos los usuarios, pero ayudan a los servidores de correo a detectar suplantaciones. CISA recomienda el uso de DMARC, SPF y DKIM como controles de autenticación de correo en organizaciones.


9. Señales comunes de un correo falso

Aunque los ataques modernos pueden ser muy elaborados, muchas campañas siguen mostrando señales de alerta.

Indicadores frecuentes

Un correo puede ser falso si presenta:

  • Urgencia extrema.

  • Amenazas de bloqueo.

  • Premios inesperados.

  • Solicitud de datos personales.

  • Enlaces acortados.

  • Archivos adjuntos no esperados.

  • Errores en el dominio.

  • Mensaje genérico.

  • Saludo no personalizado.

  • Diseño diferente al habitual.

  • Logo borroso o mal colocado.

  • Firma poco profesional.

  • Errores gramaticales.

  • Solicitud de pago urgente.

  • Transferencias a cuentas desconocidas.

  • Cambio repentino de cuenta bancaria.

  • Archivos con extensiones raras.

  • Mensajes fuera de contexto.

Frases típicas de phishing

Algunas frases comunes son:

  • “Último aviso.”

  • “Su cuenta será suspendida.”

  • “Verifique su identidad ahora.”

  • “Tiene 24 horas para responder.”

  • “Pago rechazado.”

  • “Factura pendiente.”

  • “Acceso no autorizado detectado.”

  • “Confirme su contraseña.”

  • “Haga clic para evitar el bloqueo.”

  • “Ha ganado un premio.”

Estas frases buscan activar una reacción emocional inmediata.


10. Phishing dirigido a empresas

En empresas, el phishing puede ser más peligroso porque el objetivo no siempre es una cuenta personal, sino acceso a información corporativa.

Ataques comunes en empresas

Algunos ejemplos son:

  • Correos falsos de proveedores.

  • Facturas falsas.

  • Solicitudes de cambio de cuenta bancaria.

  • Supuestos mensajes del gerente.

  • Invitaciones falsas a reuniones.

  • Archivos compartidos falsos.

  • Notificaciones de Microsoft 365 o Google Workspace falsas.

  • Enlaces a portales de inicio de sesión falsos.

  • Correos de recursos humanos falsificados.

  • Mensajes sobre pagos urgentes.


Business Email Compromise

Un caso crítico es el BEC, o compromiso de correo empresarial. En este ataque, el delincuente se hace pasar por un directivo, proveedor o trabajador para solicitar transferencias, cambios de cuentas bancarias o envío de información confidencial.

Ejemplo:

“Hola, necesito que realices esta transferencia urgente antes del cierre del día. No me llames, estoy en reunión.”

La urgencia y la autoridad son parte del engaño.


11. Cómo verificar un correo sospechoso paso a paso

Antes de responder, hacer clic o descargar un archivo, aplica este procedimiento:

Paso 1: Revisa el remitente

No mires solo el nombre. Abre los detalles y revisa la dirección completa.

Paso 2: Analiza el asunto

Desconfía de asuntos alarmantes, urgentes o demasiado atractivos.

Paso 3: Lee el mensaje con calma

Busca incoherencias, errores, solicitudes extrañas o lenguaje fuera de contexto.

Paso 4: No hagas clic directamente

Si necesitas ingresar a una plataforma, escribe la dirección oficial en el navegador.

Paso 5: Revisa los enlaces

Pasa el cursor encima y verifica el dominio real.

Paso 6: Analiza los adjuntos

No abras archivos inesperados. Verifica extensión y origen.

Paso 7: Confirma por otro canal

Llama, escribe por WhatsApp corporativo o contacta al remitente por un medio ya conocido.

Paso 8: Reporta el correo

Si estás en una empresa, repórtalo al área de soporte o seguridad informática.

Paso 9: Elimina el mensaje

Si confirmas que es falso, elimínalo y no interactúes más.


12. Qué hacer si hiciste clic en un enlace de phishing

Si hiciste clic pero no ingresaste datos, el riesgo puede ser menor, pero igual debes actuar.

Acciones recomendadas

  • Cierra la página inmediatamente.

  • No descargues nada.

  • No ingreses información.

  • Ejecuta un análisis antivirus.

  • Borra caché del navegador si es necesario.

  • Cambia contraseñas si ingresaste credenciales.

  • Activa doble factor de autenticación.

  • Revisa actividad reciente de la cuenta.

  • Cierra sesiones abiertas.

  • Reporta el incidente.

Si ingresaste datos bancarios, contacta inmediatamente al banco por sus canales oficiales.


13. Qué hacer si abriste un archivo adjunto sospechoso

Si abriste un archivo sospechoso, especialmente si habilitaste macros o ejecutaste un programa, debes actuar rápido.

Medidas inmediatas

  1. Desconecta el equipo de internet.

  2. No conectes memorias USB ni discos externos.

  3. No ingreses contraseñas.

  4. Ejecuta un análisis completo con antivirus.

  5. Revisa programas instalados recientemente.

  6. Cambia contraseñas desde otro equipo seguro.

  7. Verifica si hay archivos cifrados o alterados.

  8. Informa al área de soporte si es un equipo empresarial.

  9. Considera una revisión técnica profesional.

En casos graves, puede ser necesario respaldar información segura y reinstalar el sistema operativo.


14. Buenas prácticas para evitar phishing

Para usuarios personales

  • Usa antivirus actualizado.

  • Mantén Windows actualizado.

  • Actualiza navegador y programas.

  • No uses la misma contraseña en todas tus cuentas.

  • Activa autenticación en dos pasos.

  • No abras enlaces de correos sospechosos.

  • No descargues archivos inesperados.

  • No ingreses datos bancarios desde enlaces.

  • Usa contraseñas fuertes.

  • Revisa alertas de inicio de sesión.

  • Evita redes WiFi públicas para operaciones sensibles.

Para empresas

  • Capacitar al personal periódicamente.

  • Implementar filtros antispam.

  • Usar autenticación multifactor.

  • Configurar SPF, DKIM y DMARC.

  • Usar políticas de contraseñas seguras.

  • Restringir macros en documentos.

  • Aplicar actualizaciones de seguridad.

  • Usar soluciones EDR o antivirus empresarial.

  • Realizar simulaciones de phishing.

  • Definir canales de reporte.

  • Verificar cambios de cuentas bancarias por llamada.

  • Implementar copias de seguridad.

  • Aplicar principio de mínimo privilegio.


15. Checklist rápido para identificar phishing

Antes de confiar en un correo, revisa:

  • ¿Conozco al remitente?

  • ¿La dirección de correo es legítima?

  • ¿El dominio está bien escrito?

  • ¿El mensaje tiene urgencia sospechosa?

  • ¿Me pide datos personales?

  • ¿Me pide usuario o contraseña?

  • ¿Hay enlaces acortados o extraños?

  • ¿El archivo adjunto era esperado?

  • ¿El mensaje coincide con una operación real?

  • ¿Puedo confirmar por otro canal?

  • ¿El enlace lleva al sitio oficial?

  • ¿El correo parece demasiado bueno para ser verdad?

Si una o varias respuestas generan duda, no interactúes con el mensaje.


16. Conclusiones

El phishing es una de las amenazas más comunes y peligrosas en internet porque se basa en engañar al usuario. No siempre necesita infectar el equipo; muchas veces basta con que la víctima haga clic en un enlace o entregue sus datos en una página falsa.

Los correos bancarios falsos, los enlaces sospechosos, los archivos adjuntos peligrosos y la suplantación de remitentes son señales que deben revisarse con mucho cuidado.

La inteligencia artificial ha hecho que algunos ataques sean más creíbles, mejor redactados y más difíciles de detectar. Por eso, la mejor defensa combina tecnología, criterio, capacitación y hábitos seguros.

Un usuario capacitado puede detener un ataque antes de que cause daño. La regla principal es sencilla: si un correo genera presión, miedo, urgencia o solicita datos sensibles, verifica antes de actuar.


Recomendación final

Para protegerte del phishing no basta con tener cuidado. También es importante contar con herramientas de seguridad, sistemas actualizados y una buena configuración de protección.

Puedo ayudarte con:

  • Revisión de correos sospechosos.

  • Instalación de antivirus.

  • Configuración de seguridad en Windows.

  • Protección contra malware y phishing.

  • Asesoría para usuarios y pequeñas empresas.

  • Instalación remota de software de seguridad.

  • Capacitación básica en ciberseguridad.

  • Revisión preventiva de laptops y computadoras.

  • Configuración de cuentas, contraseñas y doble factor de autenticación.


Si necesitas proteger tu computadora, tu correo o tu negocio contra amenazas digitales, puedes contactarme.

Contacto: +51 948 809 100

La mejor defensa contra el phishing es aprender a reconocerlo antes de hacer clic.

Comentarios

Publicar un comentario