Imagínese esto: abre su bandeja de entrada y ve un mensaje urgente de su banco. Afirman que su cuenta ha sido comprometida y que debe verificar sus datos inmediatamente. Su corazón se acelera y hace clic en el enlace, dispuesto a proteger el dinero que tanto le ha costado ganar. Pero espera, ¿acabas de caer en uno de los trucos más viejos del mundo?
Recientemente he estado investigando y me ha sorprendido lo sofisticados que se han vuelto los correos electrónicos fraudulentos. Atrás han quedado los días en que las estafas eran fáciles de detectar, con mala ortografía o esquemas obvios de príncipes nigerianos. Las direcciones de correo electrónico falsas de hoy pueden ser casi indistinguibles de las reales.
Hay varias formas de saber si un correo electrónico es falso, pero ninguna de ellas es infalible. Hay que utilizar una combinación de técnicas, e incluso así no se puede estar seguro al 100%. Pero puedes acercarte bastante. Desde el análisis de las cabeceras de los correos electrónicos hasta la comprensión de la psicología que subyace a estos ataques de phishing, le explicaremos todo lo que necesita saber para mantener a salvo su bandeja de entrada y su identidad.
Aspectos básicos: Examinar la dirección de correo electrónico potencialmente falsa del remitente
Para atrapar a un estafador, hay que pensar como él. La mayoría de los estafadores empiezan con un objetivo sencillo: engañarle para que realice alguna acción, ya sea hacer clic en un enlace, descargar un archivo adjunto o compartir su información personal y financiera. Pero, ¿cómo le llevan hasta ese punto? La respuesta está en una combinación de psicología y trucos técnicos.
Empecemos por la técnica más sencilla: fijarnos en la propia dirección de correo electrónico.
Imitaciones de dominios
En primer lugar, compruebe el dominio del correo electrónico. Si estás esperando un correo electrónico de una empresa de renombre, el dominio debe coincidir con el sitio web oficial de la empresa. Por ejemplo, un correo electrónico de Amazon debería proceder de @amazon.com, no de @amaz0n.com.
Los spammers utilizan técnicas como la typosquatting, en la que registran dominios muy similares a los legítimos. Por ejemplo, pueden registrar gooogle.com (con tres oes) y utilizarlo para enviar correos electrónicos de phishing que parezcan proceder de Google.
Subdominios: No se deje engañar
Otro truco común es utilizar subdominios para hacer que una dirección falsa parezca legítima. Por ejemplo, "paypal.secure-login.com" puede parecer de PayPal a primera vista, pero "secure-login.com" es el dominio real. Fíjate siempre en el dominio raíz (la parte justo antes del .com, .org, etc.) para determinar el verdadero remitente.
Busque nombres de pantalla engañosos
Los estafadores pueden manipular el nombre que se muestra en un correo electrónico de phishing para que parezca que el mensaje procede de alguien conocido.
Ejemplo: Puede parecer que un correo electrónico procede de "Atención al cliente de Amazon", pero la dirección de correo real es algo así como [email protected].
Cómo comprobarlo: Pasa el ratón por encima o haz clic en el nombre para ver la dirección de correo electrónico real. Esto a menudo mostrará la verdadera fuente del correo electrónico y puede indicar rápidamente si es legítimo o no.
El truco Unicode
Este ingenioso truco consiste en utilizar caracteres de alfabetos no latinos que parecen idénticos a las letras estándar. Por ejemplo, la "а" cirílica (U+0430) se parece exactamente a la "a" latina, pero permite a los estafadores registrar un dominio diferente.
Ejemplo: Dirección de correo electrónico legítima: apple.com Correo electrónico fraudulento falsificado: аpple.com (¿notas la diferencia? ¡No hay ninguna visualmente!)
Si sospecha algo, puede copiar y pegar la dirección en una herramienta de inspección de Unicode para comprobar si hay caracteres no estándar. Revelará cualquier carácter no estándar.
Caracteres aleatorios en la dirección de correo electrónico falsa
Otra cosa que hay que buscar en la dirección de correo electrónico falsa son cadenas aleatorias de números o letras. Las direcciones de correo electrónico reales rara vez las tienen, a menos que sean direcciones generadas automáticamente para fines específicos. Si ves un correo electrónico de [email protected], es más probable que sea falso que uno de [email protected].
Pero, de nuevo, no se trata de una regla rígida. Algunas personas utilizan números aleatorios en sus direcciones de correo electrónico, sobre todo si tienen un nombre común y necesitan diferenciar su dirección de las demás.
El campo Reply-To
Lo siguiente que hay que examinar es la dirección "reply-to". Indica a su cliente de correo electrónico dónde debe enviar las respuestas.
Por qué es importante
Los correos electrónicos legítimos suelen tener la dirección de respuesta en el mismo dominio que el remitente. Si es diferente, sobre todo si se trata de un servicio de correo electrónico gratuito, es una señal de alarma. Los estafadores suelen tener que utilizar una dirección de respuesta diferente, ya que no controlan el dominio que están suplantando.
Ejemplo: Puede parecer que un correo electrónico procede de [email protected], pero la dirección de respuesta puede ser [email protected].
Cómo comprobarlo
En Gmail, puedes ver la dirección de respuesta haciendo clic en la flecha desplegable situada junto al nombre del remitente. Otros clientes de correo electrónico pueden requerir que empieces a redactar una respuesta para verla. Si el destinatario de la respuesta no coincide con el remitente, ten cuidado.
A veces, los estafadores ni siquiera se molestan en cambiar el campo "responder a". En su lugar, incluyen un texto en el cuerpo del mensaje en el que te piden que respondas a una dirección diferente. Esto es igualmente sospechoso.
Indicadores de autenticación: Las comprobaciones técnicas
Ahora entramos en los aspectos más técnicos. No te preocupes si esto parece complicado al principio, una vez que sepas qué buscar, no es tan difícil.
¿Qué son los indicadores de autenticación?
Se trata de comprobaciones que verifican que un correo electrónico procede realmente del dominio del que dice proceder.
SPF, DKIM y DMARC
Los tres tipos principales de indicadores de autenticación son:
- SPF (Marco de política del remitente): Esto ayuda a verificar que la dirección IP del remitente está autorizada a enviar correos electrónicos para ese dominio. Si un correo electrónico procede de un servidor que no está en esta lista, es probable que sea falso.
- DKIM (DomainKeys Identified Mail): DKIM es como un sello de seguridad para los correos electrónicos. Añade una firma digital a tus correos electrónicos para demostrar que realmente proceden de ti y que no han sido modificados de camino al destinatario.
- DMARC (autenticación de mensajes basada en dominios, informes y conformidad): La política DMARC se basa en SPF y DKIM, permitiendo a los propietarios de dominios especificar cómo tratar los correos sospechosos que no superen estas comprobaciones. También permite a los receptores informar a los remitentes sobre los mensajes que superan o no estas comprobaciones.
Cómo comprobarlos
Por desgracia, la mayoría de los clientes de correo electrónico no muestran de forma destacada la información de autenticación importante, lo que dificulta a los usuarios verificar rápidamente la legitimidad de un correo electrónico.
Algunos, como Gmail, muestran la información "enviado por" y "firmado por" directamente en la vista del correo electrónico, lo que te da una indicación rápida de la autenticidad del mensaje. Para una comprobación más exhaustiva, puedes acceder a las cabeceras completas del correo electrónico.
En Gmail, haz clic en los tres puntos situados junto al botón de respuesta y selecciona "Mostrar original" para ver los resultados detallados de las comprobaciones SPF y DKIM.
En qué fijarse
En el caso de grandes organizaciones de renombre como Google, Apple, Microsoft, etc., debería ver que pasan los tres (SPF, DKIM, DMARC). Para las empresas más pequeñas, al menos SPF y DKIM deberían pasar.
Cualquier fallo aquí es muy sospechoso para supuestos correos electrónicos de grandes organizaciones. Dicho esto, pasar estas comprobaciones no garantiza que un correo electrónico sea seguro. Sólo significa que procede realmente del dominio que afirma. Un estafador podría crear un dominio falso con la autenticación adecuada. Por lo tanto, tienes que comprobar que se trata del dominio correcto.
Pero leer las cabeceras de los correos electrónicos no es fácil. Están llenas de información técnica que la mayoría de la gente no entiende. Y los spammers lo saben, por lo que han mejorado en la falsificación de encabezados que parecen legítimos.
La pista "Vía
Cuando recibes un correo electrónico, sueles ver la dirección del remitente en la parte superior. A veces, también puede aparecer la palabra "via" seguida de otro nombre de dominio junto a la dirección del remitente. Esto ocurre cuando el servidor real que envía el correo electrónico no coincide con la dirección de correo electrónico mostrada.
Ejemplo: Supongamos que recibes un correo electrónico parecido a éste:
De: [email protected] via xyz.com
En este caso, el correo electrónico dice ser de PowerDMARC, pero en realidad se envía a través de xyz, que es un servicio de marketing por correo electrónico.
Hay razones legítimas para ello. Muchas empresas utilizan los servicios de correo electrónico para enviar boletines o mensajes promocionales. Sin embargo, los estafadores también pueden utilizar este truco para que sus cuentas de correo electrónico parezcan más oficiales.
¡Evite las estafas de phishing con PowerDMARC!
Banderas rojas de contenido: Qué dice realmente el correo electrónico
Aunque las comprobaciones técnicas son importantes, a veces el contenido del propio correo electrónico de phishing puede ser el que más nos delate. Los estafadores son expertos en manipular las emociones y crear escenarios que inciten a la acción inmediata. Esta táctica se conoce como "ingeniería social". Creando una sensación de urgencia o apelando a su deseo de obtener beneficios económicos, esperan engañarle para que revele información personal o haga clic en enlaces maliciosos.
Los típicos correos electrónicos de estafa de phishing pueden afirmar lo siguiente:
- Has ganado una importante suma de dinero.
- Su cuenta ha sido comprometida y se requiere una acción inmediata.
- Ha fallado la entrega de un paquete y tiene que reprogramarla.
- Hay pendiente una factura o solicitud comercial urgente.
Estos correos electrónicos de phishing están diseñados para parecer legítimos y pueden incluso utilizar logotipos, fuentes y diseños familiares. El objetivo es hacerle reaccionar rápidamente sin pensar críticamente sobre la autenticidad del correo electrónico.
Urgencia y amenazas
Los ciberdelincuentes saben que el miedo y la urgencia pueden provocar una acción rápida. Los correos electrónicos falsos pueden intentar asustarle y crearle una sensación de urgencia: "Su cuenta se cerrará si no actualiza sus datos de pago inmediatamente"; emocionarle, por ejemplo: "¡Enhorabuena! ¡Ha ganado 100.000 dólares! Haga clic aquí para reclamar su premio"; o crear una sensación de curiosidad natural ("Vea quién ha visto su perfil"). Este tipo de ataque de phishing pretende eludir su pensamiento racional.
Si recibes un correo electrónico de phishing como éste, párate a pensar. ¿Tiene sentido que una empresa legítima le amenace por correo electrónico? La mayoría de las organizaciones reales no utilizan estas tácticas. Además, si no has participado en ningún concurso o sorteo, es poco probable que ganes uno. Recuerde que las organizaciones legítimas no regalan grandes sumas de dinero a través de correos electrónicos no solicitados.
Si recibe un correo electrónico de phishing de este tipo, póngase en contacto directamente con la empresa utilizando un método de contacto verificado para comprobar si el correo electrónico es legítimo.
Solicitudes de información sensible
Las empresas legítimas no suelen pedir información confidencial por correo electrónico. Si un correo electrónico le pide que responda con sus datos personales, credenciales de la cuenta, número de la seguridad social o datos de la tarjeta de crédito, es casi seguro que es falso.
Anexos inesperados
Muchos estafadores suelen utilizar archivos adjuntos maliciosos para enviar programas maliciosos o virus, que pueden infectar su ordenador y robar su información personal. Si recibe un archivo adjunto inesperado, sobre todo si es un archivo .zip o de un tipo inusual como .exe, .scr o .vbs, sea muy precavido. Incluso tipos de archivos aparentemente inofensivos, como PDF o documentos de Word, pueden contener macros dañinas.
Qué hacer con los archivos adjuntos sospechosos:
- No los abra: Si recibes un archivo adjunto inesperado, no lo abras a menos que estés seguro de que procede de una fuente de confianza.
- Utilice programas antivirus: Asegúrate de que tu software antivirus está actualizado y utilízalo para escanear cualquier archivo adjunto antes de abrirlo.
Gramática, errores ortográficos e incoherencias
Aunque no son infalibles (ya que algunos correos legítimos también tienen errores), la mala gramática y los errores múltiples pueden ser una señal de alarma. Es posible que los estafadores no siempre dominen el idioma en el que escriben o que utilicen intencionadamente la gramática incorrecta como filtro para descartar a los destinatarios más exigentes (las personas que se dan cuenta de los errores gramaticales y se desaniman por ellos tienen menos probabilidades de caer en el intento de phishing). Por eso, una de las formas más fáciles de identificar una dirección de correo electrónico falsa es comprobar si hay errores gramaticales y ortográficos.
Las empresas legítimas cuentan con equipos dedicados a garantizar que sus comunicaciones sean profesionales y no contengan errores. Suelen tener plantillas de correo electrónico coherentes y de aspecto profesional. Si un correo electrónico que dice proceder de una gran empresa tiene un aspecto poco profesional o un formato incoherente, es posible que sea falso.
"Estimado cliente" o "Hola, usuario" también pueden delatarle. Las empresas legítimas suelen dirigirse a los usuarios por su nombre, ya que tienen sus datos registrados. Los correos electrónicos falsos suelen utilizar saludos genéricos porque se envían en masa.
Enlaces no coincidentes
Una de las tácticas más utilizadas por los estafadores consiste en incrustar enlaces maliciosos en los mensajes de correo electrónico. Estos enlaces sospechosos suelen llevar a sitios web falsos inesperados diseñados para robar sus credenciales de inicio de sesión o infectar su dispositivo con malware.
Ejemplo: El texto de un enlace malicioso en un correo electrónico puede decir"www.yourbank.com", pero al pasar el ratón por encima, la URL real es algo totalmente diferente, como"www.scamsite.com/login". Esto se denomina URL enmascarada u oculta.
Cómo verificar los enlaces
Tú puedes:
Pase el ratón por encima del enlace
Sitúe el cursor sobre el enlace sin hacer clic en él. Esto mostrará el destino real de la URL. Si parece sospechoso o no coincide con el sitio web oficial, no haga clic en él. En lugar de hacer clic en un enlace, escriba el nombre de la empresa en un motor de búsqueda para encontrar su sitio web oficial. Pero ten cuidado: los spammers pueden utilizar acortadores de URL u otras técnicas para ocultar el destino real de un enlace. Además, algunos clientes de correo electrónico no permiten pasar el ratón por encima de los enlaces incrustados para ver a dónde van.
Buscar HTTPS
Los sitios web legítimos suelen tener una URL que empieza por `https://` y un icono de candado. Sin embargo, esto no es hermético, ya que los estafadores también pueden asegurar sus sitios web maliciosos.
Falsos avisos de entrega de paquetes
Con el aumento de las compras en línea, los estafadores han recurrido a falsos avisos de entrega de paquetes para engañar a la gente y que haga clic en enlaces maliciosos.
Ejemplo: "Su intento de entrega de paquete falló. Haga clic aquí para reprogramar".
Qué hacer:
- Compruebe la dirección de correo electrónico del remitente: Compruebe que el correo electrónico procede del dominio oficial de la empresa de transporte (por ejemplo, `@fedex.com` o `@ups.com`).
- Acceda directamente a su cuenta: En lugar de hacer clic en enlaces, vaya directamente al sitio web de la empresa para hacer el seguimiento de su paquete.
Ejemplos de estafas de phishing
Veamos algunos ejemplos para comprobar cómo se aplican estos principios en la práctica.
La clásica estafa de PayPal
De: [email protected] Asunto: Su cuenta ha sido limitada Cuerpo: Estimado cliente: Hemos detectado actividad inusual en su cuenta. Por favor, haga clic en el siguiente enlace para verificar su información y restaurar el acceso completo a su cuenta. [ENLACE]
Banderas rojas:
- Suplantación de dominio (paypal.com.secure-account.com)
- Asunto urgente
- Saludo genérico
- Solicitud para hacer clic en un enlace e introducir información
El fraude del CEO sofisticado
De: [email protected] Asunto: Se necesita transferencia urgente Cuerpo: [Nombre del empleado], necesito que procese una transferencia urgente para una nueva adquisición. Se trata de un asunto urgente y confidencial. Por favor, transfiera 50.000 dólares a la siguiente cuenta inmediatamente: [DETALLES DE LA CUENTA]
Avísame cuando esté hecho.
[Nombre del CEO]
Banderas rojas:
- Petición urgente de dinero
- Presión para actuar con rapidez
- Solicitud de confidencialidad
- Petición inusual de un ejecutivo de alto nivel
Este tipo de estafa, conocida como Business Email Compromise (BEC), ha costado a las empresas miles de millones de dólares. A menudo consiste en comprometer o suplantar la cuenta de correo electrónico de un ejecutivo para solicitar transferencias fraudulentas.
El correo electrónico legítimo que parece falso
Recibe un correo electrónico de una pequeña empresa con la que ya ha tratado antes. Las comprobaciones de autenticación no pasan y el correo contiene algunos errores tipográficos. Tu primer instinto puede ser marcarlo como spam.
Sin embargo, se da cuenta de que la dirección del remitente coincide con la correspondencia que ha mantenido anteriormente con esta empresa. El contenido del correo electrónico hace referencia a detalles específicos sobre su última interacción con ellos. En este caso, a pesar de las comprobaciones fallidas, el correo electrónico podría ser legítimo: es posible que la pequeña empresa no tenga configurada la autenticación de correo electrónico adecuada. Este ejemplo ilustra por qué es importante tener en cuenta varios factores, incluido el contexto y tu relación con el remitente, y no sólo las comprobaciones técnicas.
Los límites de estos controles
Hay que tener en cuenta que, aunque un correo electrónico supere todas estas comprobaciones, en teoría podría seguir siendo malicioso si la cuenta del remitente ha sido pirateada. Por tanto, piensa siempre de forma crítica sobre el contenido y si tiene sentido que provenga de ese remitente.
Además, recuerde que estas comprobaciones le ayudan principalmente a verificar si un correo electrónico procede de quien dice proceder. No indican necesariamente si el remitente es de confianza. Un estafador podría crear un dominio autenticado correctamente que pase todas estas comprobaciones pero que se siga utilizando con fines maliciosos.
Medidas proactivas para protegerse de correos electrónicos falsos y ataques de phishing
Ser consciente de las señales de direcciones falsas es sólo la mitad de la batalla. Tomar medidas proactivas para protegerse a sí mismo y a su organización es igualmente importante.
Mantenerse informado sobre las estafas actuales
Las tácticas de los correos electrónicos falsos evolucionan constantemente. Mantenerse informado sobre las estafas de phishing actuales puede ayudarle a detectar nuevos tipos de correos electrónicos falsos. Muchas organizaciones publican actualizaciones periódicas sobre nuevas estafas por correo electrónico. Por ejemplo, el Centro de Denuncias de Delitos en Internet(IC3) del FBI publica alertas sobre ciberamenazas y estafas actuales. Del mismo modo, la Comisión Federal de Comercio (FTC) ofrece información valiosa sobre las últimas actividades fraudulentas. Y si quiere profundizar más, existe el Anti-Phishing Working Group(APWG), que se centra específicamente en las estafas de phishing.
Además, tenga cuidado con las estafas generadas por IA y el phishing de voz (vishing). La inteligencia artificial está facilitando a los estafadores la creación de mensajes de phishing convincentes y personalizados a gran escala. Mientras tanto, algunos estafadores están combinando estas tácticas de correo electrónico con llamadas telefónicas y de voz, a menudo utilizando IA para clonar voces, creando una estafa más compleja y potencialmente creíble. Esta técnica, conocida como vishing, añade un elemento auditivo a los ataques de phishing tradicionales, lo que dificulta aún más a las víctimas potenciales discernir la verdad.
Uso de soluciones de filtrado de correo electrónico
Los filtros de spam avanzados pueden ayudar a detectar y bloquear correos electrónicos falsos antes de que lleguen a la bandeja de entrada principal. Estas soluciones utilizan el aprendizaje automático y la inteligencia artificial para analizar el contenido del correo electrónico, la información del remitente y otros metadatos para identificar correos electrónicos potencialmente maliciosos.
Servicio de notificación de violaciones de datos
Utilice servicios legítimos como Have I Been Pwned, Avast Hack Check para ver si su dirección de correo electrónico ha estado implicada en una violación de datos.
Implantar protocolos de autenticación de correo electrónico
El uso de protocolos de autenticación de correo electrónico como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance) puede ayudar a proteger su dominio de la suplantación de identidad.
Por desgracia, la autenticación del correo electrónico no está tan extendida como cabría esperar. Según algunas estimaciones, más del 80% de los dominios no tienen ningún registro SPF. Y de los que lo tienen, muchos no aplican políticas estrictas. DMARC, que se considera el método de autenticación de correo electrónico más completo, se utiliza incluso en menos dominios. Incluso cuando existen estas protecciones, no siempre están configuradas correctamente.
Para las empresas que desean implantar una autenticación sólida del correo electrónico, PowerDMARC ofrece una solución completa. Su plataforma simplifica el proceso de configuración y gestión de registros DMARC, SPF y DKIM.
Características principales:
- Generador de registros DMARC: Crea y gestiona fácilmente registros DMARC.
- Gestión de registros SPF: Optimice sus registros SPF para evitar la suplantación de direcciones de correo electrónico.
- Asistencia para la configuración de DKIM: Implemente la firma DKIM para su dominio con la herramienta generadora de DKIM.
- Informes forenses: Obtenga información detallada sobre los fallos de autenticación del correo electrónico.
- Inteligencia sobre amenazas: Identifique amenazas potenciales para el dominio de su empresa.
Al utilizar un servicio como PowerDMARC, las organizaciones pueden reducir significativamente el riesgo de que su dominio sea utilizado en ataques de phishing, protegiendo tanto la reputación de su marca como a sus clientes.
Manténgase alerta
Los estafadores evolucionan constantemente sus técnicas. Pero si examina detenidamente la dirección del remitente, el campo "Responder a" y los resultados de la autenticación, podrá detectar la mayoría de los correos falsos. Piense en estos métodos como ayudas que amplifican su escepticismo natural, no como sustitutos del mismo. Son como los dispositivos de seguridad de un coche: pueden ayudar a evitar accidentes, pero hay que seguir conduciendo con cuidado. Al final, si un correo electrónico te parece sospechoso, trátalo como tal. Es mejor ignorar de vez en cuando un correo electrónico real que caer en una estafa de phishing.
Recuerde que nadie es inmune a estas estafas de phishing. Incluso las personas más expertas en tecnología pueden ser engañadas por un engaño lo suficientemente astuto.
- El auge de las estafas de pretexto en los ataques de phishing mejorados - 15 de enero de 2025
- DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025 - 12 de enero de 2025
- Cambios de NCSC Mail Check y su impacto en la seguridad del correo electrónico del sector público británico - 11 de enero de 2025