Menú
Sábado, 06 de Septiembre de 2025
Diario de Economía de la Región de Murcia
OPINIÓNMi privacidad y cómo evitar ataques de phishing
  • Buscar
Sábado, 06 de Septiembre de 2025
Diario de Economía de la Región de Murcia

DIARIO DE ECONOMÍA DE LA REGIÓN DE MURCIA

Aquilino García

Mi privacidad y cómo evitar ataques de phishing


“Para ciertos hombres, nada está escrito si ellos no lo escriben”. Lawrence de Arabia

 

Lo primero que tendríamos que hacer es no usar nuestro correo para nada. Utilizar un correo alias. Eso lo contaré en breve. Pero si recibimos posible phising, podemos obrar como indico.

 

En su camino hacia la mejora de su seguridad digital, es posible que se encuentre con malos actores que intenten socavar sus objetivos de seguridad. A estos malos actores los llamamos adversarios o atacantes. Cuando un adversario envía un correo electrónico (o mensaje de texto o mensaje en una aplicación) o un enlace que parece inocente, pero que en realidad es malicioso; se llama “phishing”

 

[Img #9690]

 

 

¿Qué es el phising?

 

Un ataque de phishing, generalmente viene en forma de un mensaje destinado a convencerte de:

 

  • Haga clic en un enlace

 

  • Abrir un documento

 

  • Instale software en su dispositivo

 

  • Ingrese su nombre de usuario y contraseña en un sitio web que parece legítimo

 

Los ataques de phishing generalmente están diseñados para engañarlo para que entregue sus contraseñas o para que las instale malware en tu dispositivo. Los atacantes pueden luego usar malware para controlar remotamente su dispositivo, robar información o espiarlo.

 

Esta guía le ayudará a identificar ataques de phishing cuando los vea y le describirá algunas formas prácticas de ayudar a defenderse de ellos.

 

Si bien en esta guía hablamos principalmente sobre phishing por correo electrónico, estas técnicas no se limitan al correo electrónico; pueden funcionar por teléfono, por SMS o en aplicaciones con funciones de chat.

 

Tipos de ataques de phishing

 

Phishing para contraseñas (también conocido como recolección de credenciales)

 

Los phishers intentan engañarte para que entregues tus contraseñas enviándote un enlace engañoso. Las direcciones web en un mensaje pueden parecer tener un destino, pero conducir a otro. En su computadora, generalmente puede ver la URL de destino pasando el cursor sobre el enlace. Pero los enlaces se pueden disfrazar aún más con “letras similares” o usando nombres de dominio que están a una letra de los nombres de dominio legítimos y pueden dirigirlo a una página web que parece ir a un servicio que utiliza, como Gmail o Dropbox. Estas réplicas falsas de pantallas de inicio de sesión a menudo parecen tan legítimas que resulta tentador escribir su nombre de usuario y contraseña. Si lo hace, enviará sus credenciales de inicio de sesión a los atacantes.

 

Entonces, antes de escribir cualquier contraseña, mire la barra de direcciones de su navegador web. Mostrará el nombre real de dominio de la página. Si no coincide con el sitio en el que crees que estás iniciando sesión, ¡no continúes! Ver un logotipo corporativo en la página no confirma que sea real. Cualquiera puede copiar un logotipo o diseño en su propia página para intentar engañarte.

 

Algunos phishers utilizan sitios que parecen direcciones web conocidas para engañarte: https://wwwpaypal.com/ es diferente de https://www.paypal.com. Similarmente https://www.paypaI.com (con letra mayúscula “i” en lugar de minúscula “L”) es diferente de https://www.paypal.com. Muchas personas utilizan acortadores de URL para que las URL largas sean más fáciles de leer o escribir, pero estos pueden usarse para ocultar destinos maliciosos. Si recibe una URL abreviada como un enlace t.co de Twitter o t.me de Telegram, intente colocarla en https://www.checkshorturl.com/ para ver hacia dónde va realmente.

 

Tampoco confíes en el remitente del correo electrónico. Es fácil falsificar correos electrónicos para que muestren una dirección de remitente falsa. Esto significa que verificar la dirección de correo electrónico aparente del remitente no es suficiente para confirmar que un correo electrónico fue realmente enviado por la persona de la que parece provenir.

 

Spearphishing (phishing por voz, phishing por SMS, etc.)

 

La mayoría de los ataques de phishing tienen un alcance amplio. Un atacante podría enviar correos electrónicos a cientos o miles de personas afirmando tener un video interesante, un documento importante, una notificación de envío o una disputa de facturación.

 

Pero a veces los ataques de phishing se dirigen en función de algo que el atacante ya sabe sobre un individuo. Es un ataque por encargo. Esto se llama “spearphishing.” Imagina que recibes un correo electrónico de tu tío Boris que dice que contiene fotografías de sus hijos. Como Boris en realidad tiene hijos y parece que es de su dirección, lo abres. Cuando abres el correo electrónico, hay un documento PDF adjunto. Cuando abres el PDF, es posible que incluso muestre imágenes de niños de Boris’, pero también instala silenciosamente malware en tu dispositivo que puede usarse para espiarte. El tío Boris no envió ese correo electrónico, pero alguien que sabe que tienes un tío Boris (y que tiene hijos) sí lo hizo. El documento PDF en el que hizo clic inició su lector de PDF, pero aprovechó un error en ese software para ejecutar su propio código. Además de mostrarte un PDF,También descargó malware en su computadora. Ese malware podría recuperar tus contactos y grabar lo que la cámara y el micrófono de tu dispositivo ven y escuchan.

 

Otra forma de phishing selectivo es el phishing de voz, en el que un atacante se hace pasar por un objetivo específico, posiblemente incluso llegando a hacer un clon de IA de su voz. Si la voz suena apagada o te pide cosas inusuales como dinero, pídeles que verifiquen su identidad de otra manera (como decirte algo que solo ustedes dos saben, el santo y seña, o enviar un mensaje desde otra cuenta).

 

La mejor manera de protegerse de los ataques de phishing es nunca hacer clic en ningún enlace ni abrir ningún archivo adjunto. Pero este consejo no es realista para la mayoría de las personas.

 

Algunas formas prácticas de defenderse contra el phishing:

 

Cómo ayudar a defenderse de un ataque de phishing

 

Mantenga su software actualizado

 

Los ataques de phishing que utilizan malware a menudo dependen de errores de software para poder introducir el malware en su máquina. Generalmente, una vez que se conoce un error, un fabricante de software publica una actualización para solucionarlo. Esto significa que el software más antiguo tiene errores más conocidos públicamente que podrían usarse para ayudar a instalar malware. Mantener su software actualizado reduce los riesgos de malware.

 

Utilice un administrador de contraseñas

 

Los administradores de contraseñas que completan contraseñas automáticamente realizan un seguimiento de a qué sitios pertenecen esas contraseñas. Si bien es fácil que un humano sea engañado por páginas de inicio de sesión falsas, los administradores de contraseñas no son engañados de la misma manera. Si usas un administrador de contraseñas (incluido el administrador de contraseñas integrado en su navegador), y se niega a completar automáticamente una contraseña, debe dudar y verificar dos veces el sitio en el que se encuentra. Mejor aún, utilice contraseñas generadas aleatoriamente para que se vea obligado a confiar en el llenado automático y sea menos probable que escriba su contraseña en una página de inicio de sesión falsa. Sin embargo, tenga en cuenta que los sitios web pueden (y de hecho lo hacen) cambiar sus páginas de inicio de sesión y, a veces, hacerlo puede interferir con el correcto funcionamiento del llenado automático, incluso en sitios web legítimos. En caso de duda, diríjase directamente a la página de inicio de sesión de un sitio web desde su navegador, no haciendo clic en un enlace en un mensaje.

 

Verifique correos electrónicos y mensajes de texto con remitentes

 

Una forma de determinar si un correo electrónico o mensaje de texto es un ataque de phishing es consultar a través de un canal diferente con la persona que supuestamente lo envió. Si el correo electrónico o el mensaje de texto supuestamente fueron enviados desde su banco, no haga clic en los enlaces. En su lugar, llame a su banco o abra su navegador y escriba la URL del sitio web de su banco. Del mismo modo, si tu tío Boris te envía un archivo adjunto de correo electrónico de aspecto extraño, envíale un mensaje de texto y pregúntale si te envió fotografías de sus hijos antes de abrirlo.

 

Abrir documentos sospechosos en Google Drive

 

Algunas personas esperan recibir archivos adjuntos de personas desconocidas. Por ejemplo, los periodistas suelen recibir documentos de fuentes. Pero puede resultar difícil verificar que un documento de Word, una hoja de cálculo de Excel o un archivo PDF no sea malicioso.

 

En estos casos, no haga doble clic en el archivo descargado. En su lugar, cárguelo en Google Drive u otro lector de documentos en línea. Esto convertirá el documento en una imagen o HTML, lo que casi con certeza evitará que instale malware en su dispositivo.

 

Si se siente cómodo aprendiendo un nuevo software, está dispuesto a dedicar tiempo a configurar un nuevo entorno para leer correo o documentos extranjeros y recibe suficientes correos electrónicos de este tipo para justificar los requisitos de tiempo adicional, considere usar un software dedicado sistema operativo diseñado para limitar el efecto del malware.

 

Tails.net es un sistema operativo basado en Linux que se elimina a sí mismo después de usarlo.

 

Qubes-os.org es otro sistema basado en Linux que separa cuidadosamente las aplicaciones para que no puedan interferir entre sí, limitando el efecto de cualquier malware. Ambos están diseñados para funcionar en computadoras portátiles o de escritorio.

También puede enviar enlaces y archivos no confiables a Virus Total, un servicio en línea que verifica archivos y enlaces con varios diferentes antivirus motores e informa los resultados. Esto no es infalible —los antivirus a menudo no detectan nuevo malware o ataques dirigidos—, pero es mejor que nada. Sin embargo, tenga en cuenta que cualquier archivo o enlace que cargue en un sitio web público, como VirusTotal o Google Drive, puede ser visto por cualquier persona que trabaje para esa empresa, o posiblemente por cualquier persona con acceso a ese sitio web, como en el caso de VirusTotal. Si la información contenida en el archivo son comunicaciones confidenciales o privilegiadas, es posible que desee considerar una alternativa.

 

Utilice una clave universal de segundo factor (U2F) al iniciar sesión

 

Algunos sitios permiten utilizar un token de hardware especial con capacidades avanzadas para evitar intentos de phishing. Estos tokens (o “claves”) se comunican con su navegador para establecer credenciales por sitio para iniciar sesión. Esto se llama Segundo factor universal o “U2F,” porque es una forma estándar de requerir un segundo método de autenticación —además de su frase de contraseña —al iniciar sesión. Simplemente inicie sesión normalmente y (cuando se le solicite) conéctese con su clave a su computadora o teléfono inteligente y presione un botón para iniciar sesión. Si está en un sitio de phishing, el navegador sabrá que no debe iniciar sesión con credenciales establecidas en el sitio legítimo.

 

Esto significa que incluso si un estafador te engaña y roba tu contraseña, no comprometerá tu cuenta. Yubico (un fabricante de este tipo de llaves) proporciona Más información sobre U2F.

 

Esto no debe confundirse con autenticación de dos factores (2FA) en general, que puede proporcionar o no protección contra phishing. Las claves de acceso son una opción más nueva para iniciar sesión que puede proporcionar protección contra phishing y debería considerar usarlo cuando se le ofrezca. Con las claves de acceso, su navegador sabe exactamente qué sitio va con qué clave de acceso y no se deja engañar por sitios web falsos.

 

Tenga cuidado con las instrucciones enviadas por correo electrónico

 

Algunos correos electrónicos de phishing afirman ser de un departamento de soporte informático o una empresa de tecnología y le piden que responda con sus contraseñas, que permita a un “técnico de reparación de ordenadores” acceso remoto a su computadora o que deshabilite alguna función de seguridad en su dispositivo. Estos correos electrónicos a menudo tienen un tono insistente y tratan de usar el miedo para engañarte y hacerte hacer algo.

 

Por ejemplo, un correo electrónico podría dar una supuesta explicación de por qué esto es necesario afirmando que su buzón de correo electrónico está lleno o que su computadora ha sido pirateada.

 

Desafortunadamente, obedecer estas instrucciones fraudulentas puede ser malo para su seguridad. Tenga especial cuidado antes de darle a alguien información técnica, datos o seguir instrucciones técnicas a menos que pueda estar absolutamente seguro de que la fuente de la solicitud es genuina. La mayoría de las empresas no se comunicarán con usted para solucionar problemas. Como máximo, pueden enviarle una notificación sobre un próximo cambio o exceso de datos junto con un enlace a la documentación pública.

 

Si alguien le envía un correo electrónico o enlace sospechoso, no lo abra ni haga clic en él hasta que haya mitigado la situación con los consejos anteriores y pueda estar seguro de que no es malicioso.

 

Deshabilite las imágenes externas en su software de correo electrónico

 

Las imágenes dentro de un correo electrónico se pueden utilizar para rastrear quién abrió un correo electrónico y cuándo.

 

Probablemente hayas encontrado muchos de estos en correos electrónicos de marketing, pero también pueden ser útiles en el phishing. En lugar de permitir que cada imagen se cargue en cada correo electrónico todo el tiempo, es mejor configurar su cliente de correo electrónico —ya sea una aplicación como Outlook o un servicio como Gmail— para “Preguntar antes de mostrar imágenes externas” Con esta opción configurada, deberá hacer clic en una opción en cada correo electrónico para cargar imágenes. Algunas aplicaciones de correo electrónico también pueden ofrecer otras medidas de privacidad, como la aplicación Mail de Apple, que carga todas las imágenes de forma remota de forma predeterminada.

 

Linkedin: Aquilino García

 

Artículos de opinión relacionados

Aquilino García
Aquilino García
Checklist de privacidad, los básicos para ser un poco más privado
Aquilino García
Aquilino García
Distop-IA, CBDC y el fin de la Humanidad. El rebaño
Con tu cuenta registrada

Escribe tu correo y te enviaremos un enlace para que escribas una nueva contraseña.

Volver a acceder