6 min

Publicado el 25 Mar, 2025

Cómo reconocer un correo de phishing: guía completa para protegerte

Cómo reconocer un correo de phishing
Logotipo de Yousign

Yousign

@Yousign

Resumen

El phishing es una de las amenazas más comunes y peligrosas en el mundo digital. A través de correos electrónicos falsos o mensajes con enlaces los ciberdelincuentes intentan robar información confidencial, como credenciales de inicio de sesión, números de tarjetas de crédito o datos personales.

¿Qué es el phishing y cuáles son sus tipos?

El phishing es una técnica de ingeniería social en la que los delincuentes se hacen pasar por entidades legítimas (bancos, empresas, etc.) para engañar a las víctimas y obtener información confidencial.

Se le llama fishing debido a su similaridad con la pesca ya que se lanza un cebo para que pique, en este caso, la persona a la que se quiere estafar.

Tipos de Phishing: Una Amenaza Multiforme

1. Phishing por correo electrónico, el más común.

El phishing por correo electrónico representa aproximadamente el 90% de todos los ciberataques según el informe de Verizon 2023. Los atacantes crean correos electrónicos falsos que imitan perfectamente comunicaciones legítimas de:

  • Bancos y entidades financieras (85% de los casos)
  • Servicios de suscripción (Netflix, Spotify)
  • Empresas de paquetería (UPS, FedEx)
  • Redes sociales (Facebook, LinkedIn)

Tácticas comunes:

  • Uso de logos y diseños idénticos a los oficiales
  • Dominios similares (ej: "paypa1.com" en lugar de "paypal.com")
  • Llamadas a la acción urgentes ("Su cuenta será suspendida en 24h")

Nota importante: El 30% de estos correos superan los filtros antispam según Proofpoint.

2. Smishing: el phishing móvil

Los ataques por SMS han aumentado un 328% desde 2020 (GSMA Intelligence). Características clave:

  • Mensajes que parecen de bancos (ej: "Su tarjeta ha sido bloqueada")
  • Supuestos sorteos con enlaces acortados que ocultan URL maliciosas (“Gana un ordenador portátil”)
  • Supuestas notificaciones de paquetes (ej: "Su envío DHL está retenido")

Dato alarmante: El 45% de los usuarios hace clic en enlaces de SMS de remitentes desconocidos (Kaspersky Lab).

3. Vishing: el engaño por voz

Según el informe ENISA Threat Landscape 2023 (Agencia de la UE para la Ciberseguridad) este tipo de ataques ha aumentado un 137% en la UE entre 2021-2022 y España se encuentra entre los 5 países más afectados (junto con Alemania, Francia, Italia y Países Bajos), el 68% de estos ataques suplantan a entidades bancarias.

  • Llamadas automatizadas que imitan instituciones bancarias
  • Suplantación de servicios técnicos (Microsoft, Apple)
  • Amenazas legales falsas (Hacienda, Seguridad Social)

Técnicas sofisticadas:

4. Spear phishing: francotirador digital

A diferencia del phishing masivo, estos ataques son personalizados:

  • Investigación previa en redes sociales (LinkedIn, Facebook, Instagram)
  • Uso de información laboral (cargos, proyectos)
  • Referencias a eventos reales (congresos, viajes)

Sectores más afectados:

  • Directivos (CEO Fraud): 58% de los casos
  • Departamentos financieros: 27%
  • RRHH: 15%

Caso real: En 2019, una trabajadora de la Empresa Municipal de Transportes (EMT) de Valencia, fue víctima de este engaño y transfirió más de cuatro millones de euros a una cuenta en Hong Kong.

Estas modalidades evolucionan constantemente, incorporando tecnologías como deepfakes de voz o inteligencia artificial para generar mensajes más convincentes. La mejor defensa es combinar formación continua con soluciones tecnológicas avanzadas.

Indicadores comunes de los correos electrónicos de phishing

Reconocer un correo de phishing es el primer paso para protegerte. Aquí tienes algunos indicadores comunes:

1. Errores ortográficos y gramaticales

Los correos electrónicos falsos suelen contener errores ortográficos y gramaticales, ya que muchos provienen de países donde no se habla el idioma del destinatario.

2. Direcciones de correo electrónico sospechosas

Revisa la dirección de correo electrónico del remitente. A menudo, los correos de phishing provienen de direcciones que imitan a las legítimas pero contienen pequeños errores o caracteres extraños.

3. Enlaces y archivos adjuntos sospechosos

Los correos de phishing suelen incluir enlaces a sitios web fraudulentos o archivos adjuntos maliciosos. Pasa el cursor sobre los enlaces (sin hacer clic) para ver la URL real.

4. Urgencia o amenazas

Los atacantes suelen crear un sentido de urgencia o miedo para que actúes rápidamente. Por ejemplo, "Su cuenta será bloqueada si no verifica sus datos inmediatamente".

5. Solicitud de información confidencial

Ninguna empresa legítima te pedirá que envíes credenciales de inicio de sesión, números de tarjetas de crédito u otra información confidencial por correo electrónico.

A tener en cuenta:

Si un correo te parece sospechoso, no hagas clic en ningún enlace ni descargues archivos adjuntos, marcalo como spam y bórralo de inmediato..

Pasos para verificar la legitimidad de los correos electrónicos

Si recibes un correo sospechoso, que ha pasado el filtro de spam, sigue estos pasos para verificar su legitimidad:

  1. Revisa el remitente: compara la dirección de correo electrónico con la de comunicaciones anteriores de la misma empresa.
  2. Verifica los enlaces: pasa el cursor sobre los enlaces para ver la URL real. Si no coincide con el sitio web oficial, no hagas clic.
  3. Contacta a la empresa: si tienes dudas, contacta directamente a la empresa a través de su sitio web oficial o número de teléfono.
  4. Busca errores: revisa el correo en busca de errores ortográficos y gramaticales, así como de un lenguaje poco profesional.

Ejemplo práctico: Si recibes un correo de tu banco pidiendo que verifiques tus datos, llama directamente al banco para confirmar su autenticidad.

Medidas preventivas y herramientas para evitar el phishing

Protegerte del phishing requiere tanto precaución como herramientas adecuadas. Aquí tienes algunas medidas preventivas:

  • Usa software antiphishing: instala herramientas de seguridad que detecten y bloqueen correos electrónicos falsos y sitios web fraudulentos.
  • Habilita la autenticación de dos factores (2FA): la 2FA añade una capa adicional de seguridad, haciendo más difícil que los atacantes accedan a tus cuentas incluso si obtienen tus credenciales de inicio de sesión.
  • Mantén tu software actualizado: asegúrate de que tu sistema operativo, navegador y aplicaciones estén siempre actualizados para protegerte contra vulnerabilidades conocidas.
  • Da formación a tu equipo: si trabajas en una empresa, organiza talleres de formación para que todos los empleados sepan cómo reconocer y evitar el phishing.
  • Utiliza gestores de contraseñas: estos programas generan y almacenan contraseñas seguras, reduciendo el riesgo de ataques.
  • Activa alertas en tus cuentas bancarias: configura notificaciones para detectar movimientos sospechosos en tus cuentas.
  • Firma electrónica y certificado digital, el uso de plataformas de firma digital como Yousign ayuda a gestionar y firmar documentos de forma segura y legalmente válida.

Prueba la firma electrónica gratis durante 14 días

Casos reales de phishing

El phishing ha sido utilizado en numerosas ocasiones para atacar empresas y personas. Algunos casos famosos incluyen:

  • Ataque a Sony Pictures (2014)

En noviembre de 2014, Sony Pictures Entertainment sufrió uno de los ataques cibernéticos más impactantes de la historia corporativa. Un grupo de hackers llamado "Guardians of Peace" (Guardianes de la Paz) utilizó técnicas de phishing para obtener credenciales de empleados y acceder a los servidores de la compañía.

¿Cómo ocurrió el ataque?

Los atacantes enviaron correos electrónicos fraudulentos a empleados de Sony haciéndose pasar por mensajes legítimos.

Algunos empleados cayeron en la trampa e ingresaron sus credenciales en sitios falsos controlados por los hackers.

Con esta información, los atacantes accedieron a la red interna de Sony y extrajeron más de 100 terabytes de datos confidenciales.

Se filtraron películas inéditas, correos electrónicos internos, contratos, datos personales de empleados y directivos, e incluso estrategias empresariales.

Consecuencias del ataque

Impacto financiero: Se estima que Sony perdió más de 100 millones de dólares debido al robo de información y la interrupción de sus operaciones.

Daño reputacional: La filtración de correos internos expuso críticas a actores y decisiones empresariales, lo que afectó la imagen de la compañía.

  • Robo de datos de millones de usuarios de Facebook (2019)

En 2019 Facebook sufrió una grave filtración de datos en la que más de 267 millones de usuarios fueron víctimas de phishing. Los ciberdelincuentes enviaron correos electrónicos fraudulentos haciéndose pasar por Facebook y solicitando a los usuarios que actualizaran su contraseña en un sitio web falso.

¿Cómo funcionaba la estafa?

Los usuarios recibían un correo con un mensaje alarmante, como: “Hemos detectado actividad sospechosa en su cuenta. Para evitar su bloqueo, cambie su contraseña ahora mismo haciendo clic en este enlace.”

  • El enlace dirigía a un sitio web falso con un diseño idéntico al de Facebook.
  • Al ingresar su contraseña en la página fraudulenta, los atacantes obtenían acceso a sus cuentas.
  • Posteriormente, los hackers vendían estos datos en la dark web o los utilizaban para otras estafas.

Consecuencias del ataque

Robo de información personal, incluidas direcciones de correo, nombres completos, números de teléfono y credenciales de acceso.

Cuentas comprometidas utilizadas para distribuir más correos de phishing, realizar fraudes o difundir desinformación.

Mayor desconfianza en la seguridad de Facebook, que ya había sido criticada por anteriores escándalos de privacidad.

  • Caso de phishing en bancos españoles

Los bancos han sido uno de los principales objetivos de los ataques de phishing, y en España se han reportado numerosos casos de fraude bancario mediante correos electrónicos falsos.

¿Cómo operan los ciberdelincuentes?

Los usuarios reciben un correo electrónico supuestamente enviado por su banco (BBVA, Santander, CaixaBank, etc.).

En el mensaje se incluyen frases como:

  • “Detectamos un intento de acceso no autorizado a su cuenta. Por seguridad, haga clic en el siguiente enlace para verificar su identidad.”
  • El enlace redirige a una página falsa que imita la web del banco.
  • Al introducir sus credenciales bancarias, los ciberdelincuentes roban la información y acceden a la cuenta de la víctima.
  • En muchos casos, realizan transferencias de dinero o compran productos con las tarjetas de las víctimas.

Firma electrónica como herramienta contra el phishing

Las soluciones de firma electrónica avanzada como Yousign incorporan medidas específicas para prevenir riesgos de phishing en la gestión documental:

  • Características de seguridad relevantes:
  • Autenticación reforzada mediante verificación en dos pasos para acceder a documentos
  • Sellado temporal que certifica la integridad del documento firmado
  • Cifrado TLS 1.3 en todas las transmisiones de datos
  • Registro de auditoría completo con huella digital de cada interacción

Beneficios en la prevención de fraudes:

  • Elimina la necesidad de enviar documentos adjuntos por correo (vector común de phishing)
  • Proporciona un entorno controlado para revisiones y firmas
  • Certifica la identidad de los firmantes mediante métodos verificados

Datos relevantes:

  • El 92% de los fraudes con documentos ocurren en procesos manuales (Informe Eurostat 2023)
  • Las empresas que implementan firma electrónica reducen un 68% los incidentes de suplantación (ESTI)

Para evaluar estas soluciones, la mayoría de plataformas profesionales ofrecen periodos de prueba gratuitos que permiten verificar su funcionamiento antes de comprometerse con un servicio.

Preguntas frecuentes sobre phishing

  • ¿Cuáles son las consecuencias de caer en una estafa de phishing?

    Las consecuencias pueden incluir el robo de credenciales de inicio de sesión, números de tarjetas de crédito o datos personales, lo que puede llevar a fraudes financieros o suplantación de identidad.

  • ¿Cómo puedo denunciar un intento de phishing?

    Puedes denunciar el intento de phishing a las autoridades competentes, como la Policía Nacional o el Instituto Nacional de Ciberseguridad (INCIBE) en España siguiendo las indicaciones de su página web para reportar un fraude.

  • ¿Qué organizaciones ofrecen recursos para identificar el phishing?

    Organizaciones como INCIBE, OSI (Oficina de Seguridad del Internauta) y Google Safe Browsing ofrecen recursos y herramientas para identificar y evitar el phishing.

  • ¿Qué debo hacer si sospecho que un correo electrónico es de phishing?

    No hagas clic en ningún enlace ni descargues archivos adjuntos. Verifica la autenticidad del correo contactando directamente a la empresa y denuncia el intento de phishing.

Conclusión

Reconocer un correo de phishing es esencial para proteger tus datos y evitar estafas, independientemente del nivel de uso que hagas de plataformas digitales es importante que aprendas a identificar correos electrónicos falsos, tomar medidas preventivas y actuar en caso de sospecha.

Es importante informar a personas mayores sobre este tipo de estafas y enseñarles a protegerse de ellas ya que son más vulnerables a este tipo de estafa.

Utilizar herramientas como la firma electrónica de Yousign puede ayudarte a proteger tus datos y simplificar los procesos empresariales de manera segura.

En Yousign, estamos comprometidos a simplificar la gestión de documentos con nuestra firma electrónica, no dudes en contactarnos.

Prueba Yousign gratis durante 14 días y

descubre cómo podemos ayudarte a proteger tus datos

Descubre la firma electrónica gratuita de Yousign

Explorar más contenido

Prueba Yousign gratis
durante 14 días

Como más de 25.000 clientes, simplifica hoy mismo la firma de todos tus documentos

green arrow
cta illustration