Cómo reconocer un correo de phishing: guía completa para protegerte

El phishing es una de las amenazas más comunes y peligrosas en el mundo digital. A través de correos electrónicos falsos o mensajes con enlaces los ciberdelincuentes intentan robar información confidencial, como credenciales de inicio de sesión, números de tarjetas de crédito o datos personales.

El phishing es una técnica de ingeniería social en la que los delincuentes se hacen pasar por entidades legítimas (bancos, empresas, etc.) para engañar a las víctimas y obtener información confidencial.

Se le llama fishing debido a su similaridad con la pesca ya que se lanza un cebo para que pique, en este caso, la persona a la que se quiere estafar.

1. Phishing por correo electrónico, el más común.

El phishing por correo electrónico representa aproximadamente el 90% de todos los ciberataques según el informe de Verizon 2023. Los atacantes crean correos electrónicos falsos que imitan perfectamente comunicaciones legítimas de:

• Bancos y entidades financieras (85% de los casos)
• Servicios de suscripción (Netflix, Spotify)
• Empresas de paquetería (UPS, FedEx)
• Redes sociales (Facebook, LinkedIn)

Tácticas comunes:

• Uso de logos y diseños idénticos a los oficiales
• Dominios similares (ej: "paypa1.com" en lugar de "paypal.com")
• Llamadas a la acción urgentes ("Su cuenta será suspendida en 24h")

2. Smishing: el phishing móvil

Los ataques por SMS han aumentado un 328% desde 2020 (GSMA Intelligence). Características clave:

• Mensajes que parecen de bancos (ej: "Su tarjeta ha sido bloqueada")
• Supuestos sorteos con enlaces acortados que ocultan URL maliciosas (“Gana un ordenador portátil”)
• Supuestas notificaciones de paquetes (ej: "Su envío DHL está retenido")

3. Vishing: el engaño por voz

Según el informe ENISA Threat Landscape 2023 (Agencia de la UE para la Ciberseguridad) este tipo de ataques ha aumentado un 137% en la UE entre 2021-2022 y España se encuentra entre los 5 países más afectados (junto con Alemania, Francia, Italia y Países Bajos), el 68% de estos ataques suplantan a entidades bancarias.

• Llamadas automatizadas que imitan instituciones bancarias
• Suplantación de servicios técnicos (Microsoft, Apple)
• Amenazas legales falsas (Hacienda, Seguridad Social)

Técnicas sofisticadas:

• Spoofing, suplantación de identidad, de números oficiales
• Uso de IA para clonar voces
• Grabación de tonos de espera institucionales

4. Spear phishing: francotirador digital

A diferencia del phishing masivo, estos ataques son personalizados:

• Investigación previa en redes sociales (LinkedIn, Facebook, Instagram)
• Uso de información laboral (cargos, proyectos)
• Referencias a eventos reales (congresos, viajes)

Sectores más afectados:

• Directivos (CEO Fraud): 58% de los casos
• Departamentos financieros: 27%
• RRHH: 15%

Estas modalidades evolucionan constantemente, incorporando tecnologías como deepfakes de voz o inteligencia artificial para generar mensajes más convincentes. La mejor defensa es combinar formación continua con soluciones tecnológicas avanzadas.

Reconocer un correo de phishing es el primer paso para protegerte. Aquí tienes algunos indicadores comunes:

Los correos electrónicos falsos suelen contener errores ortográficos y gramaticales, ya que muchos provienen de países donde no se habla el idioma del destinatario.

Revisa la dirección de correo electrónico del remitente. A menudo, los correos de phishing provienen de direcciones que imitan a las legítimas pero contienen pequeños errores o caracteres extraños.

Los correos de phishing suelen incluir enlaces a sitios web fraudulentos o archivos adjuntos maliciosos. Pasa el cursor sobre los enlaces (sin hacer clic) para ver la URL real.

Los atacantes suelen crear un sentido de urgencia o miedo para que actúes rápidamente. Por ejemplo, "Su cuenta será bloqueada si no verifica sus datos inmediatamente".

Ninguna empresa legítima te pedirá que envíes credenciales de inicio de sesión, números de tarjetas de crédito u otra información confidencial por correo electrónico.

Si recibes un correo sospechoso, que ha pasado el filtro de spam, sigue estos pasos para verificar su legitimidad:

1. Revisa el remitente: compara la dirección de correo electrónico con la de comunicaciones anteriores de la misma empresa.
2. Verifica los enlaces: pasa el cursor sobre los enlaces para ver la URL real. Si no coincide con el sitio web oficial, no hagas clic.
3. Contacta a la empresa: si tienes dudas, contacta directamente a la empresa a través de su sitio web oficial o número de teléfono.
4. Busca errores: revisa el correo en busca de errores ortográficos y gramaticales, así como de un lenguaje poco profesional.

Protegerte del phishing requiere tanto precaución como herramientas adecuadas. Aquí tienes algunas medidas preventivas:

• Usa software antiphishing: instala herramientas de seguridad que detecten y bloqueen correos electrónicos falsos y sitios web fraudulentos.
• Habilita la autenticación de dos factores (2FA): la 2FA añade una capa adicional de seguridad, haciendo más difícil que los atacantes accedan a tus cuentas incluso si obtienen tus credenciales de inicio de sesión.
• Mantén tu software actualizado: asegúrate de que tu sistema operativo, navegador y aplicaciones estén siempre actualizados para protegerte contra vulnerabilidades conocidas.
• Da formación a tu equipo: si trabajas en una empresa, organiza talleres de formación para que todos los empleados sepan cómo reconocer y evitar el phishing.
• Utiliza gestores de contraseñas: estos programas generan y almacenan contraseñas seguras, reduciendo el riesgo de ataques.
• Activa alertas en tus cuentas bancarias: configura notificaciones para detectar movimientos sospechosos en tus cuentas.
• Firma electrónica y certificado digital, el uso de plataformas de firma digital como Yousign ayuda a gestionar y firmar documentos de forma segura y legalmente válida.

El phishing ha sido utilizado en numerosas ocasiones para atacar empresas y personas. Algunos casos famosos incluyen:

• Ataque a Sony Pictures (2014)

En noviembre de 2014, Sony Pictures Entertainment sufrió uno de los ataques cibernéticos más impactantes de la historia corporativa. Un grupo de hackers llamado "Guardians of Peace" (Guardianes de la Paz) utilizó técnicas de phishing para obtener credenciales de empleados y acceder a los servidores de la compañía.

¿Cómo ocurrió el ataque?

Los atacantes enviaron correos electrónicos fraudulentos a empleados de Sony haciéndose pasar por mensajes legítimos.

Algunos empleados cayeron en la trampa e ingresaron sus credenciales en sitios falsos controlados por los hackers.

Con esta información, los atacantes accedieron a la red interna de Sony y extrajeron más de 100 terabytes de datos confidenciales.

Se filtraron películas inéditas, correos electrónicos internos, contratos, datos personales de empleados y directivos, e incluso estrategias empresariales.

Consecuencias del ataque

Impacto financiero: Se estima que Sony perdió más de 100 millones de dólares debido al robo de información y la interrupción de sus operaciones.

Daño reputacional: La filtración de correos internos expuso críticas a actores y decisiones empresariales, lo que afectó la imagen de la compañía.

• Robo de datos de millones de usuarios de Facebook (2019): 

En 2019 Facebook sufrió una grave filtración de datos en la que más de 267 millones de usuarios fueron víctimas de phishing. Los ciberdelincuentes enviaron correos electrónicos fraudulentos haciéndose pasar por Facebook y solicitando a los usuarios que actualizaran su contraseña en un sitio web falso.

¿Cómo funcionaba la estafa?

Los usuarios recibían un correo con un mensaje alarmante, como: “Hemos detectado actividad sospechosa en su cuenta. Para evitar su bloqueo, cambie su contraseña ahora mismo haciendo clic en este enlace.”

• El enlace dirigía a un sitio web falso con un diseño idéntico al de Facebook.
• Al ingresar su contraseña en la página fraudulenta, los atacantes obtenían acceso a sus cuentas.
• Posteriormente, los hackers vendían estos datos en la dark web o los utilizaban para otras estafas.

Consecuencias del ataque

Robo de información personal, incluidas direcciones de correo, nombres completos, números de teléfono y credenciales de acceso.

Cuentas comprometidas utilizadas para distribuir más correos de phishing, realizar fraudes o difundir desinformación.

Mayor desconfianza en la seguridad de Facebook, que ya había sido criticada por anteriores escándalos de privacidad.

• Caso de phishing en bancos españoles

Los bancos han sido uno de los principales objetivos de los ataques de phishing, y en España se han reportado numerosos casos de fraude bancario mediante correos electrónicos falsos.

¿Cómo operan los ciberdelincuentes?

Los usuarios reciben un correo electrónico supuestamente enviado por su banco (BBVA, Santander, CaixaBank, etc.).

En el mensaje se incluyen frases como:

• “Detectamos un intento de acceso no autorizado a su cuenta. Por seguridad, haga clic en el siguiente enlace para verificar su identidad.”
• El enlace redirige a una página falsa que imita la web del banco.
• Al introducir sus credenciales bancarias, los ciberdelincuentes roban la información y acceden a la cuenta de la víctima.
• En muchos casos, realizan transferencias de dinero o compran productos con las tarjetas de las víctimas.

Las soluciones de firma electrónica avanzada como Yousign incorporan medidas específicas para prevenir riesgos de phishing en la gestión documental:

• Características de seguridad relevantes:
• Autenticación reforzada mediante verificación en dos pasos para acceder a documentos
• Sellado temporal que certifica la integridad del documento firmado
• Cifrado TLS 1.3 en todas las transmisiones de datos
• Registro de auditoría completo con huella digital de cada interacción

Beneficios en la prevención de fraudes:

• Elimina la necesidad de enviar documentos adjuntos por correo (vector común de phishing)
• Proporciona un entorno controlado para revisiones y firmas
• Certifica la identidad de los firmantes mediante métodos verificados

Datos relevantes:

• El 92% de los fraudes con documentos ocurren en procesos manuales (Informe Eurostat 2023)
• Las empresas que implementan firma electrónica reducen un 68% los incidentes de suplantación (ESTI)

Para evaluar estas soluciones, la mayoría de plataformas profesionales ofrecen periodos de prueba gratuitos que permiten verificar su funcionamiento antes de comprometerse con un servicio.

Reconocer un correo de phishing es esencial para proteger tus datos y evitar estafas, independientemente del nivel de uso que hagas de plataformas digitales es importante que aprendas a identificar correos electrónicos falsos, tomar medidas preventivas y actuar en caso de sospecha.

Es importante informar a personas mayores sobre este tipo de estafas y enseñarles a protegerse de ellas ya que son más vulnerables a este tipo de estafa.

Utilizar herramientas como la firma electrónica de Yousign puede ayudarte a proteger tus datos y simplificar los procesos empresariales de manera segura.

En Yousign, estamos comprometidos a simplificar la gestión de documentos con nuestra firma electrónica, no dudes en contactarnos.