Qué es el Phishing: cómo reconocer y evitar esta estafa

Tiempos de teletrabajo, videollamadas, compras online... y tiempos también para saber qué es el Phishing, qué tipos de pshishing existen y cómo evitarlo: José Sánchez, miembro de la Guardia Civil, nos da las claves para reconocer este tipo de estafa y no caer en la tentación de abrir correos sospechosos que puedan ser parte de algún entramado delictivo. Presta atención y no muerdas el anzuelo.

Tan antiguo como el propio Internet, el phishing es una estafa que desgraciadamente nos acompaña en nuestras vidas digitales, con mayor peligrosidad y frecuencia en estos días en los que el comercio electrónico es tan importante, la banca prácticamente se ha convertido en digital y la tarjeta de crédito es nuestro nuevo monedero en la red de redes.

Cómo funciona el phishing

Los ciberdelincuentes usan principalmente el correo electrónico como medio para engañarnos, pero también se puede producir en redes sociales o en mensajes SMS.

Sea como sea todos tienen en común la intención de persuadir a la víctima, haciéndola pensar que la comunicación llega de una fuente en la que podemos confiar.

El atacante lo viste todo para que nos parezca familiar, nada peligroso, por que quiere que pulsemos un enlace, que descarguemos un archivo, o que le demos alguna información valiosa para seguir con su trampa. Incluso nos pueden pedir que completemos un pago.

Redes sociales y delitos informáticos: cómo evitar ser víctima

La realidad es que los malhechores ahora tienen mucha más información de nosotros que hace años, ya que las redes sociales se convierten en un lugar ideal para estudiarnos y poder crear un engaño mucho más personalizado, más complicado de destapar.

Al tratarse de redes sociales el modo de operar es más complejo, ya que crean perfiles falsos, normalmente atractivos, con los que intentan convertirse en nuestros amigos. Pueden llegar a invertir tiempo en una relación, hasta conseguir confianza para poder realizar la trampa. Es muy desagradable sentirse estafado de esta forma.

No siempre utilizan la creación de un perfil o correo falso, los ciberdelicuentes pueden haber robado las cuentas o correos reales a personas o empresas de nuestra confianza, por lo que es complicado no caer en su trampa.

No es SPAM, es phishing

No debemos confundirlos con el SPAM, aunque en cierta forma existe una vinculación, ya que ambos utilizan el correo para engañar a sus víctimas. Pero el SPAM raramente perjudica al destinatario, en la mayoría de los casos es correo basura - no deseado - que nos molesta.

La forma habitual de atacarnos del phishing es recibiendo un correo electrónico que se hace pasar por un banco u organización que conocemos y mantiene comunicación con nosotros. Nos resulta familiar y casi sin darnos cuenta nos adentramos en sus fauces a través de enlaces o la entrega de datos personales.

También es normal encontrarnos con que el phishing intenta crear alarma en el receptor, planteando una situación en la que el usuario se siente tentado a contestar o corregir la situación lo antes posible.

Qué nos puede ocurrir si nos hacen phishing

Los efectos del phishing son variados, desde el robo de nuestras credenciales para entrar en un servicio concreto, pasando por la sustracción de información más general para luego intentar chantajearnos, terminando por conseguir nuestros datos bancarios o de tarjetas para hacer uso de ellas.

Sea como sea, el engaño es doloroso y todos los integrantes de esta red podemos hacer algo para que no se produzca o se mitigue. En primer lugar estar informados, conocer los tipos de phishing con los que nos van a atacar:

Tipos de phishing que existen: siempre basados en la confianza

Hay tantos casos como medios digitales de comunicación, pero los principales que encontramos son los siguientes, que incluso se pueden mezclar o apoyar entre ellos:

• A través del correo: ya lo hemos comentado, es el medio principal para este fraude.
• El engaño a través de la web. Son sitios falsificados con los que consiguen robarnos las credenciales de entrada.
• Las redes sociales, mediante la creación de perfiles falsos con los que se ganan nuestra confianza.
• Smishing es el phishing a través de SMS. Nos envían un mensaje con enlaces a webs o descarga de aplicaciones, que en realidad es malware que robará información de tu teléfono.
• Vishing o voice phishing. También es posible que el robo de información se realice a través de una conversación telefónica, que no tiene que ser con una persona, también pueden mantenerse con robots.

Cómo reconocer un mensaje de Phishing

En primer lugar nos tiene que sonar muy raro que una gran empresa nos pida datos personales por un medio como el correo electrónico, a partir de aquí empieza a sospechar. Tampoco lo van a hacer a través de SMS.

La apariencia de la web o el correo nunca nos debe hacer bajar la guardia, los ciberdelicuentes son capaces de recrear páginas e imágenes corporativas con gran fidelidad. Fíjate bien en los detalles, a veces pueden dejarse errores sueltos: faltas de ortografía y errores gramaticales.

En cuanto a los correos, mira bien la dirección del remitente: ¿es extraña? ¿no cumple con unos mínimos corporativos? ¿no la reconoces?. También es raro que una comunicación desde un banco o empresa lleve archivos adjuntos, ni se te ocurra abrirlos.

Tampoco te aventures con los enlaces en el texto, pueden ser la forma de sacarte del correo, el camino hasta la web falsa que han montado para engañarte.

De nuevo desconfía cuando una gran empresa o un conocido está metiéndote prisa por algo: tu cuenta ha sido bloqueada, ha llegado una nueva normativa, mejora tus medidas de seguridad, actualiza tu contraseña, tienes descuentos y promociones irresistibles que debes usar ya, etc.

Otro detalle cada vez menos importante es el de la personalización, sospecha si es un correo muy general, que saluda sin conocerte. Hoy en día esto esto lo tienen más trabajado ya que los ciberdelincuentes se las ingenian para recabar información antes de operar.

Todas los consejos que hemos dado deben multiplicarse por dos en importancia cuando las operaciones se realizan desde un teléfono móvil, ya que los elementos se formatean de forma más compacta, los detalles se ven más pequeños y no estamos tan pendientes de direcciones.

Qué hacer y cómo protegerse contra el Phishing

Lo principal es ser muy escéptico y estar alerta, también es conveniente formarse al respecto del phishing y en la medida de lo posible conseguir protegerse a través de software. Tenemos que aprender a reconocer estas malas artes.

Cuando hayas detectado alguna situación maliciosa, no estará de más ponerte en contacto con la empresa o persona a la que están suplantando, contrastar la información y hacerles saber que algo raro pasa. Obviamente haces todo esto si tienes tiempo, sino puedes directamente borrar el mensaje y seguir viviendo con tranquilidad.


Vale, no tocamos enlaces, ni descargamos archivos adjuntos, pero tampoco respondemos directamente a esos correos. En el caso de direcciones web, verificar siempre que la URL comienza con HTTPS y lleva el icono del candado.

Por lo que pueda haber ocurrido en alguna ocasión, es una buena práctica realizar cambios periódicos de nuestras contraseñas en los servicios importantes. Es posible que el ciberdelincuente no vaya a hacer inmediatamente algo con nuestros datos y tenemos un tiempo precioso para volver a cerrarle las puertas.

Revisa las cuentas bancarias con cierta regularidad, también es responsabilidad de bancos y tarjetas encontrar fraudes, pero nosotros somos los principales perjudicados si algo malo está ocurriendo.

Desde el punto de vista software, es importante que tengamos tanto el navegador web como el sistema operativo al día, con las últimas actualizaciones de seguridad.

Si además cuentas con una capa adicional de protección como puede ser un antivirus de calidad, también puede echarnos una mano. Tampoco sobra un bloqueador de anuncios que elimine ventanas emergentes.

En definitiva, adoptar buenos hábitos de navegación y permanecer siempre alerta.