Un ataque de phishing por correo electrónico es una amenaza digital que, por desgracia, se ha convertido en cotidiana. La buena noticia es que es posible no caer en sus redes, aunque para ello es necesario comprender cuáles son sus principales pilares, y eso es precisamente lo que vamos a contarte, ¡qué es el phishing y cómo evitarlo!
¿Qué es un correo electrónico de phishing?
Un correo de phishing es un mensaje diseñado para parecer legítimo y persuadirte de hacer clic, descargar software o compartir datos sensibles. Suele imitar a entidades bancarias, servicios en la nube o compañeros de trabajo, y su objetivo es robar usuarios y contraseñas, instalar malware o desviar pagos usando técnicas de ingeniería social.
Si no estás prevenido, para cuando quieras darte cuenta puede ser demasiado tarde. Por eso es mejor tener claro qué es el phishing, cómo actúa y cómo evitarlo que tener que buscar cómo recuperar una cuenta de Instagram bloqueada por phishing sin correo. Créenos, ¡ante este tipo de ciberamenaza lo mejor es la prevención!

Tipos de ataques de phishing por correo electrónico
No todos los fraudes por email funcionan del mismo modo. Algunos buscan tu contraseña, mientras que otros van directamente a por tu dinero o desean mantener un acceso continuo a tus cuentas en distintos servicios en línea, por eso es importante que conozcas las distintas clases de phishing y cómo pueden afectarte.
- Suplantación de marca con enlaces a páginas de inicio de sesión falsas para robar usuarios y contraseñas, creíbles porque clonan webs auténticas difíciles de identificar.
- Adjuntos maliciosos (Office, PDF, ZIP) que instalan malware o descargan troyanos tras habilitar macros.
- Business Email Compromise (BEC), que es como se denomina al hecho dee que se soliciten un cambio de cuenta bancaria o pagos urgentes solicitados por un supuesto jefe/proveedor, con instrucciones de mantener el secretismo y presión para actuar con premura.
- Spear phishing: Mensajes personalizados con datos reales para aumentar la credibilidad, basados en información publicada en redes sociales, en filtraciones u Open Source INTelligence (OSINT)..
- Robo de hilos (reply-chain hijacking), que es como se denomina al envío de correos desde cuentas comprometidas que continúan conversaciones legítimas y archivos adjuntos.
- Consent phishing (OAuth), correos que piden autorizar una app falsa y conceden tokens de acceso persistente.
- Quishing (QR phishing), envío de imágenes/adjuntos con códigos QR que llevan a páginas de robo de credenciales.
- Whaling, que es como se conoce a los fraudes dirigidos a directivos de alto nivel con objetivos económicos o de acceso privilegiado.
Como ves, existen muchos tipos de phishing y todos ellos resultan igual de peligrosos, por eso es importante que, además de permanecer alerta, dispongas de los elementos de seguridad para páginas web que protejan tus proyectos de este tipo de peligros.
Anatomía de un correo de phishing
Tal y como ya hemos mencionado, un correo de phishing combina ingeniería social y trucos técnicos para parecer legítimo y provocar acciones impulsivas, ¿pero qué es lo que hace que pueda engañarte? Conocer su estructura te permitirá identificarlos y librarte de sus efectos.
- Remitente y nombre falsos, un dominio similar al auténtico o direcciones no-reply inusuales.
- Asunto urgente o amenazante, que normalmente exige realizar una acción inmediata para evitar una suspensión, un cierre o cargos.
- Enlaces con texto legítimo pero URL real distinta al pasar el cursor, que usan acortadores o distintas redirecciones.
- Páginas de inicio de sesión falsas que imitan a servicios tan utilizados en el entorno profesional como Microsoft 365, entidades bancarias o paquetería, y que solicitan usuario y contraseña del usuario o MFA.
- Adjuntos Office/PDF/ZIP que requieren habilitar macros o contienen scripts maliciosos.
- Saludos genéricos, errores de formato o incluso gramaticales, así como logos o pie de firma copiados.
- Solicitudes de cambio de cuenta bancaria o pago confidencial (BEC).
- Indicadores técnicos como SPF/DKIM/DMARC fallidos o cabeceras con rutas extrañas.
- Truco del consentimiento OAuth, que se basa en pedir autorizar una app para conseguir un acceso persistente.
- Remitente nuevo o externo.
Qué hacer si recibes un correo infectado por URL de phishing
Si te llega un correo con URL sospechosa de estar infectada por phishing, asegúrate de seguir todos los pasos que te detallamos a continuación.
- No hacer clic ni previsualizar, eliminando incluso la vista previa automática.
- No reenviarlo.
- Reportar con el botón ‘Report phishing’ de tu proveedor de correo profesional.
- Pasar el cursor por encima de los links, sin abrirlos, para comprobar cuál es la URL real, y hacer capturas de pantalla para enviarlas luego a las autoridades.
- Si haces clic por accidente, desconecta de inmediato tu conexión a internet, cambia contraseñas y habilita MFA.
- Escanear el equipo con un antivirus actualizado y eliminar cualquier tipo de amenaza que detecte.
- Revocar sesiones y tokens de apps conectadas.
- Informar a tu banco y hacer un seguimiento de la actividad por si los ciberatacantes tardan en actuar.
- Denunciar el caso ante las autoridades españolas para que tomen cartas en el asunto.
Cómo protegerte de los ataques de phishing por correo
Para protegerte de un ataque de phishing por correo electrónico es necesario que aprendas a combinar hábitos seguros y medidas técnicas, y te lo ponemos muy fácil con esta breve guía paso a paso.
- Activar MFA en todas tus cuentas para neutralizar el robo de usuarios y contraseñas.
- Comprobar el remitente y el dominio, confirmando por otro canal si es preciso.
- Pasar el cursor por los enlaces antes de abrirlos, evitando hacer clic si se han usado acortadores o redirecciones.
- No abrir documentos adjuntos que no esperas ni habilitar macros.
- Mantener actualizados tu sistema, tu navegador y tu correo, asegurándote de aplicar parches y políticas antiphishing.
- Implementar SPF, DKIM y DMARC en tus dominios, utilizando ‘quarantine’/‘reject’.
- Usar filtros antiphishing y sandboxing para los adjuntos de riesgo.
- Informarte sobre la evolución de los ataques de phishing por correo electrónico.
- Reportar un ataque de este tipo.
- Reforzar cuentas privilegiadas y revisar las apps conectadas/OAuth.
- Configurar el cifrado TLS en servidores de correo y forzar HTTPS en los destinos.
Ejemplos de phishing por correo y cómo identificarlos
Se dan casos de phishing a diario en todo el mundo, pero conocer algunos que se han dado en España en los últimos años te permitirá ser aún más consciente de lo cercana que resulta esta amenaza y de por qué es importante estar prevenido contra ella.
- Correos (julio 2020): Un correo solicitaba una cantidad económica para entregar un paquete, enlazando a una web falsa que solicitaba datos personales y de una tarjeta bancaria.
- Agencia Tributaria (campaña de Renta 2021): Usuarios recibieron mensajes de ‘Notificación’ con links que llevaban a páginas fraudulentas o descargas maliciosas.
- DGT (enero 2023): Se envió un correo falso que alertaba sobre una multa pendiente con factura adjunta y, al abrir el archivo, se instalaba malware en el equipo.
La única forma de no dar información a causa de un ataque de phishing por correo electrónico es estar alerta. Por suerte, como ya has visto, no supone un gran esfuerzo.