El phishing es un ataque que intenta robar su dinero o su identidad, haciendo que divulgue información personal (como números de tarjeta de crédito, información bancaria o contraseñas) en sitios web que fingen ser sitios legítimos. Los ciberdelincuentes suelen fingir ser empresas prestigiosas, amigos o conocidos en un mensaje falso, que contiene un vínculo a un sitio web de phishing.
Obtenga información sobre cómo detectar un mensaje de phishing
El phishing es una forma popular de ciberdelincuencia debido a su eficacia. Los ciberdelincuentes han tenido éxito al usar correos electrónicos, mensajes de texto o mensajes directos en las redes sociales o en videojuegos para que las personas respondan con su información personal. La mejor defensa es el conocimiento y saber qué buscar.
Aquí se muestran algunas formas de reconocer un correo electrónico de phishing:
- Llamada urgente a la acción o amenazas: sospeche de los correos electrónicos que afirman que debe hacer clic, llamar o abrir un archivo adjunto de inmediato. A menudo afirman que tiene que actuar ahora para reclamar una recompensa o evitar una penalización. Crear un falso sentido de urgencia es un truco común de los ataques de phishing y estafas. Lo hacen para que no piense en ello demasiado ni consulte con un asesor de confianza que pueda advertirle del riesgo.
Sugerencia: Cuando vea un mensaje que exige una acción inmediata, espere un momento y revíselo con cuidado. ¿Seguro que es real? Pause y protéjase.
- Remitentes de primera vez o poco frecuentes : aunque no es inusual recibir un correo electrónico de alguien por primera vez, especialmente si están fuera de su organización, esto puede ser un signo de suplantación de identidad (phishing). Cuando reciba un correo electrónico de alguien que no reconoce o que Outlook identifica como un nuevo remitente, examine el correo electrónico con sumo cuidado antes de continuar.
- Mala ortografía y redacción: Las organizaciones o empresas profesionales suelen tener un equipo editorial para garantizar que los clientes reciban contenido profesional de alta calidad. Si un mensaje de correo electrónico tiene errores ortográficos o gramaticales obvios, es posible que se trate de una estafa. Estos errores a veces son el resultado de una traducción incorrecta de otro idioma. A veces es deliberado, en un intento de sortear filtros que intentan bloquear estos ataques.
- Saludos genéricos: una organización que trabaja con usted debe conocer su nombre y, hoy en día, es fácil personalizar un correo electrónico. Si el correo electrónico empieza con un mensaje genérico, como «Estimado señor o señora», es un signo de que puede que no sea realmente su banco o sitio de compras.
- Vínculos sospechosos o datos adjuntos inesperados: si sospecha que un mensaje de correo electrónico es un fraude, no abra los vínculos o datos adjuntos que vea. En su lugar, pase el mouse sobre el vínculo, pero no haga clic en él, para ver si la dirección coincide con el vínculo escrito en el mensaje. En el ejemplo siguiente, al situar el mouse sobre el vínculo, la dirección web real se muestra en el cuadro con el fondo amarillo. Tenga en cuenta que la cadena de números de la dirección IP no se parece en nada a la dirección web de la empresa.
Sugerencia: En Android, presione el vínculo durante mucho tiempo para obtener una página de propiedades que revelará el verdadero destino del vínculo. En iOS, haga lo que Apple denomina «Light, long-press».
- Dominios de correo electrónico que no coinciden: si el correo electrónico dice ser de una empresa acreditada, como Microsoft, pero el correo se envía desde otro dominio de correo electrónico como Yahoo.com o microsoftsupport.ru, probablemente es una estafa. También esté atento a los errores ortográficos muy sutiles del nombre del dominio legítimo. Como micros0ft.com donde la segunda «o» se ha reemplazado por un 0 o rnicrosoft.com, donde la «m» se ha reemplazado por una «r» y una «n». Son trucos comunes de estafadores.
Los ciberdelincuentes también pueden convencerle de visitar sitios web falsos con otros métodos, como mensajes de texto o llamadas telefónicas. Los ciberdelincuentes más sofisticados configuran centralitas para llamar o enviar mensajes automáticamente a números de potenciales objetivos. Estos mensajes suelen incluir indicaciones para que escriba un número PIN u otro tipo de información personal.
¿Es un administrador o profesional de Tecnologías de la información?
Si tiene una suscripción a Microsoft 365 con la protección contra amenazas avanzada, puede habilitar el filtro de protección contra suplantación de identidad (anti-phishing) de ATP para proteger a los usuarios. Más información
Si recibe un correo electrónico de suplantación de identidad (phishing)
- No haga clic nunca en vínculos ni datos adjuntos en correos electrónicos sospechosos. Si recibe un mensaje sospechoso de una organización y le preocupa que pueda ser legítimo, vaya a su explorador web y abra una nueva pestaña. A continuación, vaya al sitio web de la organización desde su propio favorito guardado o a través de una búsqueda web. O llame a la organización con un número de teléfono que aparece en la parte posterior de una tarjeta de suscripción, que está impreso en una factura o extracto, o que se encuentra en el sitio web oficial de la organización.
- Si parece que el mensaje sospechoso procede de una persona a quien conoce, póngase en contacto con esa persona por algún otro medio, como SMS o llamada de teléfono, para confirmarlo.
- Informe del mensaje (consulte a continuación).
- Elimínelo.
Cómo informar de una estafa de phishing
- Microsoft Office Outlook : con el mensaje sospechoso seleccionado, elija Reportar mensaje en la cinta de opciones y seleccione Suplantación de identidad (phishing). Esta es la forma más rápida de notificarlo y quitar el mensaje de la Bandeja de entrada y nos ayudará a mejorar nuestros filtros para que pueda ver menos de estos mensajes en el futuro.
- Outlook.com : Seleccione la casilla de verificación junto al mensaje sospechoso en su bandeja de entrada de Outlook.com. Seleccione la flecha situada junto a Correo no deseado y luego seleccione Phishing.
Nota: Si está utilizando un cliente de correo electrónico que no sea Outlook, inicie un nuevo correo electrónico a phish@office365.microsoft.com e incluya el correo electrónico de phishing como archivo adjunto. No reenvíe el correo electrónico sospechoso; necesitamos recibirlo como un archivo adjunto para poder examinar los encabezados del mensaje.
Si se encuentra en un sitio web sospechoso:
Mientras se encuentra en un sitio sospechoso en Microsoft Edge, seleccione el icono Más(…) > ayuda y comentarios > sitio de informe no seguro. Para más información, consulte Explorar la Web de forma segura en Microsoft Edge.
Qué hacer si cree que ya ha sufrido un ataque de phishing
Si sospecha que ha sido víctima de un ataque de phishing, hay algunas cosas que debe hacer.
- Anote todos los detalles del ataque antes de que los olvide. En particular, trate de anotar cualquier información como nombres de usuario, números de cuenta o contraseñas que pueda haber compartido.
- Si lo desea, puede cambiar la contraseña de forma inmediata en aquellas cuentas afectadas y en cualquier otro lugar donde quiera usar la misma contraseña. Cuando cambie de contraseña, tenga en cuenta que debe crear una contraseña distinta para cada cuenta. Le recomendamos consultar Crear y usar contraseñas seguras.
- Confirme que tiene activada la autenticación multifactor (también conocida como verificación en dos pasos) para cada cuenta que pueda. Consulte ¿Qué es la autenticación multifactor?
- Si este ataque afecta a sus cuentas profesionales o educativas, debe avisar al soporte técnico de TI de su trabajo o escuela del posible ataque. Si ha compartido información de las tarjetas de crédito o cuentas bancarias, es posible que quiera ponerse en contacto con estas empresas para alertarles de la posibilidad de fraude.
-
Si ha perdido dinero o ha sido víctima del robo de identidad, informe a las autoridades locales. Los detalles del paso 1 les serán muy útiles.
Referencia: Información tomada del Centro de Noticias de Microsoft.
