¿Cómo sé si un correo electrónico es phishing?

Verifique la dirección real del remitente (no solo el nombre para mostrar), coloque el cursor sobre los enlaces para ver la URL real, busque gramática y formato que no coincidan con el estilo normal de la organización. La señal más fuerte: te pide que actúes con urgencia en algo que involucra credenciales. Las organizaciones reales casi nunca lo hacen a través de un enlace de correo electrónico.

¿Una VPN protege contra el phishing?

No. El phishing opera en la capa de aplicación: el usuario ingresa voluntariamente sus credenciales en un sitio falso. Una VPN cambia la identidad de su red pero no filtra el contenido ni evalúa si la página es genuina. El antiphishing requiere un mecanismo de autenticación vinculado al sitio (llave de hardware) o vigilancia.

¿Qué es el phishing?

Phishing dirigido a una persona específica o a un grupo pequeño, a menudo utilizando nombres reales, proyectos o eventos recientes para agregar credibilidad. El phishing masivo puede utilizar "Estimado cliente"; Spear phishing utiliza su nombre, su equipo, su cliente. Es mucho más difícil filtrar automáticamente.

Si hice clic en un enlace de phishing pero no ingresé nada, ¿tengo problemas?

Probablemente no, pero compruébalo. Una página puede intentar realizar exploits, tomar huellas dactilares de su navegador o establecer cookies de seguimiento nada más cargarse. Si utilizó un navegador completamente parcheado y no otorgó ningún permiso, el riesgo es bajo. Si inició sesión o descargó un archivo, trate esa cuenta como comprometida y rote la contraseña.

¿Cuál es la diferencia entre phishing y pharming?

El phishing engaña al usuario para que visite un sitio falso. El pharming cambia el DNS del usuario para que las URL legítimas se resuelvan en sitios falsos, generalmente a través de malware de enrutador, secuestro de DNS o ediciones de archivos de hosts. El pharming es más raro porque requiere un acceso más profundo al sistema, pero más efectivo cuando funciona porque el usuario nunca ve una URL incorrecta.

Phishing explicado: la anatomía del ataque que sigue funcionando

El phishing es el ataque de Internet escalable más antiguo y sigue siendo el de mayor éxito. No explota el software sino la coincidencia de patrones humanos: un logotipo familiar, un remitente plausible, una solicitud que parece rutinaria. Comprender el libro de jugadas es la mayor parte de la defensa; los parches técnicos cierran sólo la pequeña fracción que no depende de que la gente haga clic.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Phishing es la práctica de hacerse pasar por una entidad confiable (un banco, un empleador, un proveedor de tecnología) para engañar a un objetivo para que revele sus credenciales, instale malware o envíe dinero. El medio se ha expandido desde el correo electrónico hasta los SMS ("smishing"), llamadas de voz ("vishing"), códigos QR ("quishing") y anuncios, pero la estructura es constante: remitente engañoso, contexto urgente, acción de baja fricción. motivo del mensaje: "su cuenta será bloqueada", "un paquete necesita confirmación de entrega", "firme este documento". que imita la organización real. Los encabezados de correo electrónico se pueden falsificar fácilmente; el nombre visible es el que elija el remitente.

Objetivo de la acción. Un enlace a una página de recolección de credenciales, un archivo adjunto con malware o un número de teléfono al que llamar.

La habilidad está en la sutileza. El phishing más crudo (inglés incorrecto, direcciones genéricas) se filtra. El mejor phishing es el dirigido ("spear phishing") y utiliza terminología interna real, nombres reales y temporización contextual. se detiene. El atacante usa las credenciales más tarde, inútil si el sitio tiene 2FA.

Retransmisión en tiempo real (Adversario en el medio). La página reenvía cada pulsación de tecla al sitio real en tiempo real, capturando la contraseña y el segundo factor a medida que los ingresa. Marcos como Evilginx automatizan esto. La 2FA con clave de hardware lo derrota; TOTP y SMS no.

Robo de token de sesión. Combinado con lo anterior, el atacante captura la cookie de sesión posterior a la autenticación y la reproduce desde su navegador, omitiendo 2FA por completo hasta que la sesión expire.

Por qué el phishing es difícil de detener técnicamente

El atacante no necesita un exploit. Necesitan un dominio que se parezca a como el objetivo. Tres armas:

Dominios similares: secure-paypa1.com en lugar de paypal.com, o ataques de homoglifos usando caracteres cirílicos que se representan de manera idéntica (аpple.com con cirílico 'a').
Relleno de subdominio: microsoft.com.update-fr.tk: muchos usuarios solo leen la palabra reconocida situada más a la izquierda.
Lalojamiento legítimo: Páginas de phishing alojadas en Google Sites, Microsoft OneDrive, el nivel gratuito de Cloudflare o sitios legítimos comprometidos. El certificado TLS es real; la URL pasa controles superficiales.

Los estándares de autenticación de correo electrónico (SPF, DKIM, DMARC) verifican que el servidor de envío esté autorizado para el dominio De. No verifican el nombre para mostrar que ve el destinatario, que es lo que la mayoría de los usuarios realmente leen.

Qué defiende contra el phishing

Defensa en capas, con la capa de mayor apalancamiento primero:

Hardware-key 2FA (FIDO2). La única intervención técnica que derrota el phishing del Adversario en el medio porque la firma de clave está vinculada al dominio real. El sitio falso no puede producir una firma válida para el dominio real.
Administradores de contraseñas con relleno que coincide con el origen. Un administrador de contraseñas se niega a completar las credenciales en el dominio incorrecto. Si no puede completarlo, es una señal.
DMARC cumplimiento. Cuando las organizaciones publican una política DMARC de p=reject, los servidores de correo descartan el correo no autenticado que dice ser de ellos. Elimina una clase importante de suplantación de identidad.
Antiphishing del navegador. Navegación segura en Chrome, pantalla inteligente en Edge, los equivalentes en Firefox y Safari: bloquea las URL de phishing conocidas. La cobertura es reactiva (la URL debe informarse primero) pero reduce el daño de los kits más comunes.
Conciencia del usuario. El cambio es más lento, pero importa. El mejor hábito: cuando algo parezca urgente, no haga clic en el enlace del mensaje; navegue hasta el servicio directamente a través de un marcador guardado o escribiendo la URL.

La frontera actual

La IA generativa ha eliminado los indicios lingüísticos del phishing de baja calidad. Los correos electrónicos dirigidos ahora tienen prosa fluida, referencias contextuales extraídas de fuentes públicas y personalización persuasiva a escala. La clonación de voz permite el phishing telefónico en el que el "CEO" suena exactamente como el CEO real. Los defensores están respondiendo con 2FA más fuerte, una adopción más amplia de DMARC y mejores advertencias del navegador, pero la brecha entre la calidad del ataque y la defensa es más estrecha que en cualquier otro momento del pasado.

El hábito más confiable a nivel de usuario sigue siendo: si un mensaje le pide que actúe bajo presión de tiempo sobre una credencial, reduzca la velocidad. La mayoría del phishing desaparece en el momento en que revisas un segundo canal.

Preguntas frecuentes

¿Cómo sé si un correo electrónico es phishing?: Verifique la dirección real del remitente (no solo el nombre para mostrar), coloque el cursor sobre los enlaces para ver la URL real, busque gramática y formato que no coincidan con el estilo normal de la organización. La señal más fuerte: te pide que actúes con urgencia en algo que involucra credenciales. Las organizaciones reales casi nunca lo hacen a través de un enlace de correo electrónico.
¿Una VPN protege contra el phishing?: No. El phishing opera en la capa de aplicación: el usuario ingresa voluntariamente sus credenciales en un sitio falso. Una VPN cambia la identidad de su red pero no filtra el contenido ni evalúa si la página es genuina. El antiphishing requiere un mecanismo de autenticación vinculado al sitio (llave de hardware) o vigilancia.
¿Qué es el phishing?: Phishing dirigido a una persona específica o a un grupo pequeño, a menudo utilizando nombres reales, proyectos o eventos recientes para agregar credibilidad. El phishing masivo puede utilizar "Estimado cliente"; Spear phishing utiliza su nombre, su equipo, su cliente. Es mucho más difícil filtrar automáticamente.
Si hice clic en un enlace de phishing pero no ingresé nada, ¿tengo problemas?: Probablemente no, pero compruébalo. Una página puede intentar realizar exploits, tomar huellas dactilares de su navegador o establecer cookies de seguimiento nada más cargarse. Si utilizó un navegador completamente parcheado y no otorgó ningún permiso, el riesgo es bajo. Si inició sesión o descargó un archivo, trate esa cuenta como comprometida y rote la contraseña.
¿Cuál es la diferencia entre phishing y pharming?: El phishing engaña al usuario para que visite un sitio falso. El pharming cambia el DNS del usuario para que las URL legítimas se resuelvan en sitios falsos, generalmente a través de malware de enrutador, secuestro de DNS o ediciones de archivos de hosts. El pharming es más raro porque requiere un acceso más profundo al sistema, pero más efectivo cuando funciona porque el usuario nunca ve una URL incorrecta.