Cómo saber si un correo electrónico es falso

Blog

Aprenda a saber si un correo electrónico es falso examinando los dominios, comprobando los campos de respuesta y verificando la autenticación. Protéjase hoy mismo de las estafas de phishing.

por Ahona Rudra

Tiempo de lectura: 13 min
Cómo saber si un correo electrónico es falso
Índice-

Imagínese esto: abre su bandeja de entrada y ve un mensaje urgente de su banco. Afirman que su cuenta ha sido comprometida y que debe verificar sus datos inmediatamente. Su corazón se acelera y hace clic en el enlace, dispuesto a proteger el dinero que tanto le ha costado ganar. Pero espera, ¿acabas de caer en uno de los trucos más viejos del mundo?

Recientemente he estado investigando y me ha sorprendido lo sofisticados que se han vuelto los correos electrónicos fraudulentos. Atrás han quedado los días en que las estafas eran fáciles de detectar, con mala ortografía o esquemas obvios de príncipes nigerianos. Las direcciones de correo electrónico falsas de hoy pueden ser casi indistinguibles de las reales.

Hay varias formas de saber si un correo electrónico es falso, pero ninguna de ellas es infalible. Hay que utilizar una combinación de técnicas, e incluso así no se puede estar seguro al 100%. Pero puedes acercarte bastante. Desde el análisis de las cabeceras de los correos electrónicos hasta la comprensión de la psicología que subyace a estos ataques de phishing, le explicaremos todo lo que necesita saber para mantener a salvo su bandeja de entrada y su identidad.

Puntos clave

  1. Preste mucha atención al dominio de correo electrónico para detectar intentos de "typosquatting" por parte de estafadores.
  2. Pase el ratón por encima de los nombres mostrados para revelar la dirección de correo electrónico real y verificar su legitimidad.
  3. Los indicadores de autenticación como SPF, DKIM y DMARC son cruciales para confirmar la identidad del remitente.
  4. Desconfíe de los correos electrónicos que evocan urgencia o exigen información confidencial, ya que son tácticas habituales de phishing.
  5. Tenga cuidado con los archivos adjuntos inesperados y valide los enlaces pasando el ratón por encima de ellos antes de hacer clic.

Aspectos básicos: Examinar la dirección de correo electrónico potencialmente falsa del remitente

Para atrapar a un estafador, hay que pensar como él. La mayoría de los estafadores empiezan con un objetivo sencillo: engañarle para que realice alguna acción, ya sea hacer clic en un enlace, descargar un archivo adjunto o compartir su información personal y financiera. Pero, ¿cómo le llevan hasta ese punto? La respuesta está en una combinación de psicología y trucos técnicos.

Empecemos por la técnica más sencilla: fijarnos en la propia dirección de correo electrónico.

Imitaciones de dominios

En primer lugar, compruebe el dominio del correo electrónico. Si estás esperando un correo electrónico de una empresa de renombre, el dominio debe coincidir con el sitio web oficial de la empresa. Por ejemplo, un correo electrónico de Amazon debería proceder de @amazon.com, no de @amaz0n.com.

Spammers use techniques like typosquatting, where they register domains that are very similar to legitimate ones. For example, they might register gooogle.com (with three o’s) and use it to send phishing emails that look like they’re from Google.
<

Simplifique la seguridad del correo electrónico con PowerDMARC.

Prueba de 15 díasAgendar demo
h3>Subdominios: No se deje engañar

Otro truco común es utilizar subdominios para hacer que una dirección falsa parezca legítima. Por ejemplo, "paypal.secure-login.com" puede parecer de PayPal a primera vista, pero "secure-login.com" es el dominio real. Fíjate siempre en el dominio raíz (la parte justo antes del .com, .org, etc.) para determinar el verdadero remitente.

Busque nombres de pantalla engañosos

Los estafadores pueden manipular el nombre que se muestra en un correo electrónico de phishing para que parezca que el mensaje procede de alguien conocido.

Ejemplo: Puede parecer que un correo electrónico procede de "Atención al cliente de Amazon", pero la dirección de correo real es algo así como [email protected].

Cómo comprobarlo: Pasa el ratón por encima o haz clic en el nombre para ver la dirección de correo electrónico real. Esto a menudo mostrará la verdadera fuente del correo electrónico y puede indicar rápidamente si es legítimo o no.

El truco Unicode

Este ingenioso truco consiste en utilizar caracteres de alfabetos no latinos que parecen idénticos a las letras estándar. Por ejemplo, la "а" cirílica (U+0430) se parece exactamente a la "a" latina, pero permite a los estafadores registrar un dominio diferente.

Ejemplo: Dirección de correo electrónico legítima: apple.com Correo electrónico fraudulento falsificado: аpple.com (¿notas la diferencia? ¡No hay ninguna visualmente!)

Si sospecha algo, puede copiar y pegar la dirección en una herramienta de inspección de Unicode para comprobar si hay caracteres no estándar. Revelará cualquier carácter no estándar.

Caracteres aleatorios en la dirección de correo electrónico falsa

Otra cosa que hay que buscar en la dirección de correo electrónico falsa son cadenas aleatorias de números o letras. Las direcciones de correo electrónico reales rara vez las tienen, a menos que sean direcciones generadas automáticamente para fines específicos. Si ves un correo electrónico de [email protected], es más probable que sea falso que uno de [email protected].

Pero, de nuevo, no se trata de una regla rígida. Algunas personas utilizan números aleatorios en sus direcciones de correo electrónico, sobre todo si tienen un nombre común y necesitan diferenciar su dirección de las demás.

El campo Reply-To

Lo siguiente que hay que examinar es la dirección "reply-to". Indica a su cliente de correo electrónico dónde debe enviar las respuestas.

Por qué es importante

Los correos electrónicos legítimos suelen tener la dirección de respuesta en el mismo dominio que el remitente. Si es diferente, sobre todo si se trata de un servicio de correo electrónico gratuito, es una señal de alarma. Los estafadores suelen tener que utilizar una dirección de respuesta diferente, ya que no controlan el dominio que están suplantando.

Ejemplo: Puede parecer que un correo electrónico procede de [email protected], pero la dirección de respuesta puede ser [email protected].

Cómo comprobarlo

En Gmail, puedes ver la dirección de respuesta haciendo clic en la flecha desplegable situada junto al nombre del remitente. Otros clientes de correo electrónico pueden requerir que empieces a redactar una respuesta para verla. Si el destinatario de la respuesta no coincide con el remitente, ten cuidado.

A veces, los estafadores ni siquiera se molestan en cambiar el campo "responder a". En su lugar, incluyen un texto en el cuerpo del mensaje en el que te piden que respondas a una dirección diferente. Esto es igualmente sospechoso.

Indicadores de autenticación: Las comprobaciones técnicas

Ahora entramos en los aspectos más técnicos. No te preocupes si esto parece complicado al principio, una vez que sepas qué buscar, no es tan difícil.

¿Qué son los indicadores de autenticación?

Se trata de comprobaciones que verifican que un correo electrónico procede realmente del dominio del que dice proceder.

SPF, DKIM y DMARC

Los tres tipos principales de indicadores de autenticación son:

  • SPF (Marco de política del remitente): Esto ayuda a verificar que la dirección IP del remitente está autorizada a enviar correos electrónicos para ese dominio. Si un correo electrónico procede de un servidor que no está en esta lista, es probable que sea falso.
  • DKIM (DomainKeys Identified Mail): DKIM es como un sello de seguridad para los correos electrónicos. Añade una firma digital a tus correos electrónicos para demostrar que realmente proceden de ti y que no han sido modificados de camino al destinatario.
  • DMARC (autenticación de mensajes basada en dominios, informes y conformidad): La política DMARC se basa en SPF y DKIM, permitiendo a los propietarios de dominios especificar cómo tratar los correos sospechosos que no superen estas comprobaciones. También permite a los receptores informar a los remitentes sobre los mensajes que superan o no estas comprobaciones.

Cómo comprobarlos

Por desgracia, la mayoría de los clientes de correo electrónico no muestran de forma destacada la información de autenticación importante, lo que dificulta a los usuarios verificar rápidamente la legitimidad de un correo electrónico.

Algunos, como Gmail, muestran la información "enviado por" y "firmado por" directamente en la vista del correo electrónico, lo que te da una indicación rápida de la autenticidad del mensaje. Para una comprobación más exhaustiva, puedes acceder a las cabeceras completas del correo electrónico.

En Gmail, haz clic en los tres puntos situados junto al botón de respuesta y selecciona "Mostrar original" para ver los resultados detallados de las comprobaciones SPF y DKIM.

En qué fijarse

En el caso de grandes organizaciones de renombre como Google, Apple, Microsoft, etc., debería ver que pasan los tres (SPF, DKIM, DMARC). Para las empresas más pequeñas, al menos SPF y DKIM deberían pasar.

qué buscar

Cualquier fallo aquí es muy sospechoso para supuestos correos electrónicos de grandes organizaciones. Dicho esto, pasar estas comprobaciones no garantiza que un correo electrónico sea seguro. Sólo significa que procede realmente del dominio que afirma. Un estafador podría crear un dominio falso con la autenticación adecuada. Por lo tanto, tienes que comprobar que se trata del dominio correcto.

Pero leer las cabeceras de los correos electrónicos no es fácil. Están llenas de información técnica que la mayoría de la gente no entiende. Y los spammers lo saben, por lo que han mejorado en la falsificación de encabezados que parecen legítimos.

La pista "Vía

Cuando recibes un correo electrónico, sueles ver la dirección del remitente en la parte superior. A veces, también puede aparecer la palabra "via" seguida de otro nombre de dominio junto a la dirección del remitente. Esto ocurre cuando el servidor real que envía el correo electrónico no coincide con la dirección de correo electrónico mostrada.

Ejemplo: Supongamos que recibes un correo electrónico parecido a éste:

De: [email protected] via xyz.com

En este caso, el correo electrónico dice ser de PowerDMARC, pero en realidad se envía a través de xyz, que es un servicio de marketing por correo electrónico.

Hay razones legítimas para ello. Muchas empresas utilizan los servicios de correo electrónico para enviar boletines o mensajes promocionales. Sin embargo, los estafadores también pueden utilizar este truco para que sus cuentas de correo electrónico parezcan más oficiales.

¡Evite las estafas de phishing con PowerDMARC!

Prueba de 15 díasAgendar demo

Banderas rojas de contenido: Qué dice realmente el correo electrónico

Aunque las comprobaciones técnicas son importantes, a veces el contenido del propio correo electrónico de phishing puede ser el que más nos delate. Los estafadores son expertos en manipular las emociones y crear escenarios que inciten a la acción inmediata. Esta táctica se conoce como "ingeniería social". Creando una sensación de urgencia o apelando a su deseo de obtener beneficios económicos, esperan engañarle para que revele información personal o haga clic en enlaces maliciosos.

Por ejemplo, un correo electrónico puede pedirle urgentemente que revise su actividad reciente en una plataforma desconocida o proporcionar un enlace de "revisión de mi ayuda para tareas" para disfrazar contenido malicioso. Estos correos electrónicos de phishing están diseñados para imitar a organizaciones legítimas, con logotipos y diseños de aspecto profesional, para engañar a los usuarios y hacer que confíen en ellos.

lo-básico-examinar-la-dirección-de-correo-del-remitente

Los típicos correos electrónicos de estafa de phishing pueden afirmar lo siguiente:

  • Has ganado una importante suma de dinero.
  • Su cuenta ha sido comprometida y se requiere una acción inmediata.
  • Ha fallado la entrega de un paquete y tiene que reprogramarla.
  • Hay pendiente una factura o solicitud comercial urgente.

Estos correos electrónicos de phishing están diseñados para parecer legítimos y pueden incluso utilizar logotipos, fuentes y diseños familiares. El objetivo es hacerle reaccionar rápidamente sin pensar críticamente sobre la autenticidad del correo electrónico.

Urgencia y amenazas

Los ciberdelincuentes saben que el miedo y la urgencia pueden provocar una acción rápida. Los correos electrónicos falsos pueden intentar asustarle y crearle una sensación de urgencia: "Su cuenta se cerrará si no actualiza sus datos de pago inmediatamente"; emocionarle, por ejemplo: "¡Enhorabuena! ¡Ha ganado 100.000 dólares! Haga clic aquí para reclamar su premio"; o crear una sensación de curiosidad natural ("Vea quién ha visto su perfil"). Este tipo de ataque de phishing pretende eludir su pensamiento racional.

Si recibes un correo electrónico de phishing como éste, párate a pensar. ¿Tiene sentido que una empresa legítima le amenace por correo electrónico? La mayoría de las organizaciones reales no utilizan estas tácticas. Además, si no has participado en ningún concurso o sorteo, es poco probable que ganes uno. Recuerde que las organizaciones legítimas no regalan grandes sumas de dinero a través de correos electrónicos no solicitados.

Si recibe un correo electrónico de phishing de este tipo, póngase en contacto directamente con la empresa utilizando un método de contacto verificado para comprobar si el correo electrónico es legítimo.

Solicitudes de información sensible

Las empresas legítimas no suelen pedir información confidencial por correo electrónico. Si un correo electrónico le pide que responda con sus datos personales, credenciales de la cuenta, número de la seguridad social o datos de la tarjeta de crédito, es casi seguro que es falso.

Anexos inesperados

Muchos estafadores suelen utilizar archivos adjuntos maliciosos para enviar programas maliciosos o virus, que pueden infectar su ordenador y robar su información personal. Si recibe un archivo adjunto inesperado, sobre todo si es un archivo .zip o de un tipo inusual como .exe, .scr o .vbs, sea muy precavido. Incluso tipos de archivos aparentemente inofensivos, como PDF o documentos de Word, pueden contener macros dañinas.

Qué hacer con los archivos adjuntos sospechosos:

  • No los abra: Si recibes un archivo adjunto inesperado, no lo abras a menos que estés seguro de que procede de una fuente de confianza.
  • Utilice programas antivirus: Asegúrate de que tu software antivirus está actualizado y utilízalo para escanear cualquier archivo adjunto antes de abrirlo.

Gramática, errores ortográficos e incoherencias

Aunque no son infalibles (ya que algunos correos legítimos también tienen errores), la mala gramática y los errores múltiples pueden ser una señal de alarma. Es posible que los estafadores no siempre dominen el idioma en el que escriben o que utilicen intencionadamente la gramática incorrecta como filtro para descartar a los destinatarios más exigentes (las personas que se dan cuenta de los errores gramaticales y se desaniman por ellos tienen menos probabilidades de caer en el intento de phishing). Por eso, una de las formas más fáciles de identificar una dirección de correo electrónico falsa es comprobar si hay errores gramaticales y ortográficos.

Las empresas legítimas cuentan con equipos dedicados a garantizar que sus comunicaciones sean profesionales y no contengan errores. Suelen tener plantillas de correo electrónico coherentes y de aspecto profesional. Si un correo electrónico que dice proceder de una gran empresa tiene un aspecto poco profesional o un formato incoherente, es posible que sea falso.

"Estimado cliente" o "Hola, usuario" también pueden delatarle. Las empresas legítimas suelen dirigirse a los usuarios por su nombre, ya que tienen sus datos registrados. Los correos electrónicos falsos suelen utilizar saludos genéricos porque se envían en masa.

Una de las tácticas más utilizadas por los estafadores consiste en incrustar enlaces maliciosos en los mensajes de correo electrónico. Estos enlaces sospechosos suelen llevar a sitios web falsos inesperados diseñados para robar sus credenciales de inicio de sesión o infectar su dispositivo con malware.

Ejemplo: El texto de un enlace malicioso en un correo electrónico puede decir"www.yourbank.com", pero al pasar el ratón por encima, la URL real es algo totalmente diferente, como"www.scamsite.com/login". Esto se denomina URL enmascarada u oculta.

Tú puedes:

Sitúe el cursor sobre el enlace sin hacer clic en él. Esto mostrará el destino real de la URL. Si parece sospechoso o no coincide con el sitio web oficial, no haga clic en él. En lugar de hacer clic en un enlace, escriba el nombre de la empresa en un motor de búsqueda para encontrar su sitio web oficial. Pero ten cuidado: los spammers pueden utilizar acortadores de URL u otras técnicas para ocultar el destino real de un enlace. Además, algunos clientes de correo electrónico no permiten pasar el ratón por encima de los enlaces incrustados para ver a dónde van.

Buscar HTTPS

Los sitios web legítimos suelen tener una URL que empieza por `https://` y un icono de candado. Sin embargo, esto no es hermético, ya que los estafadores también pueden asegurar sus sitios web maliciosos.

Falsos avisos de entrega de paquetes

Con el aumento de las compras en línea, los estafadores han recurrido a falsos avisos de entrega de paquetes para engañar a la gente y que haga clic en enlaces maliciosos.

Ejemplo: "Su intento de entrega de paquete falló. Haga clic aquí para reprogramar".

Qué hacer:

  • Compruebe la dirección de correo electrónico del remitente: Compruebe que el correo electrónico procede del dominio oficial de la empresa de transporte (por ejemplo, `@fedex.com` o `@ups.com`).
  • Acceda directamente a su cuenta: En lugar de hacer clic en enlaces, vaya directamente al sitio web de la empresa para hacer el seguimiento de su paquete.

Ejemplos de estafas de phishing

Veamos algunos ejemplos para comprobar cómo se aplican estos principios en la práctica.

La clásica estafa de PayPal

De: [email protected] Asunto: Su cuenta ha sido limitada Cuerpo: Estimado cliente: Hemos detectado actividad inusual en su cuenta. Por favor, haga clic en el siguiente enlace para verificar su información y restaurar el acceso completo a su cuenta. [ENLACE]

Banderas rojas:

  • Suplantación de dominio (paypal.com.secure-account.com)
  • Asunto urgente
  • Saludo genérico
  • Solicitud para hacer clic en un enlace e introducir información

El fraude del CEO sofisticado

De: [email protected] Asunto: Se necesita transferencia urgente Cuerpo: [Nombre del empleado], necesito que procese una transferencia urgente para una nueva adquisición. Se trata de un asunto urgente y confidencial. Por favor, transfiera 50.000 dólares a la siguiente cuenta inmediatamente: [DETALLES DE LA CUENTA]

Avísame cuando esté hecho.

[Nombre del CEO]

Banderas rojas:

  • Petición urgente de dinero
  • Presión para actuar con rapidez
  • Solicitud de confidencialidad
  • Petición inusual de un ejecutivo de alto nivel

Este tipo de estafa, conocida como Business Email Compromise (BEC), ha costado a las empresas miles de millones de dólares. A menudo consiste en comprometer o suplantar la cuenta de correo electrónico de un ejecutivo para solicitar transferencias fraudulentas.

El correo electrónico legítimo que parece falso

Recibe un correo electrónico de una pequeña empresa con la que ya ha tratado antes. Las comprobaciones de autenticación no pasan y el correo contiene algunos errores tipográficos. Tu primer instinto puede ser marcarlo como spam.

Sin embargo, se da cuenta de que la dirección del remitente coincide con la correspondencia que ha mantenido anteriormente con esta empresa. El contenido del correo electrónico hace referencia a detalles específicos sobre su última interacción con ellos. En este caso, a pesar de las comprobaciones fallidas, el correo electrónico podría ser legítimo: es posible que la pequeña empresa no tenga configurada la autenticación de correo electrónico adecuada. Este ejemplo ilustra por qué es importante tener en cuenta varios factores, incluido el contexto y tu relación con el remitente, y no sólo las comprobaciones técnicas.

Los límites de estos controles

Hay que tener en cuenta que, aunque un correo electrónico supere todas estas comprobaciones, en teoría podría seguir siendo malicioso si la cuenta del remitente ha sido pirateada. Por tanto, piensa siempre de forma crítica sobre el contenido y si tiene sentido que provenga de ese remitente.

Además, recuerde que estas comprobaciones le ayudan principalmente a verificar si un correo electrónico procede de quien dice proceder. No indican necesariamente si el remitente es de confianza. Un estafador podría crear un dominio autenticado correctamente que pase todas estas comprobaciones pero que se siga utilizando con fines maliciosos.

Medidas proactivas para protegerse de correos electrónicos falsos y ataques de phishing

Ser consciente de las señales de direcciones falsas es sólo la mitad de la batalla. Tomar medidas proactivas para protegerse a sí mismo y a su organización es igualmente importante.

Mantenerse informado sobre las estafas actuales

Las tácticas de los correos electrónicos falsos evolucionan constantemente. Mantenerse informado sobre las estafas de phishing actuales puede ayudarle a detectar nuevos tipos de correos electrónicos falsos. Muchas organizaciones publican actualizaciones periódicas sobre nuevas estafas por correo electrónico. Por ejemplo, el Centro de Denuncias de Delitos en Internet(IC3) del FBI publica alertas sobre ciberamenazas y estafas actuales. Del mismo modo, la Comisión Federal de Comercio (FTC) ofrece información valiosa sobre las últimas actividades fraudulentas. Y si quiere profundizar más, existe el Anti-Phishing Working Group(APWG), que se centra específicamente en las estafas de phishing.

Además, tenga cuidado con las estafas generadas por IA y el phishing de voz (vishing). La inteligencia artificial está facilitando a los estafadores la creación de mensajes de phishing convincentes y personalizados a gran escala. Mientras tanto, algunos estafadores están combinando estas tácticas de correo electrónico con llamadas telefónicas y de voz, a menudo utilizando IA para clonar voces, creando una estafa más compleja y potencialmente creíble. Esta técnica, conocida como vishing, añade un elemento auditivo a los ataques de phishing tradicionales, lo que dificulta aún más a las víctimas potenciales discernir la verdad.

Uso de soluciones de filtrado de correo electrónico

Los filtros de spam avanzados pueden ayudar a detectar y bloquear correos electrónicos falsos antes de que lleguen a la bandeja de entrada principal. Estas soluciones utilizan el aprendizaje automático y la inteligencia artificial para analizar el contenido del correo electrónico, la información del remitente y otros metadatos para identificar correos electrónicos potencialmente maliciosos.

Servicio de notificación de violaciones de datos

Utilice servicios legítimos como Have I Been Pwned, Avast Hack Check para ver si su dirección de correo electrónico ha estado implicada en una violación de datos.

Implantar protocolos de autenticación de correo electrónico

El uso de protocolos de autenticación de correo electrónico como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance) puede ayudar a proteger su dominio de la suplantación de identidad.

Por desgracia, la autenticación del correo electrónico no está tan extendida como cabría esperar. Según algunas estimaciones, más del 80% de los dominios no tienen ningún registro SPF. Y de los que lo tienen, muchos no aplican políticas estrictas. DMARC, que se considera el método de autenticación de correo electrónico más completo, se utiliza incluso en menos dominios. Incluso cuando existen estas protecciones, no siempre están configuradas correctamente.

Para las empresas que desean implantar una autenticación sólida del correo electrónico, PowerDMARC ofrece una solución completa. Su plataforma simplifica el proceso de configuración y gestión de registros DMARC, SPF y DKIM.

Características principales:

Al utilizar un servicio como PowerDMARC, las organizaciones pueden reducir significativamente el riesgo de que su dominio sea utilizado en ataques de phishing, protegiendo tanto la reputación de su marca como a sus clientes.

Manténgase alerta

Los estafadores evolucionan constantemente sus técnicas. Pero si examina detenidamente la dirección del remitente, el campo "Responder a" y los resultados de la autenticación, podrá detectar la mayoría de los correos falsos. Piense en estos métodos como ayudas que amplifican su escepticismo natural, no como sustitutos del mismo. Son como los dispositivos de seguridad de un coche: pueden ayudar a evitar accidentes, pero hay que seguir conduciendo con cuidado. Al final, si un correo electrónico te parece sospechoso, trátalo como tal. Es mejor ignorar de vez en cuando un correo electrónico real que caer en una estafa de phishing.

Recuerde que nadie es inmune a estas estafas de phishing. Incluso las personas más expertas en tecnología pueden ser engañadas por un engaño lo suficientemente astuto.

Últimas publicaciones de Ahona Rudra (ver todas)
DMARC Black Viernes: Fortalezca sus correos electrónicos estas fiestas¿Qué es el cifrado de correo electrónico y cuáles son sus varios-tipos?¿Qué es el cifrado de correo electrónico y cuáles son sus diversos tipos?