Qué es el phishing y qué lo diferencia de la suplantación de identidad
Phishing es un ataque en el que una persona recibe un mensaje (correo, SMS, chat corporativo, redes sociales) diseñado para que realice una acción riesgosa: entregar credenciales, aprobar un pago, instalar software, abrir un adjunto o visitar un sitio falso. La suplantación de identidad (impersonation/spoofing) es la técnica de hacerse pasar por alguien (una marca, un proveedor, un directivo, un compañero) para dar credibilidad al mensaje. En la práctica, muchos ataques combinan ambos: suplantan a un remitente y usan un pretexto para inducir una acción.
Variantes de phishing y estructuras típicas de mensajes
Una forma eficaz de detectar phishing es reconocer su “plantilla” recurrente: asunto + pretexto + llamada a la acción + enlace/adjunto + presión temporal. A continuación se desglosan variantes comunes con ejemplos de estructura (no para copiar, sino para aprender a identificarlas).
1) Phishing masivo (campañas a gran escala)
Busca volumen: mensajes genéricos que aparentan venir de bancos, paquetería, servicios de streaming o plataformas de trabajo.
| Elemento | Ejemplo típico |
|---|---|
| Asunto | “Tu cuenta será suspendida” / “Entrega retenida: acción requerida” |
| Pretexto | “Detectamos actividad inusual” / “Falta confirmar dirección” |
| Llamada a la acción | “Verifica tu cuenta” / “Actualiza tus datos” |
| Enlace/Adjunto | Botón “Verificar” hacia un sitio similar al real; a veces PDF con enlace |
| Presión temporal | “En 24 horas” / “Último aviso” |
Patrón clave: generalidad (no usa tu nombre real), urgencia y un enlace que “resuelve” el problema.
2) Spear phishing (dirigido a una persona o equipo)
Personaliza el mensaje con datos reales (cargo, proyecto, proveedor, evento reciente). Suele llegar por correo o mensajería interna.
- Escuche el audio con la pantalla apagada.
- Obtenga un certificado al finalizar.
- ¡Más de 5000 cursos para que explores!
Descargar la aplicación
| Elemento | Ejemplo típico |
|---|---|
| Asunto | “Revisión del contrato – Proyecto [Nombre]” |
| Pretexto | “Adjunto la versión final con cambios legales” |
| Llamada a la acción | “Confirma hoy para no retrasar el hito” |
| Enlace/Adjunto | Documento Office con “habilitar edición/habilitar contenido” |
| Presión temporal | “Antes de las 16:00” |
Patrón clave: coherencia aparente con tu trabajo + adjunto o enlace a “documento compartido”.
3) Whaling (dirigido a directivos o perfiles con poder de decisión)
Apunta a CEO/CFO/VP, asistentes ejecutivos o responsables de pagos. El tono suele ser formal y orientado a decisiones rápidas.
| Elemento | Ejemplo típico |
|---|---|
| Asunto | “Aprobación urgente: transferencia” / “Revisión confidencial” |
| Pretexto | “Operación sensible, no escalar” |
| Llamada a la acción | “Autoriza el pago” / “Comparte acceso al informe” |
| Enlace/Adjunto | Enlace a portal falso de firma/archivo; o instrucciones de pago |
| Presión temporal | “Antes del cierre bancario” |
Patrón clave: confidencialidad + urgencia + solicitud fuera del proceso normal.
4) Clone phishing (phishing clonado)
El atacante copia un correo legítimo previo (mismo estilo, firma, asunto similar) y reemplaza el enlace/adjunto por uno malicioso. Puede venir “en el mismo hilo” o como reenvío.
| Elemento | Ejemplo típico |
|---|---|
| Asunto | “RE: Documento compartido” / “Actualización del archivo” |
| Pretexto | “Te reenvío la versión corregida” |
| Llamada a la acción | “Abre el archivo actualizado” |
| Enlace/Adjunto | Adjunto con nombre casi igual; enlace a “nuevo” repositorio |
| Presión temporal | “Necesito confirmación hoy” |
Patrón clave: se apoya en un contexto real (un correo auténtico) para bajar tu guardia.
5) BEC (Business Email Compromise)
Más que “robar credenciales”, busca dinero o cambio de datos de pago. Puede implicar cuentas comprometidas reales o suplantación del dominio. Es común en finanzas, compras y cuentas por pagar.
| Elemento | Ejemplo típico |
|---|---|
| Asunto | “Cambio de cuenta bancaria” / “Factura pendiente” |
| Pretexto | “Actualizamos datos por auditoría” / “Nuevo banco por fusión” |
| Llamada a la acción | “Paga a la nueva cuenta desde hoy” |
| Enlace/Adjunto | Factura PDF; instrucciones bancarias; a veces sin enlaces |
| Presión temporal | “Evita recargos / detención de servicio” |
Patrón clave: petición de cambio de proceso (cuenta bancaria, beneficiario, urgencia de pago) y resistencia a verificación (“estoy en reunión”, “no llames”).
Señales de alerta: técnicas y de contenido
Señales técnicas (lo que puedes comprobar)
- Dominios parecidos (typosquatting): sustituciones sutiles:
micros0ft.com,paypaI.com(I mayúscula), guiones extra, TLD distinto (.coen lugar de.com). - Discrepancia entre display name y remitente real: el nombre visible dice “Soporte TI”, pero el correo es
soporte.ti@dominio-raro.com. En clientes de correo, abre los detalles para ver la dirección completa. - URLs acortadas u ofuscadas: enlaces tipo
bit.ly,tinyurlo URLs largas con parámetros confusos. No es “prueba” por sí sola, pero aumenta el riesgo. - Enlace que no coincide con el texto del botón: el botón dice “Iniciar sesión”, pero al pasar el cursor (hover) apunta a otro dominio.
- Adjuntos con macros o formatos de riesgo:
.docm,.xlsm, archivos comprimidos (.zip,.rar), imágenes ISO, o documentos que piden “Habilitar contenido/Enable macros”. - Respuestas a hilos extraños: correos que parecen parte de una conversación, pero con destinatarios o tono que no encaja; posible clone phishing.
- Solicitudes de credenciales en formularios no habituales: páginas que imitan Microsoft 365/Google/SSO pero con dominio ajeno o certificado sospechoso.
Señales de contenido (lo que el mensaje intenta lograr)
- Lenguaje coercitivo o alarmista: “último aviso”, “tu cuenta será eliminada”, “acción inmediata”.
- Petición de credenciales o códigos: contraseñas, códigos MFA, “código de verificación”, tokens, o “captura de pantalla” del código.
- Ruptura del proceso normal: “hazlo por fuera del sistema”, “no uses el portal”, “no lo comentes”.
- Incongruencias: firma que no coincide con el cargo, horarios improbables, errores sutiles en el estilo, o cambios repentinos de tono.
- Urgencia financiera: pagos, tarjetas regalo, cambios de cuenta, “pago hoy o se cae el servicio”.
Guía práctica: procedimiento de verificación en varios pasos
Usa este procedimiento cuando un mensaje te pida credenciales, dinero, datos sensibles o abrir/descargar algo. La idea es frenar el impulso y validar con evidencias.
Paso 1: Comprobar el origen (quién lo envía realmente)
- Revisa el remitente completo (no solo el nombre visible). Busca dominios parecidos y caracteres engañosos.
- Si es interno: confirma que el dominio es el corporativo correcto y que el mensaje no viene de un alias externo.
- Si es un proveedor: compara con correos anteriores legítimos (dominio exacto, firma, teléfono oficial).
Paso 2: Validar la URL o el destino antes de hacer clic
- Pasa el cursor sobre el enlace para ver el destino real.
- Comprueba el dominio base (lo que está justo antes de
.com,.net, etc.). Ejemplo: enhttps://login.ejemplo.com.seguro-verificacion.netel dominio real esseguro-verificacion.net. - Evita iniciar sesión desde enlaces del correo: abre el sitio escribiendo la dirección en el navegador o usando favoritos/portal corporativo.
- Si hay acortadores, no los abras “por curiosidad”. Pide el enlace completo por un canal verificado o accede por la vía oficial.
Paso 3: Confirmar por canal alterno (out-of-band)
- Si pide pago/cambio bancario: confirma por teléfono usando un número ya conocido (contrato, web oficial, directorio interno), no el del correo.
- Si dice ser tu jefe/compañero: confirma por llamada, videollamada o chat corporativo iniciado por ti (no respondiendo al mismo hilo).
- Si dice ser TI/seguridad: valida en el portal de soporte o con el equipo interno por los canales establecidos.
Paso 4: Revisar el contexto (¿encaja con la realidad?)
- ¿Esperabas ese documento o factura? Si no, sospecha.
- ¿La urgencia es coherente? “Antes del cierre bancario” puede ser real, pero debe existir un proceso y una orden previa.
- ¿La solicitud rompe controles? Saltarse aprobaciones, pedir confidencialidad extrema o pedir credenciales es señal fuerte.
Paso 5: Reportar y aislar (sin propagar)
- No reenvíes el correo a compañeros “para preguntar” si eso expone el enlace/adjunto. Usa el botón corporativo de “Reportar phishing” si existe.
- Reporta al canal definido (mesa de ayuda/seguridad) adjuntando el mensaje como archivo o usando la función de reporte del cliente de correo.
- Si hiciste clic o abriste un adjunto: desconecta de la red si tu procedimiento lo indica y avisa de inmediato; el tiempo reduce impacto.
Mini-laboratorio: desarmar un correo sospechoso con una checklist
Aplica esta lista a cualquier mensaje. Si acumula 2–3 señales, trátalo como sospechoso hasta verificar.
- Remitente: ¿dominio exacto y esperado? ¿display name coincide?
- Acción solicitada: ¿credenciales, MFA, pago, cambio de cuenta, descarga?
- Urgencia: ¿amenaza o plazo artificial?
- Enlace: ¿dominio real coincide con la organización? ¿acortador?
- Adjunto: ¿pide habilitar macros? ¿formato inusual?
- Contexto: ¿lo esperabas? ¿hay número de pedido, contrato, ticket real?
- Canal alterno: ¿puedes confirmar por un medio independiente?
Prácticas seguras de autenticación relacionadas con phishing
MFA: qué usar y qué evitar
- Activa MFA en correo, VPN, SSO y herramientas críticas. Reduce el impacto si roban la contraseña.
- Prioriza MFA resistente a phishing cuando sea posible: llaves de seguridad (FIDO2/WebAuthn) o passkeys. Son más difíciles de capturar en sitios falsos.
- Desconfía de solicitudes de códigos MFA por correo/chat/teléfono: ningún soporte legítimo debe pedirte tu código.
- Fatiga de MFA: si recibes múltiples notificaciones de aprobación que no iniciaste, recházalas y reporta; puede ser un intento de empuje hasta que aceptes.
Gestión de contraseñas para reducir el éxito del phishing
- Contraseñas únicas por servicio: evita reutilización. Si caes en un sitio falso, no comprometes todo.
- Usa un gestor de contraseñas: además de generar claves fuertes, ayuda a detectar sitios falsos porque no autocompleta en dominios que no coinciden.
- Longitud sobre complejidad: frases largas y únicas (o generadas por gestor) son más robustas.
- No compartas credenciales por correo o chat. Usa mecanismos de delegación/roles o accesos temporales aprobados.
- Cambia contraseñas solo desde rutas oficiales: entra al portal escribiendo la URL o desde el acceso corporativo, no desde enlaces en correos.
Escenarios prácticos de verificación (rápidos)
Escenario A: “Tu buzón está lleno, inicia sesión para ampliar cuota”
- Verifica remitente y dominio del enlace.
- No uses el enlace: abre el portal oficial de correo/SSO desde favoritos.
- Si hay alerta real, debería aparecer también dentro de la plataforma.
- Reporta el correo si el dominio no coincide.
Escenario B: “Proveedor: cambiamos cuenta bancaria, adjunto carta” (BEC)
- No proceses el cambio desde el correo.
- Confirma por teléfono con contacto conocido y registra la verificación según el procedimiento interno.
- Exige doble aprobación y validación documental por canal oficial.
- Reporta a seguridad/finanzas si el correo presiona o evita verificación.
Escenario C: “Documento compartido: habilita macros para ver contenido”
- Trátalo como alto riesgo.
- Verifica si esperabas el archivo y confirma por canal alterno.
- No habilites macros; solicita una versión en formato seguro o acceso por repositorio corporativo.
- Reporta el adjunto para análisis.
