Cultura Digital / Guías 5 minutos de lectura

PHISING: CÓMO DETECTAR CORREOS FALSOS ANTES DE QUE SEA TARDE:

Introducción

El phishing no es un problema técnico. Es un problema humano.

Correos, SMS, mensajes de WhatsApp o llamadas que se hacen pasar por bancos, empresas de mensajería, plataformas conocidas o incluso compañeros de trabajo. El objetivo siempre es el mismo: que actúes rápido y sin pensar.

Y no, no es cuestión de “ser torpe”. Cualquiera puede caer si el mensaje llega en el momento adecuado. La diferencia está en saber reconocer las señales antes de hacer clic.

Qué es realmente el phishing (y por qué funciona)

El phishing es una técnica de ingeniería social. No intenta romper sistemas, intenta romper tu atención.

  • Suplantación de identidad (marca, banco, empresa).
  • Mensaje diseñado para generar urgencia o miedo.
  • Acción simple: hacer clic, descargar o responder.

Cuando alguien “pica”, el atacante no necesita ser sofisticado: ya tiene acceso a credenciales, dinero o información.

Tipos de phishing que vemos hoy

Tipo Canal Objetivo habitual
Email phishing Correo Credenciales, adjuntos
Smishing SMS / WhatsApp Pagos, enlaces rápidos
Vishing Llamadas Datos personales, bancarios
Spear phishing Personalizado Acceso corporativo

Señales claras de un correo falso

  • Urgencia o amenaza: “Último aviso”, “bloquearemos su cuenta”, “24 horas”.
  • Remitente engañoso: el dominio no coincide exactamente (@banco-seguro.com@banco.es).
  • Lenguaje genérico o mal traducido: “Estimado cliente”, frases raras o poco naturales.
  • Enlaces ocultos: el texto dice una cosa, la URL lleva a otra.
  • Adjuntos inesperados: sobre todo .zip, .exe, .html, .iso.

Cómo leer un correo como lo haría un analista

Antes de hacer clic, pregúntate:

  1. ¿Esperaba este mensaje?
  2. ¿El tono es normal o busca asustarme?
  3. ¿El dominio del remitente es exactamente el correcto?
  4. ¿Podría acceder escribiendo yo la web manualmente?

Si alguna respuesta te genera duda, el correo no merece tu clic.

Ejemplos reales que seguimos viendo

Su paquete no ha podido ser entregado. Pague 1,99 €
Nueva factura disponible
Actividad sospechosa detectada en su cuenta

El diseño suele ser impecable. El problema no está en el aspecto, sino en el enlace y el contexto.

Qué hacer si recibes un phishing

  1. No hagas clic ni descargues nada.
  2. No respondas al mensaje.
  3. Márcalo como phishing o spam.
  4. Elimínalo.

Qué hacer si ya has caído

  • Cambia contraseñas inmediatamente.
  • Activa o refuerza MFA.
  • Revisa accesos y dispositivos conectados.
  • Contacta con la entidad afectada si hay riesgo económico.

Cómo reducir el impacto del phishing (visión profesional)

  • MFA en todas las cuentas críticas.
  • Gestor de contraseñas (evita reutilización).
  • Correos y dominios de recuperación bien protegidos.
  • Formación básica y periódica (no una charla puntual).

Checklist rápida

  1. ¿El mensaje crea urgencia o miedo?
  2. ¿El dominio es exactamente el correcto?
  3. ¿No esperabas este correo?
  4. ¿Puedes entrar desde la web oficial?
  5. ¿Tienes MFA activado?

Conclusión

El phishing no se combate con antivirus, sino con criterio.

No se trata de desconfiar de todo, sino de aprender a parar dos segundos cuando alguien intenta empujarte a actuar.

En Gondor vemos phishing todos los días. Y siempre funciona por el mismo motivo: alguien fue forzado a decidir demasiado rápido.

¿Quieres aprender a proteger tu vida digital sin complicarte?

En Gondor Solutions publicamos guías prácticas y acompañamos a personas y negocios en el uso de la tecnología.

Hablemos