← Volver a Estafas & phishing

Estafas de phishing por correo electrónico

El correo electrónico sigue siendo uno de los vectores de ataque más comunes para los estafadores. En este capítulo, aprenderás a identificar correos electrónicos de phishing, comprender cómo los atacantes crean mensajes convincentes y protegerte contra esta amenaza omnipresente.

La magnitud del phishing por correo electrónico

Los números cuentan una historia convincente:

• 989,123 ataques de phishing observados por APWG solo en el cuarto trimestre de 2024
• 5.3 mil millones de correos de phishing enviados diariamente en todo el mundo
• Microsoft filtra 5 mil millones de correos diariamente en busca de malware y phishing
• Gmail bloquea 100 millones de correos de phishing cada día
• 70% de los correos de phishing provienen de proveedores de correo web gratuito (Gmail, Yahoo, etc.)
• El phishing es responsable del 44% de las violaciones de datos registradas

El phishing por correo electrónico no va a desaparecer—se está volviendo más sofisticado y difícil de detectar.

Tácticas comunes de phishing por correo electrónico

1. Estafas de verificación de cuenta

El montaje: Recibes un correo electrónico afirmando que tu cuenta necesita verificación o será suspendida.

Ejemplo:

Asunto: “Urgente: Tu cuenta de PayPal ha sido limitada”

Estimado cliente,

Hemos detectado actividad inusual en tu cuenta. Haz clic aquí para verificar tu identidad dentro de las 24 horas o tu cuenta será suspendida permanentemente.

Por qué funciona:

• Crea urgencia y miedo
• Explota la confianza en marcas familiares
• Amenaza con consecuencias negativas

Señales de alerta:

• Saludos genéricos (“Estimado cliente” en lugar de tu nombre)
• Plazos urgentes (24-48 horas)
• Amenazas de suspensión de cuenta
• Enlaces para verificar información

2. Facturas y recibos falsos

El montaje: El correo parece ser un recibo de una compra que no realizaste, esperando que hagas clic para disputarlo.

Ejemplo:

Asunto: “Tu pedido de Amazon #12345 ha sido enviado”

Gracias por tu compra de auriculares Sony (299,99 €). Ver detalles de tu pedido o cancelar si no fuiste tú.

Por qué funciona:

• Quieres verificar si es fraudulento
• Crea preocupación sobre cargos no autorizados
• Parece recibos legítimos

Señales de alerta:

• Pedido de artículos que no compraste
• Direcciones de correo ligeramente diferentes de los dominios oficiales
• Los enlaces no coinciden con las URL de sitios web oficiales
• Mal formato o gramática

3. Estafas de premios y loterías

El montaje: ¡Felicidades! Has ganado un premio, lotería o tarjeta de regalo en la que nunca participaste.

Ejemplo:

Asunto: “¡Felicidades! Has ganado una tarjeta de regalo de Amazon de 500 €”

¡Has sido seleccionado al azar como ganador! Reclama tu premio haciendo clic aquí e ingresando tu información.

Por qué funciona:

• Explota el deseo de dinero gratis
• Crea entusiasmo que anula la precaución
• Parece requerir acción rápida

Señales de alerta:

• Ganar concursos en los que nunca participaste
• Solicitudes de información personal para reclamar el premio
• Requiere “pequeña tarifa de procesamiento”
• Ofertas demasiado buenas para ser verdad

4. Phishing de bancos e instituciones financieras

El montaje: El correo parece provenir de tu banco sobre actividad sospechosa o actualizaciones requeridas.

Ejemplo:

Asunto: “Alerta de seguridad: Intento de inicio de sesión no autorizado”

Detectamos un inicio de sesión sospechoso desde un dispositivo desconocido. Por favor verifica tu cuenta inmediatamente para prevenir acceso no autorizado.

Por qué funciona:

• La seguridad bancaria es importante para todos
• Crea miedo de compromiso de cuenta
• Parece oficial con logos y marca

Señales de alerta:

• Correo de direcciones que no coinciden con el dominio del banco
• Te pide hacer clic en enlaces para verificar
• Solicita información sensible por correo electrónico
• Información de cuenta genérica (no tus detalles de cuenta reales)

5. Estafas de soporte técnico

El montaje: El correo afirma ser de Microsoft, Apple o empresas de antivirus sobre problemas de seguridad.

Ejemplo:

Asunto: “Alerta de seguridad de Microsoft: Virus detectado”

Nuestros sistemas han detectado malware en tu dispositivo. Descarga esta herramienta de seguridad inmediatamente o llama a nuestro número de soporte.

Por qué funciona:

• Miedo a virus informáticos
• Parece estar ayudándote
• Usa marca de apariencia oficial

Señales de alerta:

• Advertencias de seguridad no solicitadas por correo electrónico
• Números de teléfono para llamar (las empresas tecnológicas no operan así)
• “Herramientas de seguridad” descargables
• Presión para actuar inmediatamente

Principales suplantaciones de marcas

Microsoft - 35% de todo el phishing

Microsoft es la marca más suplantada en ataques de phishing:

• Páginas falsas de inicio de sesión de Office 365
• Correos de “Tu contraseña está expirando”
• Notificaciones de compartir archivos de OneDrive
• Solicitudes falsas de verificación de cuenta

Lo que hacen los correos reales de Microsoft:

• Nunca piden contraseñas por correo electrónico
• No envían enlaces de inicio de sesión
• Usan dominios oficiales consistentes
• Incluyen tu información de cuenta real

Phishing de Amazon

Tácticas comunes:

• Confirmaciones de pedido falsas
• Mensajes de “Cuenta en espera”
• Avisos de expiración de membresía Prime
• Problemas de entrega de paquetes

Lo que hacen los correos reales de Amazon:

• Muestran pedidos reales en tu cuenta
• Usan el dominio amazon.es (no amazon-secure.com)
• Incluyen números de pedido que puedes verificar
• Nunca piden información de pago por correo electrónico

Phishing de instituciones bancarias

Todos los bancos principales son frecuentemente suplantados:

• BBVA, Santander, CaixaBank, etc.
• Compañías de tarjetas de crédito (Visa, Mastercard, Amex)
• Procesadores de pago (PayPal, Bizum, Verse)

Lo que hacen los bancos reales:

• Contacto inicial por correo postal, no correo electrónico
• Nunca solicitan contraseñas o números de cuenta completos
• No envían enlaces de inicio de sesión por correo electrónico
• Usan mensajería segura dentro de su app/sitio web

La anatomía de un correo de phishing

Señal de alerta #1: Dirección del remitente

Qué verificar:

• Pasa el cursor sobre el nombre del remitente para ver la dirección de correo real
• Busca errores ortográficos leves (paypa1.com en lugar de paypal.com)
• Proveedores de correo gratuito para correos “empresariales”
• Caracteres adicionales o guiones (pay-pal.com, paypal-secure.com)

Ejemplos de direcciones falsas:

• support@amazоn.com (usando ‘о’ cirílica)
• [email protected]
• [email protected]
• [email protected] (debería ser .com)

Señal de alerta #2: Saludos genéricos

Las empresas legítimas usan tu nombre:

• ❌ “Estimado cliente”
• ❌ “Estimado usuario”
• ❌ “Estimado titular de cuenta”
• ✅ “Estimado Juan García”

Señal de alerta #3: Lenguaje urgente

Los estafadores crean urgencia artificial:

• “Actúa en 24 horas”
• “Acción inmediata requerida”
• “Tu cuenta será cerrada”
• “Verifica ahora o pierde el acceso”

Verificación de realidad: Las empresas legítimas dan plazos razonables y múltiples notificaciones.

Señal de alerta #4: Enlaces sospechosos

Cómo verificar enlaces de forma segura:

1. Pasa el cursor sobre el enlace sin hacer clic (escritorio)
2. Presiona largo en el enlace para previsualizar (móvil)
3. Verifica si el texto mostrado coincide con la URL real
4. Busca nombres de dominio legítimos

Ejemplo de no coincidencia de enlace:

• Muestra: “www.paypal.com/verify”
• Real: “paypal-verify.suspicious-site.com”

Señal de alerta #5: Mala gramática y ortografía

Aunque la IA ha mejorado la redacción de estafas, todavía ocurren errores:

• Redacción torpe
• Capitalización inconsistente
• Errores ortográficos
• Artefactos de traducción

Señal de alerta #6: Archivos adjuntos inusuales

Sospecha de:

• Archivos adjuntos inesperados de remitentes “conocidos”
• Tipos de archivo: .exe, .scr, .zip, .js, .iso
• “Factura.pdf.exe” (extensiones dobles)
• Documentos protegidos con contraseña de fuentes desconocidas

Señal de alerta #7: Solicitudes de información sensible

Las empresas legítimas nunca solicitan por correo electrónico:

• Contraseñas o PINs
• Números de seguridad social
• Números de tarjeta de crédito (número completo)
• Credenciales de cuenta
• Copias de documentos de identidad

Señal de alerta #8: Demasiado bueno para ser verdad

Si suena increíble, probablemente lo sea:

• “¡Has ganado 10,000 €!”
• “iPhone gratis por hacer una encuesta”
• “Herencia de familiar desconocido”
• “Trabaja desde casa - gana 5000 €/semana”

Señal de alerta #9: Información inconsistente

Verifica inconsistencias:

• El correo dice “Tu cuenta de Apple” pero no tienes una
• Nombre de banco que no usas
• Servicios a los que nunca te suscribiste
• Pedidos que nunca hiciste

Procedimientos de verificación

Antes de hacer clic en CUALQUIER enlace:

Paso 1: Pausa No hagas clic inmediatamente, incluso si parece urgente.

Paso 2: Verifica el remitente Verifica la dirección de correo real, no solo el nombre mostrado.

Paso 3: Verifica de forma independiente

• Escribe la dirección del sitio web de la empresa tú mismo
• Usa la aplicación oficial en su lugar
• Llama usando el número del sitio web oficial de la empresa
• Verifica tu cuenta directamente (no a través del enlace del correo)

Paso 4: Busca señales de alerta Revisa la lista anterior—¿hay señales de alerta?

Paso 5: En caso de duda, no lo hagas Si algo se siente extraño, no hagas clic. Elimínalo.

Prácticas seguras:

Para cuentas importantes:

• Marca sitios web oficiales como favoritos
• Usa aplicaciones oficiales en lugar de enlaces de correo
• Activa autenticación de dos factores
• Configura alertas de cuenta para actividad inusual

Para enlaces de correo:

• Nunca hagas clic en enlaces en correos no solicitados
• Escribe las URL manualmente
• Usa favoritos para sitios frecuentes
• Verifica a través de canales independientes

Para archivos adjuntos:

• No abras archivos adjuntos inesperados
• Escanea primero con antivirus
• Verifica al remitente mediante método alternativo
• En caso de duda, pregunta directamente al remitente (no por respuesta)

Ejemplos del mundo real

Ejemplo 1: El phishing de PayPal

Correo recibido:

De: PayPal Security <[email protected]>
Asunto: Urgente: Verifica tu cuenta

Estimado cliente valioso,

Hemos detectado actividad inusual. Haz clic aquí para verificar en 24 horas
o tu cuenta será limitada.

[Verificar cuenta ahora]

Señales de alerta:

1. Dominio incorrecto (paypal-verify.com)
2. Saludo genérico
3. Plazo urgente de 24 horas
4. Enlace para verificar cuenta

Acción correcta:

• No hagas clic en el enlace
• Inicia sesión en PayPal directamente vía navegador
• Verifica notificaciones reales allí

Ejemplo 2: El pedido de Amazon

Correo recibido:

De: Amazon <[email protected]>
Asunto: Tu pedido de iPhone 15 ha sido enviado

Pedido #123-4567890-1234567
iPhone 15 Pro - 1.199,99 €

Rastrea tu paquete o cancela si no pediste esto.

Señales de alerta:

1. Dominio incorrecto (.net en lugar de .es)
2. Artículo caro que no pediste
3. Diseñado para crear pánico

Acción correcta:

• Inicia sesión en la cuenta de Amazon directamente
• Verifica pedidos reales
• No hagas clic en enlaces de correo

Ejemplo 3: La alerta de seguridad de Microsoft

Correo recibido:

De: Microsoft Security Team <[email protected]>
Asunto: Alerta de seguridad: Contraseña expirando

Tu contraseña expirará en 2 horas. Haz clic aquí para renovar o
perderás el acceso a tu cuenta.

Señales de alerta:

1. Dominio incorrecto (microsoft-365.com)
2. Urgencia artificial de 2 horas
3. Las contraseñas no expiran en horas
4. Enlace para “renovar” contraseña

Acción correcta:

• Ignora el correo
• Microsoft no opera así
• Cambia la contraseña directamente si estás preocupado

Lo que las empresas legítimas realmente hacen

NO hacen:

• Enviar correos no solicitados con enlaces de inicio de sesión
• Solicitar información sensible por correo electrónico
• Crear urgencia artificial (horas/días)
• Amenazar con suspensión de cuenta sin advertencia
• Pedir contraseñas o números de cuenta completos
• Enviar enlaces de verificación por correo electrónico

SÍ hacen:

• Usar tu nombre real
• Enviar mensajes seguros a través de su app/sitio web
• Proporcionar plazos razonables
• Enviar múltiples notificaciones antes de acciones
• Usar dominios de correo oficiales consistentes
• Incluir detalles de cuenta verificables

Si has hecho clic en un enlace de phishing

Acciones inmediatas:

1. No ingreses información - Cierra el navegador inmediatamente
2. Cambia contraseñas - Para la cuenta afectada (desde dispositivo seguro)
3. Activa 2FA - Si no está ya activa
4. Monitorea cuentas - Verifica actividad no autorizada
5. Ejecuta escaneo antivirus - Verifica malware
6. Repórtalo - Reenvía a [email protected]

Dentro de 24 horas:

7. Verifica estados de cuenta bancarios - Busca cargos no autorizados
8. Monitorea crédito - Observa signos de robo de identidad
9. Actualiza contraseñas - Para cuentas usando la misma contraseña
10. Alerta a contactos - Si tu correo fue comprometido

Puntos clave para recordar

• 989,123 ataques de phishing observados en el cuarto trimestre de 2024
• 70% provienen de proveedores de correo gratuito como Gmail
• Microsoft es la marca más suplantada (35% de los ataques)
• Siempre verifica de forma independiente antes de hacer clic en enlaces
• Pasa el cursor sobre enlaces para ver el destino real
• Saludos genéricos y lenguaje urgente son señales de alerta
• Las empresas legítimas nunca solicitan contraseñas por correo electrónico
• Escribe las URL manualmente en lugar de hacer clic en enlaces de correo
• Activa 2FA en todas las cuentas importantes
• En caso de duda, no hagas clic - verifica a través de canales oficiales

Recuerda: Los estafadores son profesionales que crean correos convincentes. Incluso las personas expertas en tecnología pueden ser engañadas cuando son sorprendidas en el momento equivocado. La mejor defensa es hacer una pausa, verificar y nunca confiar en enlaces de correo para acciones sensibles.

Próximo capítulo: Exploraremos el smishing (phishing por SMS) - estafas por mensajes de texto que tienen una tasa de éxito aún mayor que el phishing por correo electrónico.