Un intento de engaño
¿Qué es el phishing?
Es cuando alguien intenta hacerse pasar por una empresa, institución o contacto conocido para obtener información, dinero o acceso.
Puede presentarse de muchas formas y ningún indicio aislado confirma por sí solo que un mensaje sea falso.
Puede buscar obtener
- Contraseñas.
- Datos personales.
- Información bancaria.
- Códigos de verificación.
- Acceso a una cuenta.
- Pagos o transferencias.
- Instalación de programas maliciosos.
Mirar el conjunto
Señales que conviene observar
Algunos engaños están bien redactados y utilizan nombres, logotipos o información real.
Urgencia o miedo
Busca que actúes antes de comprobar la situación.
Solicita claves o códigos
Esos datos pueden autorizar un acceso en ese momento.
Dirección extraña
El nombre visible puede ocultar un remitente diferente.
Enlace que no coincide
El texto mostrado puede dirigir a otro sitio.
Archivo inesperado
Una factura o documento común puede no ser lo que parece.
Premio poco creíble
Un beneficio inesperado puede utilizarse para obtener información.
Pago urgente
La presión dificulta comprobar al destinatario.
Saludo genérico
Puede indicar un envío masivo, aunque no confirma un engaño.
Expresiones inusuales
La redacción puede no coincidir con la forma habitual de comunicarse.
Cambio de canal
Puede buscar sacar la conversación de un medio protegido.
Problema desconocido
Conviene verificarlo directamente en el servicio oficial.
Impide consultar
Presionar para actuar en secreto es una señal que merece revisión.
La presión reduce el tiempo para pensar
Tomarse unos minutos puede evitar una decisión equivocada.
Un mensaje puede afirmar que una cuenta será bloqueada, que existe una deuda o que ocurrió una compra. El objetivo es que actúes antes de comprobarlo.
- No responder de inmediato.
- No abrir enlaces por impulso.
- No compartir códigos.
- Consultar desde la aplicación o página oficial.
- Confirmar por otro medio si parece provenir de un contacto.
¿Cómo comprobar el remitente?
El nombre visible no siempre identifica la dirección real. Una dirección aparentemente correcta tampoco garantiza legitimidad.
- Revisar la dirección completa.
- Observar si el dominio corresponde al servicio.
- Detectar pequeñas modificaciones en el nombre.
- No confiar solo en el logotipo o la fotografía.
- Comparar con comunicaciones anteriores.
- Contactar mediante canales oficiales.
- Confirmar por otro medio si es una persona conocida.
¿Cómo revisar un enlace?
El texto visible puede ser diferente de la dirección de destino. No lo copies y abras solamente para comprobarlo.
- En computadora, colocar el cursor sin hacer clic.
- En celular, mantener presionado si permite previsualizar.
- Revisar cuidadosamente el dominio.
- Observar cambios mínimos o palabras agregadas.
- Abrir la aplicación oficial de manera independiente.
- Escribir una dirección conocida manualmente.
- No ingresar datos si el sitio genera dudas.
Archivos inesperados
Un archivo puede parecer un documento común.
Facturas, comprobantes, currículums o notificaciones pueden ocultar contenido peligroso. Una extensión o icono conocido no garantiza seguridad.
- Confirmar quién lo envió.
- Comprobar si realmente se esperaba.
- No habilitar contenido o macros sin comprenderlos.
- No instalar programas solicitados por el documento.
- Analizarlo con herramientas de seguridad cuando corresponda.
- Consultar al remitente por otro medio.
- Evitar abrirlo si existen dudas.
Información personal y temporal
Nunca compartas un código recibido para confirmar un acceso.
Puede estar autorizando un inicio de sesión, una recuperación o un cambio de seguridad. Un servicio legítimo no debería solicitarlo mediante una conversación.
No conviene compartir
- Contraseñas.
- Códigos de autenticación.
- Códigos de recuperación.
- Capturas de seguridad.
- Respuestas de recuperación.
- Notificaciones de aprobación.
Un contacto conocido
¿Qué hacer si parece provenir de alguien conocido?
Una cuenta real puede haber sido comprometida o alguien puede estar imitando a la persona.
No responder con información sensible.
Contactar por otro canal.
Hacer una pregunta que confirme su identidad.
No transferir dinero sin verificar.
No compartir códigos.
Avisarle si su cuenta podría estar comprometida.
Guardar evidencia si fuera necesario reportar.
Detenerse y verificar
¿Qué NO conviene hacer?
Comprobar la situación reduce el riesgo sin asumir que todo mensaje inesperado es peligroso.
Responder con datos personales
La conversación puede estar controlada por otra persona.
Compartir claves o códigos
Pueden completar un acceso o un cambio de seguridad.
Abrir enlaces por urgencia
Ingresá al servicio por su aplicación o dirección oficial.
Descargar archivos inesperados
Primero confirmá el remitente y si realmente se esperaba.
Llamar al número del mensaje
Buscá el contacto oficial por separado.
Instalar asistencia remota
No entregues control del equipo a un contacto no verificado.
Realizar pagos apresurados
Comprobá la identidad y el destinatario antes de transferir.
Confiar en nombre o logotipo
Esos elementos pueden copiarse fácilmente.
Reenviar sin advertir
Podría aumentar el alcance del engaño.
Ingresar al banco desde el enlace
Abrí la aplicación o escribí la dirección conocida.
Aprobar una notificación desconocida
Revisá quién intenta ingresar antes de aceptar.
Borrar toda la evidencia
Conservá lo necesario para revisar o reportar lo ocurrido.
Si ya ingresaste
¿Qué hacer si ya abrí el enlace?
Abrirlo no significa automáticamente que la cuenta o el dispositivo estén comprometidos. Las medidas dependen de lo que hiciste después.
Cerrar la página.
No ingresar más información.
No descargar ni instalar archivos.
Cambiar desde el sitio oficial cualquier contraseña ingresada.
Cerrar sesiones desconocidas.
Activar o revisar la autenticación en dos pasos.
Revisar los métodos de recuperación.
Analizar el dispositivo si se ejecutó un archivo.
Informar al banco si se entregaron datos financieros.
Guardar información útil para reportar el incidente.
Actuar desde el canal oficial
¿Qué hacer si compartí una contraseña o un código?
No vuelvas a ingresar desde los enlaces del mensaje sospechoso.
- Cambiar inmediatamente la contraseña.
- Cerrar las sesiones abiertas.
- Revisar la actividad reciente.
- Eliminar dispositivos desconocidos.
- Comprobar los métodos de recuperación.
- Cambiar otras cuentas donde se reutilizaba la clave.
- Proteger especialmente el correo principal.
- Informar la situación al servicio.
- Contactar a la entidad financiera si corresponde.
Preguntas frecuentes
Dudas sobre mensajes falsos
Una comprobación por vez ayuda a tomar una decisión con calma.
¿Un mensaje con el logotipo correcto puede ser falso?+
Sí. Los logotipos, nombres y colores pueden copiarse. Conviene comprobar también el remitente, el dominio y la solicitud.
¿Cómo puedo comprobar un enlace sin abrirlo?+
Previsualizá la dirección cuando el dispositivo lo permita y compará su dominio con el oficial. Para ingresar, abrí la aplicación por separado.
¿Qué ocurre si solamente abrí el mensaje?+
Abrir un correo o mensaje no implica automáticamente un problema. El riesgo depende de si abriste enlaces, descargaste archivos o entregaste información.
¿Es peligroso descargar un archivo sin abrirlo?+
El riesgo suele aumentar al ejecutarlo o habilitar contenido, pero conviene eliminarlo sin abrir y analizar el dispositivo si existen dudas.
¿Una empresa puede pedirme un código de verificación?+
Un servicio legítimo no debería pedirte que compartas por conversación un código destinado a confirmar tu acceso.
¿Cómo sé si un correo pertenece a mi banco?+
No dependas solo del aspecto. Comprobá la situación desde la aplicación, el sitio escrito manualmente o un número oficial obtenido por separado.
¿Qué hago si proviene de un contacto conocido?+
Confirmá por otro medio. Su cuenta puede haber sido comprometida o alguien puede estar imitando su identidad.
¿Un código QR puede dirigir a un sitio falso?+
Sí. Un código QR es otra forma de abrir una dirección. Revisá el destino antes de ingresar información.
¿Conviene responder para pedir información?+
Si genera dudas, es preferible contactar por un canal oficial o conocido en lugar de continuar la conversación sospechosa.
¿Qué hago si ingresé mi contraseña?+
Cambiala desde el sitio oficial, cerrá sesiones desconocidas, revisá la recuperación y protegé otras cuentas donde la reutilizaste.
¿Cómo puedo reportar un mensaje sospechoso?+
Muchos servicios incluyen una opción para marcar phishing o fraude. Conservá la información necesaria y seguí el canal oficial.
¿Los mensajes falsos siempre tienen errores?+
No. Algunos están muy bien redactados y utilizan información real. Por eso conviene observar el conjunto de señales.
Conclusión
Verificar antes de actuar es una buena forma de protegerse.
Un mensaje falso puede utilizar urgencia, nombres conocidos, logotipos reales y explicaciones convincentes. Por eso no conviene depender de una única señal.
Revisar el remitente, evitar los enlaces recibidos y comunicarse mediante canales oficiales permite comprobar la situación con tranquilidad.