Phishing: cómo reconocer y evitar los ataques

Cada día se envían 3.400 millones de correos de phishing en todo el mundo. Detrás de estos mensajes se esconden técnicas de manipulación cada vez más sofisticadas. Entender cómo funcionan es la mejor forma de protegerse.

¿Qué es el phishing y por qué funciona?

El phishing es una técnica de fraude que consiste en hacerse pasar por una entidad de confianza (banco, servicio de mensajería, administración pública) para robar información personal. Su eficacia se basa en un principio simple: la apariencia de legitimidad.

Un correo de phishing reproduce los logotipos, los colores y el tono de un mensaje oficial. El usuario juzga la fiabilidad del mensaje por su apariencia visual, y es precisamente ese hábito el que explotan los atacantes. Ya sea por correo electrónico, SMS o incluso correo postal, el mecanismo es el mismo: crear una apariencia creíble para obtener una reacción impulsiva.

¿Cómo crean los atacantes una sensación de urgencia?

Los mensajes de phishing utilizan la presión psicológica para cortocircuitar el juicio y empujar a actuar rápido, antes de reflexionar. El objetivo es provocar una reacción emocional en lugar de un análisis racional.

Los pretextos más habituales siguen un patrón recurrente:

  • "Se ha detectado actividad sospechosa en su cuenta, cambie su contraseña inmediatamente"
  • "Problema con el pago, su suscripción va a ser cancelada"
  • "Paquete en espera, gastos de aduana a abonar en 24 h"
  • "Alerta de seguridad en su tarjeta bancaria"

Cada mensaje contiene un enlace o un botón que conduce a un sitio falso, visualmente idéntico al real. Es en ese sitio donde la víctima introduce sus credenciales, creyendo acceder al servicio legítimo.

¿Cómo reconocer un nombre de dominio falso?

El método más fiable para identificar un sitio de phishing es leer con atención la URL y, en particular, el nombre de dominio. Los atacantes utilizan varias técnicas de camuflaje para engañar a la vista.

Tomemos example.com como dominio legítimo:

  • Abuso de subdominio: example.another-dangerous-site.cam - aquí el dominio real es another-dangerous-site.cam, no example
  • Guion engañoso: example-secure-login.cam - un dominio completamente diferente que contiene el nombre de la marca
  • TLD distinto: example.site en lugar de example.com
  • Typosquatting: examplle.com - una letra duplicada, fácil de pasar por alto en una lectura rápida

La regla a recordar: el dominio real es lo que aparece justo antes del TLD (.com, .es, .org). Todo lo que esté a la izquierda de un punto adicional es un subdominio que cualquiera puede crear.

¿Se puede verificar la autenticidad de un correo electrónico?

Sí, pero no basándose únicamente en la apariencia. Los filtros antispam detectan una parte de los correos fraudulentos gracias a mecanismos técnicos como SPF y DKIM, que verifican que un correo ha sido enviado desde un servidor autorizado para el dominio que aparece como remitente.

SPF (Sender Policy Framework) lista los servidores autorizados para enviar correos en nombre de un dominio. DKIM (DomainKeys Identified Mail) añade una firma criptográfica verificable por el destinatario. Esta información es visible en las cabeceras técnicas del mensaje.

Pero estos mecanismos tienen una limitación importante: demuestran el origen técnico del dominio, no la identidad real del remitente. Un atacante puede configurar un SPF y un DKIM perfectamente válidos en un dominio como support-securite-amazon.com. Es técnicamente impecable, pero engañoso a ojos humanos.

¿Por qué el phishing por SMS es aún más peligroso?

El smishing (phishing por SMS) aprovecha las características del móvil para eludir los reflejos de vigilancia. El SMS suele percibirse como más fiable que un correo electrónico, aunque las protecciones son menos eficaces.

Varias características hacen que el SMS sea especialmente arriesgado:

  • Los filtros antispam son menos eficientes que en el correo electrónico
  • La interfaz móvil no muestra la URL completa antes de hacer clic
  • El número del remitente puede reemplazarse por un nombre alfanumérico (Correos, Seguridad Social) fácil de suplantar
  • La URL en el navegador móvil suele aparecer truncada
  • El mensaje fraudulento puede insertarse en el mismo hilo de conversación que mensajes legítimos del mismo remitente

Los pretextos son similares a los del phishing por correo electrónico: paquete en espera, alerta bancaria, reembolso pendiente, notificación administrativa.

¿Cómo protege un gestor de contraseñas contra el phishing?

Un gestor de contraseñas compara la URL real del sitio con la registrada para cada credencial. Si el dominio no coincide exactamente, no ofrece rellenar los campos. Es una protección pasiva que no requiere ningún esfuerzo por parte del usuario.

Allí donde el ojo humano puede confundir example.com con examplle.com, el gestor de contraseñas realiza una comparación estricta, carácter por carácter. No es susceptible a los trucos visuales de camuflaje de dominio. Esta verificación automática constituye una red de seguridad en el día a día: si el gestor no ofrece sus credenciales en un sitio, es una señal de alerta inmediata.

¿Por qué el 2FA no es suficiente contra el phishing?

La autenticación de dos factores (2FA) es una mejora real de seguridad, pero no protege contra los ataques de phishing automatizados en tiempo real. En un escenario conocido como AiTM (Adversary-in-the-Middle), el atacante intercepta y retransmite cada etapa del proceso de inicio de sesión.

El proceso es el siguiente: la víctima introduce sus credenciales en el sitio falso. El sitio pirata las transmite inmediatamente al sitio real, que envía un código 2FA. La víctima introduce ese código en el sitio falso, que lo retransmite a su vez. El atacante queda conectado con un código válido, en tiempo real.

El 2FA sigue siendo eficaz contra los ataques diferidos —una base de contraseñas robadas se vuelve inútil si el 2FA está activo—. Pero ante un proxy en tiempo real, el código de un solo uso es interceptado antes de que expire.

¿Protegen las passkeys contra el phishing?

Sí. A diferencia de la combinación contraseña + código 2FA, una passkey está vinculada criptográficamente al dominio exacto para el que fue creada. En un sitio pirata, aunque sea visualmente idéntico, la passkey simplemente no se activa.

No hay nada que interceptar ni que reproducir: la autenticación se basa en un intercambio criptográfico entre el dispositivo del usuario y el servidor legítimo. Incluso un proxy AiTM en tiempo real es incapaz de eludir esta protección. Las passkeys representan la respuesta estructural al phishing, al eliminar el eslabón débil —el secreto compartido que el usuario puede transmitir involuntariamente—.

¿Hay que mentir en las preguntas de seguridad?

Las preguntas de seguridad ("¿Cuál es el nombre de su mascota?", "¿En qué ciudad nació?") suelen referirse a información semipública. Un atacante que tenga acceso a sus redes sociales, a una filtración de datos, o que simplemente le conozca vagamente, puede responderlas en su lugar.

Nada obliga a responder con la verdad. "¿Cuál es su animal favorito?" puede tener como respuesta "el planeta Marte". Lo importante es poder recuperar esa respuesta falsa —un gestor de contraseñas es el lugar natural para almacenarla, igual que una contraseña—.

Lo que hay que recordar

  • El phishing se basa en la apariencia de legitimidad y en la sensación de urgencia: detenerse antes de hacer clic es el primer reflejo que hay que adoptar
  • La URL es el único indicador fiable: aprenda a leer el nombre de dominio real, especialmente en el móvil
  • Un gestor de contraseñas verifica la URL por usted y no se deja engañar por dominios falsos
  • El 2FA protege contra los ataques diferidos, pero no contra el phishing en tiempo real
  • Las passkeys son la única protección estructural que hace que el phishing sea técnicamente imposible
  • Mienta en las preguntas de seguridad y almacene sus respuestas falsas en un gestor de contraseñas

Proteja sus credenciales con el gestor de contraseñas de Octopussian →

Registro gratuito

Sin tarjeta de crédito. Registro en 1 minuto

Mejore su eficiencia hoy mismo. Regístrese para probarlo gratis.

Utilizamos su correo electrónico y su nombre
para crear su espacio Octopussian.

o
@ Continuar con mi email

Respetamos su privacidad. Su información no será utilizada para ningún otro fin.
Al registrarse, acepta nuestros términos de uso y política de privacidad