Recibes un correo de tu "banco" que dice: "Su cuenta será bloqueada. Haga clic aquí para verificar sus datos." Parece real. Tiene el logo del banco. Pero no es tu banco. Es un ladrón.
Eso es phishing.
¿Qué es exactamente?
Phishing viene de "fishing" (pescar en inglés). Es literalmente eso: los criminales lanzan un "anzuelo" (un correo, mensaje o llamada falsa) esperando que alguien "muerda" (haga clic y entregue sus datos).
Cada día se envían 3,400 millones de correos de phishing en el mundo. Sí, billones con B.
¿Cómo funciona?
- Recibes un correo o mensaje que parece de alguien confiable (tu banco, SUNAT, Netflix, tu jefe)
- El mensaje tiene urgencia: "Tu cuenta será bloqueada", "Tienes una multa pendiente"
- Te piden hacer clic en un enlace
- El enlace te lleva a una página FALSA que se ve igual a la real
- Escribes tu usuario y contraseña
- El criminal ya tiene tus datos
Tipos de phishing
| Tipo | Cómo llega | Ejemplo |
|---|---|---|
| Email phishing | Correo electrónico | "Tu banco necesita verificar tu cuenta" |
| Smishing | Mensaje de texto (SMS) | "SUNAT: tiene una multa pendiente. Clic aquí" |
| Vishing | Llamada telefónica | "Soy del banco, necesito verificar su tarjeta" |
| Spear phishing | Correo personalizado | "Hola Juan, soy de Contabilidad, revisa esta factura" |
¿Cómo identificar un correo falso?
Antes de hacer clic en cualquier cosa, revisa estos 5 puntos:
1. El remitente
- Real: soporte@banco.com.pe
- Falso: soporte@banc0-peru.xyz
2. La urgencia Si te presionan con frases como "URGENTE", "Tu cuenta será bloqueada en 24 horas", desconfía. Las empresas reales no te amenazan.
3. Los errores Faltas de ortografía, frases raras, diseño ligeramente diferente. Los criminales copian, pero nunca es perfecto.
4. El enlace Pasa el mouse sobre el enlace SIN hacer clic. Abajo verás la URL real. Si dice algo raro como "banco-seguro.xyz" en vez de "banco.com.pe", es falso.
5. Te piden datos sensibles Ningún banco, empresa o institución legítima te pedirá tu contraseña, PIN o número de tarjeta por correo.
¿Qué hacer si ya caíste?
- Cambia tu contraseña inmediatamente desde otro dispositivo
- Activa la verificación en 2 pasos (2FA)
- Avisa a tu banco si diste datos financieros
- Revisa tus cuentas en busca de movimientos extraños
- No te avergüences — le pasa a millones de personas
¿Cómo proteger tu empresa?
- Capacita a tus empleados para identificar correos falsos
- Configura SPF, DKIM y DMARC en tu correo empresarial
- Usa contraseñas diferentes para cada servicio
- Activa 2FA en todas las cuentas
Preguntas frecuentes
¿Cuál es el porcentaje de correos de phishing que se envían diariamente en relación con los correos totales?
Los correos de phishing representan una pequeña fracción de los correos electrónicos que se envían diariamente, pero son alarmantemente efectivos. Cada día se envían aproximadamente 3,400 millones de correos de phishing en el mundo, lo que es un número significativo en comparación con el tráfico de correo electrónico total.
¿Cómo puedo proteger a mi negocio PyME de ataques de phishing?
Para proteger a su negocio PyME de ataques de phishing, es crucial educar a sus empleados sobre los riesgos del phishing y cómo identificar correos y mensajes falsos. Además, implementar medidas de seguridad como el autenticador de dos factores y mantener el software actualizado puede ayudar a reducir el riesgo de ataques exitosos. Según estadísticas, el 90% de los ataques cibernéticos comienzan con un ataque de phishing.
¿Cuál es el tipo de phishing más común y cómo se puede identificar?
El tipo de phishing más común es el email phishing, que se envía a través de correos electrónicos que parecen provenir de fuentes confiables. Para identificar un correo falso, revise el remitente y busque errores gramaticales o de ortografía, así como solicitudes urgentes o amenazas. Por ejemplo, si un correo electrónico dice "Su cuenta será bloqueada si no hace clic en este enlace", es probable que sea un ataque de phishing.
¿Qué porcentaje de las víctimas de phishing informan haber sufrido pérdidas financieras significativas?
Según reportes, alrededor del 76% de las organizaciones han sufrido ataques de phishing en el último año, y de esas, más del 50% han informado tener pérdidas financieras significativas. Esto subraya la importancia de la conciencia y la prevención para evitar caer en estas trampas.
¿Quieres saber si tu correo empresarial está protegido? Escanea tu dominio gratis en cybershield.fdevpe.com
Francisco Deza — FDev | Desarrollo Web & Ciberseguridad
