Servnet el Socio en Internet que necesitas

Phishing: Cómo evitar ataques y mantener tu información segura

Escrito por Team Servnet | 12 nov 2024

Con la digitalización, la ciberseguridad debe ser prioridad para cualquier empresa e individuo, ya que constantemente salen modalidades de ataques a la información; una de las más comunes es el phishing.

Esta práctica es la responsable del 91% de los casos de ciberataques. Por ello, es vital saber cómo proteger tu información y asegurarte de que no caerás en la trampa de estos estafadores.

En este artículo, te guiaremos a través de todo lo que necesitas saber para mantener tus datos seguros y evitar ser víctima de ataques de phishing.

¿Qué es el phishing?

El phishing es una táctica fraudulenta utilizada por los ciberdelincuentes para engañarte y obtener tus datos personales, contraseñas o información financiera. 

Lo hacen disfrazándose de una entidad o persona de confianza en una aparente comunicación oficial, generalmente a través de correo electrónico, redes sociales o mensajes de texto. 

Sin embargo, la cosa no se detiene ahí; los ataques de phishing se han vuelto cada vez más sofisticados y pueden tomar muchas formas, desde sitios web falsificados hasta llamadas telefónicas. 

Los delincuentes cibernéticos están constantemente buscando nuevas formas de engañar a sus víctimas, y es por eso que es tan importante estar informado y preparado.

Cómo funciona el phishing 

Por lo regular, el phishing se da a través de este método:

Primero, nos llega un email, SMS, WhatsApp o algo similar con una excusa, por ejemplo, que ganamos un concurso, que obtuvimos cupones o algún descuento. Esto, con el fin de que hagamos clic a alguna página web falsa, que simula ser oficial. 

Cuando estamos ahí, solicitan información de acceso, como usuario y contraseña y en ese momento, hemos caído, pues les hemos dado los datos que necesitaban para cometer el fraude. 

Tipos de ataques de phishing de empresas y cómo protegerse

Existen diferentes clases de phishing, pero uno de los elementos que prevalece en todos es el uso de un pretexto falso para adquirir datos importantes. Algunos de los más importantes dentro de empresas son:

Whaling

El nombre hace referencia a la pesca de ballenas, pues se centra en engañar a los directivos o a las figuras de autoridad de una compañía para obtener datos de valor y ganar grandes beneficios. 

Fraude de CEO

En este tipo, los hackers se hacen pasar por un CEO o un ejecutivo de alto nivel dentro de un negocio para conseguir datos de las personas que son su objetivo principal.

Pharming

Se trata de vulnerar la privacidad de los sistemas informáticos para redirigir a los usuarios de una red a una web falsa, con el fin de que ponga datos sensibles y puedan ser robados por los atacantes.

Phishing por Google Docs o Dropbox

Crean o falsifican versiones de páginas de login para servicios de la nube. De esta manera, cuando las personas introducen sus datos, los delincuentes los colocan en la página legítima y descargan toda la información resguardada en dichas plataformas.

Spear Phishing

El spear phishing es un ataque que está dirigido a individuos o empresas específicas. A diferencia del phishing generalizado, estos son altamente personalizados para su objetivo. 

Los ciberdelincuentes pueden pasar semanas o incluso meses recopilando información sobre su objetivo para volverlo más convincente. 

Esto puede incluir detalles como el nombre del objetivo, su puesto de trabajo, su dirección de correo electrónico y cualquier otra información personal que pueda ser utilizada para ganar su confianza

Debido a su naturaleza personalizada, el spear phishing puede ser más difícil de detectar.

Phishing de clonación

Los ciberdelincuentes clonan un correo electrónico legítimo de una organización real, es decir, usan el mismo diseño, logotipo y formato que el correo electrónico original. 

Sin embargo, la dirección clonada contiene enlaces o archivos adjuntos maliciosos. De esta forma, cuando el destinatario hace clic en el enlace, sus datos personales pueden ser robados o su dispositivo puede ser infectado con malware. 

Scripting entre sitios

Esta técnica de phishing consiste en replicar la apariencia de un sitio web para después construir una página que es una trampa para que los usuarios accedan creyendo que es la oficial. 

Smishing

Desde hace algunos años, se han incrementado los ataques masivos a través de SMS (mensajes móviles) fraudulentos. 

Este método permite a los hackers atacar de forma masiva y dirigida a muchas personas mediante el envío de un SMS que simula un remitente legítimo, como una entidad bancaria, una red social, etc.

Los delincuentes se aprovechan de la confianza de la víctima para robar información privada o realizar cargos en las cuentas. Para ello, llevan a la persona a acceder a un enlace web falso e introducir sus credenciales para confirmar su cuenta. 

¿Cómo identificar el phishing?

Detectar un intento de phishing puede ser complicado, pero hay señales que pueden alertarte. Enseguida te mencionamos las más importantes para que estés al pendiente y lo evites.

1. Remitente 

Cuando te llegue un mensaje, correo o entre una llamada inesperada a tu teléfono de un remitente que desconoces, podría tratarse de un ataque phishing.

Presta mucha atención a quién envía el mensaje. Incluso aunque lo conozcas, ponte alerta si es alguien con quien generalmente no te comunicas, en especial, si el contenido del email no guarda relación con tus responsabilidades laborales.

El remitente aparentará ser empleado de una institución con la que tienes relación, o incluso fingirá ser tu compañero de oficina, pero puedes verificar su  dirección o teléfono a través de una búsqueda en línea. Una vez que encuentres la información, verás si coincide con la entidad a la que dice pertenecer.

Asimismo, ten cuidado con quienes aparecen copiados en el correo. Si no las conoces, lo mejor es que no des clic en ningún enlace ni descargues los archivos.

2. Saludo impersonal

Si un phisher no ha hecho una investigación profunda sobre su víctima, es probable que no sepa su nombre y por lo tanto saludará de manera genérica con, por ejemplo, un “Estimado usuario”. 

Esto puede ser un indicativo claro de que el mensaje no es auténtico, ya que las organizaciones reales suelen personalizar sus comunicaciones.

3. Urgencia

Sabemos que el phishing usa ingeniería social, por tanto apela a las emociones para convencer a los usuarios de acceder rápidamente a las peticiones.

Los mensajes de phishing a menudo crean un sentido de urgencia, presionándote para que actúes rápidamente, incluyen asuntos para captar tu atención o generar alerta y agregan palabras como "urgente" o "importante", para provocar una reacción inmediata. 

Pueden afirmar que tu cuenta está en riesgo, que se ha detectado actividad sospechosa, problemas o que necesitas hacer clic en el enlace e iniciar sesión para confirmar tus datos y evitar la suspensión de tu cuenta.

O bien, realizan promesas irreales con ofertas increíbles que deben ser aprovechadas al momento pero solicitan que para recibirlas primero pagues cierta cantidad que después, supuestamente, se te reembolsará con una suma mucho más elevada.

Recuerda, las empresas legítimas rara vez te pedirán que tomes medidas enseguida y si una oferta parece demasiado buena para ser verdad, probablemente lo sea.

4. Petición de datos personales y bancarios

Los mensajes de phishing a menudo incluyen solicitudes de datos sensibles, como contraseñas, números de tarjetas de crédito o información de cuentas bancarias. 

Las instituciones financieras y entidades auténticas nunca solicitan información sensible a través de correos electrónicos, mensajes de texto o llamadas telefónicas. Normalmente, utilizan canales seguros y autenticados para comunicarse con sus usuarios.

5. Errores gramaticales o de ortografía

Los correos electrónicos o mensajes fraudulentos están menos cuidados que una comunicación oficial, por lo que si se detectan errores de ortografía, fallos gramaticales o en general mala redacción, puede significar que se está llevando a cabo un intento de ataque.


Las organizaciones legítimas suelen tener estándares altos en sus comunicaciones, por lo que cualquier descuido en la redacción es una señal de alerta.

Pero debes tener cuidado con esto, pues algunos ataques de phishing son muy sofisticados. No te fíes solo bajo este indicador y toma en cuenta los demás elementos que conforman este listado. 

6. URLs sospechosas

Si pasas el cursor sobre un enlace en el correo electrónico y la URL es rara o no coincide con el sitio web de la empresa, es probable que sea phishing. 

Los ciberdelincuentes a menudo utilizan URLs que se parecen a las legítimas, pero con pequeñas diferencias, que pueden ser imperceptibles a primera vista.

Asimismo, puede ocurrir que la URL parezca una, pero al dar clic cambie.

La manera de identificar si los sitios son seguros y verdaderos es a través del análisis previo de los enlaces, que puedes realizar por medio de una computadora para obtener una vista previa antes de hacer clic (poniendo el cursor sobre el enlace).

Con esta podrás verificar si se suplantó el texto o se comprimió el enlace para hacerte creer que era una dirección distinta.

Lo recomendable es que revises que esta dirección no sea HTTP, sino HTTPS; y entres al sitio web real de la organización para comparar las direcciones y determinar si es confiable. 


Siempre es mejor que escribas la dirección del sitio web en el navegador en vez de hacer clic en un enlace.

7. Archivos adjuntos

Si el email o mensaje contiene archivos adjuntos que no esperabas o que no parecen tener sentido, ¡no lo abras!

En los mensajes Phishing adjuntan a veces documentos que pueden contener código malicioso, la manera de reconocerlos es verificando la extensión del archivo

Los archivos con extensiones como .exe, .scr o .zip son especialmente peligrosos y podrían vulnerar tu privacidad o poner en riesgo mucha de tu información. El único archivo que es seguro al hacer clic son los .txt

8. Ventanas emergentes

Las ventanas emergentes que solicitan información personal pueden ser un signo de phishing. Los usuarios deben tener cuidado al proporcionar información en este tipo de ventanas, ya que pueden ser parte de un intento de fraude.

Si la ventana solicita datos sensibles, lo mejor es cerrarla y acceder al sitio web directamente desde el navegador.

Las ventanas emergentes crean un sentido de urgencia, por lo que es recomendable tomarse tiempo para evaluar la situación antes de actuar.

Otras técnicas de phishing

Los ataques dependen de más que solo enviar un correo a las víctimas y esperar que hagan clic en un enlace o abran un archivo. Pueden usar otras técnicas y es importante que detectes las señales para actuar en consecuencia.

Representación gráfica

La presentación de una parte o todo de un mensaje como una imagen gráfica en ocasiones permite a los atacantes eludir defensas contra el phishing. 

Algunos productos de software de seguridad son capaces de escanear los emails en busca de frases o términos particulares comunes en los correos electrónicos maliciosos. Representar el mensaje como una imagen omite esto.

Chatbots

Los ciberdelincuentes pueden usar estas herramientas habilitadas por IA para eliminar errores de gramática y ortografía evidentes que suelen aparecer en los emails de phishing. 

Los emails hechos por chatbots para phishing pueden hacer que los mensajes sean más complejos y, por tanto, sea difícil detectarlos como tal. 

Generadores de voz de IA

Se emplean herramientas generadoras de voz de IA para sonar como autoridad o una figura familiar durante una llamada telefónica. Esto personaliza todavía más el intento de phishing, elevando las probabilidades de que funcione. 

Para eso, solo se necesita una muestra de voz usando un pequeño clip de audio de la persona que se quiere simular.

Correos electrónicos de phishing más comunes

Gran parte de los emails de estafa se pueden clasificar. Los más frecuentes son los siguientes:

1. Problemas de facturación

En ellos se indica que algo que se ha adquirido en línea recientemente no se puede enviar por algún error en la factura.

Al hacer clic en el enlace que se incluye, se redirige a una página falsa donde se introducen los datos financieros, obteniendo así todo lo que necesitaban los hackers.

2. Solicitudes de autoridades

En este tipo de phishing, los correos apelan a tu disposición a creer las solicitudes de determinadas autoridades.

Por lo general, son de naturaleza amenazadora y suelen advertir sobre alguna penalización si no se proporcionan los datos solicitados.

3. Premios

Se puede considerar como lo contrario al correo anterior, pues suele tratarse de emails en donde se comunica que la persona es acreedora a algún premio o una devolución de dinero, por ejemplo, de Hacienda.

Para ello, solicitan confirmar los datos financieros, mismos que son robados apenas se envían. 

4. Alertas bancarias

Algunas entidades de banco alertan a los clientes cuando detectan movimientos sospechosos.

Los hackers se aprovechan de esto para intentar convencer a las personas de que está sucediendo y a través del miedo, hacen que sus objetivos confirmen los datos de la cuenta bancaria. 

¿Cómo proteger a tu empresa del phishing y mantener la información segura?

Si no quieres correr riesgos que pongan en peligro tu información ni la de tu empresa, aquí te dejamos algunas estrategias para protegerte de las vulnerabilidades digitales, incluido el phishing.

1. Elige un navegador adecuado

Saber elegir un buen navegador es esencial para tener mejores barreras de seguridad. Los browser modernos tienen funciones de protección integradas que pueden detectar sitios de phishing. 

Estos te alertarán si intentas visitar un sitio que ha sido reportado como phishing, solo asegúrate de mantenerlo actualizado para beneficiarte de las últimas actualizaciones de seguridad.

2. Optar por un Firewall UTM

Este tipo de soluciones incluyen filtros de sistema de detección de ciberataques, prevención de hackers, protección contra malware y políticas de seguridad para tener controles en el entorno corporativo, a través de una plataforma. 

De esta forma, proteges la comunicación que se da entre internet y los dispositivos de la red interna de tu organización. El objetivo principal es inspeccionar el tráfico de información que se transmite desde y hacia la web.

3. Usar filtros de spam

Estos filtros y el software de seguridad del correo electrónico usan datos sobre estafas de phishing existentes y algoritmos de aprendizaje automático con el fin de identificar emails sospechosos y otro tipo de spam.

En cuanto lo hacen, los mueven a una carpeta separada y se deshabilitan los enlaces que se incluyen en el correo. 

4. Antivirus

Los antimalware y antivirus están diseñados para detectar y neutralizar los archivos o códigos maliciosos en los emails. 

Muchas opciones permiten identificar y notificar los enlaces peligrosos y los documentos adjuntos infectados que a los phishers les gusta emplear para vulnerar la privacidad y seguridad de las personas y empresas.

5. Autenticación multifactor

Con esto, se requiere al menos una credencial extra de inicio de sesión, además del nombre de usuario y la contraseña. Puede ser un código de un solo uso enviado al teléfono de los usuarios o una verificación por dispositivo.

Proporcionar este método extra puede socavar los ataques de phishing selectivo y prevenir daños o peligros. 

6. Soluciones de ciberseguridad

Además de las opciones anteriores, existen otras soluciones que pueden ayudarte a proteger a tu empresa del phishing. Esto puede incluir filtrado web, servicios de monitoreo de seguridad, Clean Pipe y más. 

Lo anterior es clave para detectar y bloquear ataques antes de que puedan causar daño.

Asimismo, es muy importante capacitar a tus trabajadores para que puedan reconocer y evitar intentos de phishing.

Los servicios de ciberseguridad también pueden ayudar a responder a los ataques cuando ocurren; por ejemplo, al incluir la identificación y el cierre de brechas de seguridad, la recuperación de datos y la mitigación de cualquier vulnerabilidad a causa del ataque.

7. Internet Seguro

Evita usar redes Wi-Fi públicas para transacciones sensibles, ya que pueden ser fácilmente interceptadas. Si necesitas usar una red pública, asegúrate de usar una VPN para proteger tus datos.

Velar por una navegación segura ayuda a visitar páginas web con la certeza de que la información brindada no será transgredida y no habrá riesgos. 

8. Actualizaciones regulares

Mantén los dispositivos y aplicaciones actualizados, pues suelen incluir parches de seguridad para nuevas amenazas. 

Así te aseguras de tener las últimas defensas contra el phishing y otros ciberataques.

¿Qué hacer si tu empresa ha sido víctima de phishing?

Si sospechas que has caído en alguno de los métodos que hemos mencionado y que tu empresa puede estar en riesgo, tienes que actuar rápidamente para que no vulneren la privacidad de la misma.

Lo que tienes que hacer es:

Cambiar las contraseñas

En caso de que creas que tus credenciales han sido comprometidas, cambia tus contraseñas inmediatamente. 

Asegúrate de modificar la de todas las cuentas, no solo de la que crees que ha sido afectada.

Contactar a tu banco

Si tu información financiera puede estar en peligro, contacta a tu banco para que se puedan tomar medidas preventivas. 

Procura que queden bloqueadas las tarjetas de la empresa o cualquier cuenta bancaria antes de que los hackers puedan acceder a ella.

Reportar el phishing

Informa sobre el incidente a tu proveedor de correo electrónico y a la empresa que el delincuente intentó suplantar. Asimismo, puedes presentar tu denuncia ante la autoridad local de ciberseguridad.

Protege a tu negocio con soluciones inteligentes

En este mundo digital, la seguridad es primordial. Por ello, es esencial que cuentes con herramientas y tecnología que respalden tus activos y que la blinden, impidiendo que los ciberdelincuentes vulneren lo más importante para tu negocio, que es la información.

Para lograrlo, es clave que tomes en cuenta nuestra recomendaciones en cuanto a software de seguridad, como el uso de VPN, firewall, etc.

En Servnet, trabajamos para que los datos de cualquier empresa estén a salvo, a través del uso de herramientas que minimicen los riesgos en cuanto a seguridad informática. Por ello, ofrecemos diagnósticos iniciales, análisis de vulnerabilidades, instalación de seguridad en la red, etc.

Acércate a nosotros para encontrar la mejor solución de ciberseguridad para tu empresa.