top of page
Buscar

Alerta: el phishing está desatado y así puede evitar caer en la trampa | Xyclos


Ilustración profesional sobre phishing: usuario analizando un correo sospechoso antes de hacer clic, enfoque en criterio digital – Xyclos Academy

Resumen ejecutivo (Key takeaway)


El phishing por correo electrónico no se detecta por tecnología, sino por criterio.


Los ataques más efectivos no usan virus ni técnicas complejas: usan urgencia, miedo y mensajes que aparentan ser legítimos. Si un correo le pide actuar de inmediato: actualizar un pago, confirmar una cuenta o hacer clic en un enlace; la acción correcta es no hacer nada hasta verificar el origen. La prevención real comienza cuando el usuario entiende que ningún servicio legítimo exige decisiones apresuradas desde un email.


Mi historia actual y que le recomiendo hacer

En estos últimos días, a fines de enero y principios de febrero, hay noticias sobre robos masivos de credenciales de usuarios y contraseñas, y el resultado de esto no se ha hecho esperar.


He recibido 7 emails de "Netflix", "Spotify", "DHL", "Microsoft" y "Amazon".


Primera alerta

Los correos siempre buscan llamar la atención:


  • No se ha podido procesar un pago o renovación

  • Fondos insuficientes

  • Debe tomar acción inmediata o será suspendido el servicio

  • Actualización de datos


Acción

No tomar ninguna acción con el mensaje: no hacer clic en ningún lugar del correo, eliminarlo, marcarlo como spam y reportarlo al área de sistemas.


Segunda alerta

El correo del remitente no es confiable, parece extraño o poco habitual.


Por lo general, un correo legítimo tiene esta estructura:


jrodriguez@unibanco.fin


Usuario y dominio claramente identificables.


Acción

Verificar el correo del remitente o quién envía el mensaje.


Pasar el cursor encima de la dirección de email. Por lo general, no contiene una dirección confiable: el usuario puede ser una combinación de números o letras sin sentido y el dominio no corresponde a la empresa que supuestamente envía el correo.


Ejemplo: 1873jhy@sujdods.comm


No tomar ninguna acción con el mensaje: no hacer clic en ningún lugar del correo, eliminarlo, marcarlo como spam y reportarlo al área de sistemas.


Tercera alerta

En algunos mensajes se incluye una dirección de correo para responder y de la misma forma que en el caso anterior, verificarlo.


Acción

Mismo caso que el anterior: pasar el cursor encima de la dirección de email, por lo general no corresponde a una dirección confiable.


No hacer clic en ningún lugar del correo, eliminarlo, marcarlo como spam y reportarlo al área de sistemas.


Cuarta alerta

Leer el texto del mensaje, que por lo general va a mencionar:


  • No se pudo procesar el pago

  • Va a perder acceso al servicio

  • Después de una fecha, va a perder acceso al servicio

  • Acción requerida: su paquete está en espera (Hold)

  • Mensaje de seguridad: cuenta será bloqueada

  • Error en el proceso de pago de la suscripción

  • Actualizar datos para enviarle algo


Acción

No hacer clic en ningún lugar del correo, eliminarlo, marcarlo como spam y reportarlo al área de sistemas.


Quinta alerta

Botones o texto dentro del mensaje, que le solicitan proceda a tomar una acción haciendo clic en el:


  • Retry payment (Reintentar el pago)

  • Haga clic para abrir el formulario

  • Actualice información (Update information)

  • Actualice método de pago (Update payment method)

  • Retry payment

  • Renew membership

  • Update your shipping address

  • Hacer clic en el siguiente enlace


Acción - LA MÁS IMPORTANTE

Nunca, pero nunca, hacer clic en botones o texto en cualquier parte de este mensaje.


Eliminarlo, marcarlo como spam y reportarlo al área de sistemas.


Sexta alerta

Muchas veces es posible que reciba mensajes de sus contactos, pero de eso se trata la suplantación de identidad: los pedidos suelen ser muy sutiles.


Acción

Si tiene dudas, llame a la persona que le envió el mensaje para confirmar si realmente lo envió.


En definitiva:


NUNCA HACER CLIC EN UN BOTÓN O TEXTO DE UN MENSAJE SIN ANTES VERIFICAR, VERIFICAR, VERIFICAR.


Séptima alerta

Esto no tiene que ver únicamente con el correo electrónico, sino también con llamadas telefónicas o mensajes de WhatsApp.


Estas son aún más peligrosas.


Se comunican con usted haciéndose pasar por el SRI (Servicio de Rentas Internas - Organismo gubernamental) o por un banco, incluso su propio banco. Le piden que realice una actualización de datos, le solicitan primero el usuario y la contraseña, luego le envían un enlace al celular y le piden que haga clic en un botón. Todo suena legal. Usted hace clic, llena los datos y ahí se acabó: ya tienen su información, toman control del dispositivo y pueden hacer lo que quieran.


Acción

No hacer clic en ningún enlace, no entregar información y colgar la llamada o eliminar el mensaje.


Descarga segura del material


Para fines educativos, puede acceder a la presentación en PowerPoint con ejemplos reales de mensajes de los que hablamos en este blog.


El archivo está alojado en un entorno seguro y no requiere ingresar datos ni credenciales.



¿Y qué es todo esto?


Bueno, todo comienza con hackers que logran robar información de bases de datos de empresas grandes o relevantes, tanto públicas como privadas.


La venden al mejor postor, a otros hackers inclusive o a empresas interesadas en obtener "nuevos clientes".


Otros hackers, o ellos mismos, usan esa información para infiltrarse en empresas, suplantar identidades y enviar mensajes diseñados para acceder a su información y extraer datos valiosos.


¿Cómo lo hacen?


Existen varios métodos para lograrlo. Uno de los más utilizados, y también uno de los más efectivos, es el phishing.


¿Qué es el phishing?


El phishing es una forma de suplantación de identidad en la que un atacante se hace pasar por una persona o institución legítima, utilizando ingeniería social para convencerle de realizar una acción urgente, como hacer clic en un enlace o ingresar datos, con el objetivo de robar info


Conclusión


  • Si nota algo anómalo en su Bandeja de entrada (inbox), tome las acciones recomendadas para evitar que le roben información sensible o confidencial de la empresa o sus datos personales, como credenciales bancarias, usuarios y contraseñas.

  • Si recibe llamadas extrañas, cuelgue inmediatamente. No acepte descargar ningún archivo ni haga clic en ningún enlace. Si se trata de un mensaje de WhatsApp, repórtelo o márquelo como spam y elimine el contacto.


    Siempre, pero siempre, manténgase alerta y no tome ninguna acción sin antes verificar, siguiendo las recomendaciones proporcionadas.



FAQs


¿Qué es el phishing y por qué es tan efectivo?


El phishing es una técnica de suplantación de identidad en la que un atacante se hace pasar por una persona o institución legítima para engañar al usuario y obtener información sensible. Es tan efectivo porque se basa en ingeniería social: urgencia, miedo y mensajes que aparentan ser reales.


¿Cómo funciona el phishing por correo electrónico?


Funciona mediante correos que simulan provenir de bancos, empresas conocidas o servicios digitales. Estos mensajes suelen alertar sobre pagos fallidos, cuentas bloqueadas o actualizaciones urgentes, e incluyen enlaces o botones que dirigen a sitios falsos donde se roban los datos.


¿Cuáles son las señales más comunes de correos falsos o correos de phishing?


Mensajes que exigen acción inmediata, errores o incongruencias en el remitente, enlaces sospechosos, solicitudes de actualización de datos y advertencias de suspensión de servicios. Ante cualquiera de estas señales, no se debe interactuar con el mensaje.


¿Qué debo hacer si recibo un correo sospechoso?


No interactuar con el mensaje, marcarlo como spam y eliminarlo. Si parece provenir de un contacto conocido, confirme por otro medio antes de responder y, en entornos corporativos, repórtelo al área de sistemas.


¿Qué es la suplantación de identidad en el phishing?


Es cuando un atacante se hace pasar por una persona, empresa o institución real utilizando datos robados, como su nombre o correo electrónico, para generar confianza y lograr que usted realice una acción que comprometa su información.


¿Las estafas por email, llamadas o WhatsApp siguen siendo frecuentes?


Sí. Estas estafas siguen siendo muy comunes y cada vez más sofisticadas. Los atacantes combinan correos electrónicos, llamadas telefónicas y mensajes de WhatsApp para aumentar la credibilidad del engaño y presionar a la víctima.


¿Un antivirus es suficiente para protegerse del phishing?


No. Un antivirus puede ayudar a detectar archivos maliciosos o enlaces conocidos, pero no es suficiente. El phishing ataca principalmente el comportamiento humano, por lo que la mejor defensa sigue siendo el criterio del usuario: no hacer clic, no entregar información y verificar siempre antes de actuar.


Tip Pro Xyclos:

Un antivirus es una capa de protección, no una garantía. Si un mensaje apela a la urgencia, desconfíe y verifique por otro canal antes de actuar.


Xyclos Academy: Capacitación que reduce riesgos reales, no solo errores técnicos


En Xyclos Academy formamos profesionales y equipos en el uso productivo y seguro de herramientas como Microsoft Excel, Outlook, Power BI y Microsoft 365, fortaleciendo el criterio digital que hoy marca la diferencia entre prevenir un incidente o sufrirlo.


Nuestros programas están diseñados para que las personas piensen antes de hacer clic, gestionen mejor la información y trabajen con datos confiables en entornos empresariales reales.


¿No es este el tipo de capacitación que hoy necesita su equipo?





  • Whatsapp
bottom of page