Cómo detectar correos falsos que parecen reales | InfoZEN
Cómo detectar correos falsos que parecen reales
Recibiste un email de "tu banco". Se ve auténtico, logo perfecto, lenguaje oficial. Haces clic. Fue la peor decisión de tu vida. Aprende a identificarlos.
Recibiste email: "Tu cuenta ha sido comprometida. Haz clic aquí para verificar identidad inmediatamente." Logo de banco perfecto. Diseño profesional. Tono urgente. Haces clic. Introduces contraseña. Presionas "Aceptar".
Inmediatamente después, recibiste SMS: "Se realizó transacción de 2.500€ desde tu cuenta". Pánico. Llamaste al banco. Confirmaron: ese email NO fue de ellos. Fue falso. El criminal ya accedió a tu cuenta, vio saldo, transfirió dinero.
Eso es phishing. Es el delito más efectivo del mundo porque es simple. No requiere hacking sofisticado. Solo requiere que TÚ abras un link.
80% de ataques cibernéticos comienzan con phishing. Es el arma número uno de criminales. Aprende a identificar estos correos y no te pasará.
¿Cómo funciona el phishing?
Phishing: Pesca de credenciales
Criminal envía email que PARECE ser de empresa confiable (banco, PayPal, Amazon). Email te pide que hagas clic y "verifies" información. Haces clic, llegas a sitio FALSO que parece real. Introduces contraseña/datos. Criminal tiene todo lo que necesita.
Por qué funciona:
- Parece real (logo, lenguaje, diseño son copiados exactamente)
- Crea urgencia ("Tu cuenta está comprometida") → tu cerebro entra en pánico → cometés errores
- No requiere que el usuario sea ignorante. Gente inteligente cae porque es BIEN hecho
- Criminal solo necesita 1% de personas que lo intenten. Envía 10.000 emails, 100 personas caen = gana dinero
Los 10 signos de alerta: Cómo identificar correos falsos
Señal 1: Email pide hacer clic en link para "verificar" información
RED FLAG MÁXIMA
Bancos NUNCA piden que hagas clic en link de email para verificar nada. Nunca. Si recibiste email "De tu banco" pidiendo que verifiques, es FALSO 100%.
Lo que hacen empresas legítimas:
- Bancos: Te piden que accedas a app del banco directamente, no por link de email
- PayPal: Te dicen "Accede a tu cuenta en paypal.com" no "Haz clic aquí"
- Amazon: Te redirigen a página de inicio, no a página de login directa
Señal 2: El email viene de dirección rara
Email dice que es de "tu banco". Pero dirección es "noreply@banco-seguro.com" o "seguridad@bancocomno.mx" o "support@banco-help.info".
Cómo revisar: Mira la dirección de email COMPLETA, no solo el nombre. Bancos usan dominios propios: "noreply@banco.es" (banco.es es dominio oficial del banco). Si dominio es diferente, es falso.
Truco común: "Apple_Support@apple-security.com" PARECE Apple, pero dominio es "apple-security.com", no "apple.com". Es falso.
Señal 3: Email tiene errores ortográficos o gramática rara
Frases raras: "Dear User" (bancos españoles dicen "Estimado cliente", no "Dear User"). Errores ortográficos: "verificar" escrito mal. Puntuación extraña.
Empresas legítimas revisan emails antes de enviar. Si tiene errores, es señal de que no fue de empresa legítima.
Señal 4: Email pide información que empresa ya tiene
Email dice: "Por favor, confirma tu número de tarjeta de crédito haciendo clic abajo".
Pregunta obvia: ¿Por qué un banco pediría tu número de tarjeta si YA TIENE tu número? Los bancos no piden información que ya poseen. Si te piden, es falso.
Señal 5: Email usa urgencia extrema o miedo
- "Tu cuenta será CERRADA en 24 horas"
- "ACCIÓN REQUERIDA INMEDIATAMENTE"
- "Tu identidad ha sido COMPROMETIDA"
- "Se detectó actividad sospechosa. VERIFICA AHORA"
Esto es técnica psicológica. Pánico = errores. Cuando recibes email urgentísimo, es señal de phishing. Empresas legítimas usan tono profesional, no gritos.
Señal 6: Link en email NO va adonde dice que va
Cómo revisar: NUNCA hagas clic directamente. Pasa el ratón sobre el link (no hagas clic) y mira adónde va. Si dice "Haz clic para verificar en banco.es" pero link va a "banco-seguridad.info", es falso.
En teléfono es más difícil, pero aprieta el link 2 segundos sin soltar. Debería mostrar dirección. Si es rara, NO hagas clic.
Señal 7: Email tiene archivo adjunto sospechoso
Email dice "Verifica tu estado de cuenta" y tiene adjunto "documento.exe" o "factura.zip".
Regla: Bancos NO envían archivos ejecutables (.exe, .zip, .scr). Si Email tiene adjunto raro, es phishing o malware. DELETE inmediatamente.
Señal 8: La dirección URL parece correcta pero NO lo es (homoglyphs)
Email te lleva a "www.bbva.es" que parece correcto. Pero si miras de cerca, vez que es "www.bbva.еs" (la última letra "s" es Cirílica, no Latina. Parece igual pero es diferente carácter).
Esto se llama "homoglyph attack". Criminal usa caracteres que parecen iguales pero no son.
Protección: Mira la barra URL MUY cuidadosamente. Si algo se ve raro, NO confíes.
Señal 9: Email no te menciona por nombre específico
Phishing típico: "Dear Valued Customer" o "Estimado usuario". Empresas que te conocen te llaman por nombre: "Estimado Juan García".
Si email es completamente genérico sin tu nombre, es probablemente phishing masivo.
Señal 10: Visual/logo se ve "casi correcto" pero algo está OFF
Logo es similar pero colores son ligeramente diferentes. Fuente es parecida pero no exacta. Diseño es "casi like" el original pero algo falla.
Crimínales copian diseños pero frecuentemente cometen pequeños errores. Mira detenidamente logos y diseños. Si algo se siente "casi correcto pero no", probablemente es phishing.
Las 5 tipos de phishing más comunes
1. Phishing bancario
Email falso de tu banco pidiendo "verificación" o "actualización de datos". Objetivo: credenciales bancarias.
2. Phishing de PayPal/Mercado Pago
Email falso de plataforma de pago. "Tu cuenta fue comprometida". Objetivo: datos de cuenta/tarjeta.
3. Phishing de Amazon/eBay
Email sobre "problema con tu cuenta" o "paquete retenido". Objetivo: datos de tarjeta de crédito.
4. Spear phishing (personalizado)
Email SOLO para ti. "Juan, vimos actividad en tu cuenta bancaria el 15 de mayo a las 14:30". Muy personalizado = parece real.
Tabla: Phishing vs. Email legítimo
| Aspecto | Email LEGÍTIMO | Email PHISHING |
|---|---|---|
| Dirección de email | noreply@banco.es (dominio oficial) | noreply@banco-seguro.es (dominio falso) |
| Saludo | Por tu nombre: "Estimado Juan García" | Genérico: "Dear Customer", "Estimado usuario" |
| Pide hacer clic | "Accede a tu cuenta directamente en app/web" | "Haz clic aquí para verificar" (link en email) |
| Tono | Profesional, sin urgencia | Urgencia extrema, pánico, MAYÚSCULAS |
| Pide información | No pide nada que ya tengan | "Confirma tu contraseña/tarjeta" |
| Errores ortográficos | Ninguno | Errores tipográficos o gramática rara |
| Logo/Diseño | Logo perfecto, colores exactos | Logo "casi correcto" pero algo está OFF |
| Link | Link va a dominio oficial | Link va a dominio falso (si pasas ratón) |
| Adjunto | Sin adjuntos o PDF/documento legítimo | .exe, .zip, .scr, archivos ejecutables |
Checklist: ¿Es este email phishing o real?
Qué hacer si recibiste email phishing
- NO hagas clic en link. Punto final.
- NO descarges archivo adjunto. Aunque parezca documento Word, probablemente es malware.
- NO respondas al email. Los delincuentes usan respuestas para confirmar que la dirección está activa.
- Reporta como SPAM/PHISHING. En Gmail: Clic en tres puntos → "Reportar phishing". En Outlook: "Reportar mensaje". Helps otros usuarios.
- Si ya hiciste clic: Ve a sitio oficial (directamente en navegador, no por link del email) y cambia contraseña INMEDIATAMENTE. Llama a banco por teléfono si es cuenta bancaria.
- Si introdujiste datos: Llama a la institución DIRECTAMENTE (número de atrás de tarjeta o sitio oficial). Reporta que recibiste phishing. Ellos pueden proteger tu cuenta.
Protección extra: Activa alertas de banco
Configura alertas de SMS en tu banco para TODA transacción. Si criminal accede a tu cuenta y hace transferencia, recibirás SMS inmediatamente. Rápido contactas al banco y pueden revertir.
Caso real: El phishing que casi funciona
Carlos en Madrid: Recibió email de "BBVA": "Tu cuenta está bajo riesgo. Verifica ahora haciendo clic." Email tenía logo perfecto, dirección se veía oficial "noreply@bbva-seguridad.es", todo parecía real.
Casi hace clic. Pero notó que cuando pasó ratón sobre link, la URL iba a "bbva-seguridadnow.com", no "bbva.es". Eso le pareció sospechoso. Llamó directamente a BBVA (número de atrás de tarjeta). Confirmaron: Email falso. Su cuenta fue objetivo de phishing campaign.
Si no hubiera verificado el link, habría introducido contraseña en sitio falso. Criminal habría accedido a su cuenta. Resultado: Pérdida de 15.000€ + meses resolviendo el problema.
Los mejores phishing son CASI PERFECTOS
No pienses "si es phishing, será malo hecho". Los criminales sofisticados gastan TIEMPO copiando emails perfectamente. El único error es pequeño (link incorrecto, email falso, o un detalle visual). Por eso necesitas chequear TODOS los detalles.
La regla de oro: Cuando tengas duda, contacta directamente
Si recibiste email de banco, PayPal, Amazon, cualquier institución, y tienes incluso pequeña duda:
NO hagas clic en el email. Contacta DIRECTAMENTE a la institución:
- Banco: Llama al número de atrás de tu tarjeta (ese número está en tu poder físico, no te lo manda email)
- PayPal: Accede a paypal.com directamente (escribe en navegador, no por link)
- Amazon: Accede a amazon.es directamente
Pregunta: "¿Enviaron ustedes email sobre [tema]?" Si dicen no, es phishing.
5 minutos de verificación te ahorran potencial pérdida de 10.000€+. Vale la pena.
Conclusión: Ve siempre con sospecha
No todos los emails son phishing. Pero muchos parecen reales cuando no lo son. La regla simple:
- ¿El email pide hacer clic en link? Desconfía.
- ¿El email pide información? Desconfía.
- ¿El email tiene urgencia? Desconfía.
- Cuando tengas duda, contacta directamente a institución. Siempre.
Hacer esto te salva de 99% de phishing. La mayoría de víctimas de phishing simplemente NO revisaron los detalles. Tú ahora sí sabes cómo revisar.
Comentarios
Publicar un comentario