Saltar al contenido principal
passtsuku.com

Prevención de ataques de phishing: detecta y detén las estafas

Lectura de 10 min aprox.

El phishing es un método de ataque que roba información personal como contraseñas y datos de tarjetas de crédito a través de correos electrónicos y sitios web falsos que se hacen pasar por servicios legítimos. Las tácticas se vuelven más sofisticadas cada año, y cada vez es más difícil distinguir las falsificaciones a simple vista. Según el Consejo Antiphishing de Japón, se confirmaron aproximadamente 1,71 millones de reportes de phishing en 2024, un aumento de aproximadamente 1,4 veces respecto al año anterior. A partir de 2025, los ataques que abusan de la IA para generar automáticamente correos de phishing con lenguaje natural están aumentando rápidamente. Este artículo explica puntos específicos para identificar estafas de phishing, diferencias con métodos de ataque similares y defensas prácticas utilizando passtsuku.com.

Tipos de ataques de phishing y sus diferencias

Los ataques de phishing se clasifican en varios tipos según el alcance de sus objetivos y la sofisticación de sus métodos. Comprender cada tipo facilita identificar qué clase de ataque se está enfrentando.

Phishing general

Este método consiste en el envío masivo de correos falsos que se hacen pasar por bancos o sitios de comercio electrónico dirigidos a un público amplio. Asuntos que generan urgencia como "Su cuenta ha sido suspendida" o "Se detectó acceso no autorizado" privan a los destinatarios de un juicio sereno y los dirigen a sitios falsos. El costo para los atacantes es extremadamente bajo; enviar millones de correos y engañar incluso al 0,1% es suficiente para obtener ganancias.

Spear phishing

El spear phishing es un ataque dirigido a individuos u organizaciones específicas. Los atacantes investigan previamente el cargo, socios comerciales y proyectos recientes del objetivo a través de redes sociales e información pública corporativa, y luego elaboran correos extremadamente convincentes con esos detalles. Según el Informe de Investigaciones de Brechas de Datos (DBIR) 2024 de Verizon, aproximadamente el 44% de los ataques de ingeniería social utilizan phishing como método, y muchos de ellos son spear phishing. En comparación con el phishing general, la tasa de éxito es significativamente mayor, convirtiéndolo en un vector de intrusión principal en las brechas de datos corporativas. El conocimiento de la defensa contra ingeniería social es valioso para la protección.

Whaling

El whaling es una variante del spear phishing dirigida a ejecutivos de alto nivel. Una táctica típica es el Compromiso de Correo Electrónico Empresarial (BEC), donde los atacantes se hacen pasar por un CEO o CFO para instruir al personal contable a realizar transferencias urgentes. Según el informe IC3 del FBI, las pérdidas totales por BEC alcanzaron aproximadamente $2.700 millones solo en 2022. El daño por incidente es de órdenes de magnitud mayor que el phishing típico.

Cómo identificar correos de phishing

Los correos de phishing se envían haciéndose pasar por bancos, sitios de comercio electrónico, servicios de mensajería, etc. Además del phishing, mensajes de spam y estafa también son amenazas cotidianas. Al verificar los siguientes puntos, puede detectar muchos correos de phishing. Lo importante es no depender de un solo criterio, sino evaluar múltiples puntos de forma integral.

Verifique la dirección del remitente

Si un correo proviene de una empresa legítima, el dominio del remitente coincide con el sitio web oficial. Por ejemplo, aunque parezca ser "support@example-bank.co.jp", el dominio real puede estar vinculado a uno diferente como "example-bank.co.jp.attacker.com". Verifique cuidadosamente los detalles del encabezado del correo para determinar si el dominio del remitente es genuino.

La razón por la que esta técnica funciona radica en un defecto de diseño del protocolo de correo (SMTP). SMTP es un protocolo antiguo establecido en 1982 que no incluye un mecanismo integrado para verificar la identidad del remitente, lo que hace que la suplantación de direcciones sea técnicamente fácil. Para contrarrestar esto, se desarrollaron tecnologías de autenticación de dominio como SPF, DKIM y DMARC, pero no todos los servidores de correo las implementan correctamente, y los correos falsificados aún llegan a los destinatarios en algunos casos.

Preste atención al lenguaje innatural

Los correos de phishing creados por atacantes extranjeros pueden contener lenguaje innatural. Las señales incluyen uso inadecuado de expresiones formales, puntuación mal ubicada y frases extrañas. Sin embargo, en los últimos años, los casos de abuso de modelos de lenguaje grandes para generar correos de phishing con lenguaje natural han aumentado drásticamente, haciendo que ya no sea viable juzgar solo por la naturalidad del texto. Para más detalles sobre estas tácticas, consultelas últimas técnicas de phishing con IA. Utilice puntos de verificación técnica además del texto en sí.

Cómo identificar sitios de phishing

Verifique cuidadosamente la URL

Los sitios de phishing están diseñados para parecerse mucho a los sitios legítimos. Como la apariencia visual por sí sola dificulta distinguirlos, verificar la URL es el método más confiable. Confirme que el dominio mostrado en la barra de direcciones del navegador coincida exactamente con el servicio legítimo.

Una técnica común utilizada por los atacantes es el typosquatting: registrar nombres de dominio similares a los legítimos. Por ejemplo, reemplazar "amazon" por "amaz0n" o "google" por "go0gle" explota diferencias sutiles difíciles de notar a simple vista. Una técnica aún más avanzada es el ataque homógrafo, que abusa de los Nombres de Dominio Internacionalizados (IDN) para hacer que la "а" cirílica (U+0430) parezca idéntica a la "a" latina (U+0061). Como son completamente idénticas a simple vista, adquiera el hábito de acceder a los sitios a través de marcadores o motores de búsqueda.

Solo verificar HTTPS no es suficiente

La creencia de que "un ícono de candado significa que es seguro" es incorrecta. Con la proliferación de autoridades de certificación gratuitas como Let's Encrypt, obtener certificados SSL/TLS se ha vuelto fácil, y según una encuesta de 2023 del Anti-Phishing Working Group (APWG), aproximadamente el 83% de los sitios de phishing usan HTTPS. HTTPS solo indica que la comunicación está cifrada; no garantiza la legitimidad del sitio. Incluso un certificado EV (Validación Extendida) no garantiza completamente que un sitio no sea phishing. Independientemente del tipo de certificado, verificar el nombre de dominio en sí es la máxima prioridad.

Para aprender sistemáticamente sobre las tácticas y contramedidas del phishing,libros de casos de ataques de phishing en Amazon también pueden ser útiles.

Phishing mediante suplantación de DNS

Una técnica avanzada que puede engañarlo incluso cuando verifica correctamente la URL es la suplantación de DNS. Al falsificar las respuestas DNS, este ataque lo redirige a un sitio falso preparado por el atacante incluso cuando ingresa el nombre de dominio legítimo. El principio detrás de este ataque es que el protocolo DNS carece de un mecanismo para verificar la autenticidad de las respuestas. Si la configuración DNS de la PC o el router del usuario es manipulada, la barra de direcciones del navegador muestra la URL legítima mientras en realidad se conecta a un sitio falso. Las contramedidas efectivas incluyen usar servicios DNS confiables (Google Public DNS: 8.8.8.8, Cloudflare DNS: 1.1.1.1) y habilitar DNS over HTTPS (DoH).

Pasos a seguir tras una filtración de contraseña

Si ha sido víctima de una estafa de phishing o sospecha una filtración de contraseña, siga estos pasos de inmediato. Cuanto más se demore, más se extiende el daño, por lo que es crucial actuar inmediatamente al descubrirlo. Priorice proteger su cuenta de correo electrónico por encima de todo. Si su correo es comprometido, los restablecimientos de contraseña de todos los demás servicios caen en manos del atacante.

  • Cambie inmediatamente la contraseña del servicio afectado
  • Cambie las contraseñas de otros servicios donde reutilizó la misma contraseña
  • Active la autenticación de dos factores si aún no está configurada
  • Contacte a su compañía de tarjeta de crédito si ingresó información de la tarjeta
  • Verifique si hay historial de inicio de sesión sospechoso
  • Reporte al equipo de soporte del servicio afectado

Un error común es pensar "estoy seguro una vez que cambio mi contraseña", pero el atacante puede haber cambiado ya la dirección de correo de recuperación o el número de teléfono de la cuenta. Después de cambiar su contraseña, siempre verifique que la configuración de recuperación y la información de contacto no hayan sido manipuladas. Además, si ha otorgado acceso a otras aplicaciones mediante OAuth, el atacante puede haber vinculado aplicaciones maliciosas, así que revise también su lista de aplicaciones conectadas.

Lista de verificación práctica contra el phishing

Para protegerse de las estafas de phishing en el día a día, revise regularmente la siguiente lista de verificación. Al defenderse tanto con medidas técnicas como con hábitos de comportamiento, puede reducir significativamente el riesgo de daño.

  • No haga clic directamente en los enlaces de los correos; acceda a los sitios oficiales mediante marcadores
  • Siempre verifique la URL en la barra de direcciones antes de ingresar una contraseña
  • Sospeche de correos que crean urgencia (p. ej., "Su cuenta será suspendida en 24 horas")
  • Verifique que el dominio de la dirección del remitente coincida con el oficial
  • Configure la autenticación de dos factores para cuentas importantes
  • Active las funciones de detección de phishing en su navegador y cliente de correo
  • Mantenga su sistema operativo y navegador siempre actualizados
  • Reporte correos sospechosos al Consejo Antiphishing

Actualice contraseñas regularmente con passtsuku.com

Una de las defensas más efectivas contra el phishing es establecer contraseñas fuertes y únicas para cada servicio y actualizarlas regularmente. Incluso si ingresa una contraseña en un sitio de phishing, usar contraseñas diferentes para cada servicio limita el daño a un solo servicio. Además, los cambios regulares minimizan la ventana de oportunidad para los atacantes.

Con passtsuku.com, puede generar instantáneamente contraseñas aleatorias fuertes. Al actualizar, establezca la longitud en 16 o más caracteres y active los cuatro tipos de caracteres: mayúsculas, minúsculas, números y símbolos. Si el medidor de fortaleza muestra 80 bits o más de entropía, la fortaleza es suficiente. Al actualizar contraseñas de múltiples servicios a la vez, la función de generación por lotes de passtsuku.com es conveniente. Después de generar, use la función de copia por lotes para copiar al portapapeles y regístrelas en su administrador de contraseñas.

Frecuencia de actualización recomendada

  • Servicios financieros: una vez cada 3 meses
  • Cuentas de correo: una vez cada 3 a 6 meses
  • Redes sociales: una vez cada 6 meses
  • Otros servicios: cambie inmediatamente al recibir una notificación de filtración

Protección fundamental con llaves de seguridad FIDO2

Las llaves de seguridad compatibles con FIDO2 están ganando atención como la solución definitiva para la protección contra el phishing. En la autenticación FIDO2, el navegador verifica criptográficamente el dominio del destino de conexión durante la autenticación, eliminando por completo el riesgo de ingresar contraseñas en sitios de phishing. Google obligó el uso de llaves de seguridad para todos los empleados (más de 85.000) en 2017 y reportó cero compromisos de cuentas por phishing desde entonces. Este caso demuestra que las medidas técnicas son mucho más confiables que las que dependen de la atención humana.Guías de llaves de seguridad FIDO2 en Amazon proporcionan explicaciones detalladas sobre cómo elegir dispositivos compatibles y procedimientos de configuración.

Lo que puede hacer ahora mismo

  1. Deje de hacer clic directamente en los enlaces de los correos y acceda a los sitios oficiales mediante marcadores
  2. Configure la autenticación de dos factores (se recomienda una aplicación de autenticación) para cuentas de correo y servicios financieros
  3. Genere contraseñas únicas de más de 16 caracteres para cada servicio usando passtsuku.com para eliminar la reutilización de contraseñas
  4. Active el "Modo solo HTTPS" en su navegador para reducir el riesgo de conectarse a sitios de phishing
  5. Reporte correos sospechosos al Consejo Antiphishing (info@antiphishing.jp)

Preguntas frecuentes

¿Cómo puedo identificar correos de phishing?
Verifica el dominio del remitente, pasa el cursor sobre los enlaces para verificar URLs y desconfía del lenguaje urgente. Los servicios legítimos nunca piden contraseñas por correo.
¿Qué debo hacer si ingresé información en un sitio de phishing?
Cambia tu contraseña inmediatamente desde el sitio legítimo y activa 2FA. Si ingresaste datos de tarjeta de crédito, contacta a tu banco para congelar la tarjeta.
¿Puedo ser víctima de phishing en un smartphone?
Sí. Las barras de URL en smartphones son más pequeñas, dificultando identificar sitios falsos. El phishing por SMS (smishing) también está aumentando. Evita tocar enlaces sospechosos y usa apps oficiales.

¿Te resultó útil este artículo?

Artículos relacionados

Generar contraseñas →

Términos relacionados

XHatena