Permítanme primero contarles una situación de la vida real.
Recibes un correo electrónico del "Equipo de Seguridad de Google" que indica que tu cuenta ha sido marcada por actividad de inicio de sesión sospechosa y requiere verificación de identidad inmediata; de lo contrario, tu cuenta será bloqueada en 24 horas. El correo electrónico tiene un formato impecable, con un logotipo claro y un aviso de derechos de autor formal al final. Un poco nervioso, haces clic en el botón "Verificar ahora", que te redirige a una página web idéntica a la página de inicio de sesión de Google. Ingresas tu dirección de correo electrónico y contraseña…
Entonces tu cuenta de Google ya no te pertenecerá.
Eso es precisamente lo que hacen los correos electrónicos de phishing. No necesitan descifrar tu contraseña ni tener habilidades de piratería informática sofisticadas; lo único que necesitan es que hagas clic en un enlace e introduzcas tu contraseña presa del pánico.
¿Por qué cada vez es más difícil identificar los correos electrónicos de phishing?
Los correos electrónicos de phishing de hace cinco o seis años eran bastante fáciles de detectar: estaban llenos de errores gramaticales, malas traducciones y logotipos obviamente falsos. Pero ahora las cosas son diferentes.
Actualmente, crear correos electrónicos de phishing es extremadamente económico y las herramientas utilizadas son muy sofisticadas. Los atacantes pueden:
- Reproduce a la perfección las plantillas de correo electrónico de Google, bancos y empresas de mensajería, con una fidelidad impecable.
- Nombre de remitente falsificado e incluso, en algunos casos, dirección de remitente falsificada.
- Dominios falsos que son muy similares a dominios reales (como
g00gle.com,google-security.com) - Utilizar herramientas de IA para generar contenido localizado gramaticalmente correcto.
- Uso selectivo de su nombre real y cierta información personal para aumentar la credibilidad.
En pocas palabras, los correos electrónicos de phishing de hoy en día ya no son "obviamente falsos". Mucha gente simplemente no puede distinguirlos a menos que los revisen específicamente.
Los trucos de pesca más comunes
1. Suplantación de identidad de las notificaciones de seguridad de Google
Esta es la táctica clásica. El correo electrónico te dice "Se ha detectado un inicio de sesión anómalo", "Tu contraseña ha caducado" o "Tu cuenta será suspendida pronto", e incluye un enlace para que "verifiques tu identidad" o "actualices tu contraseña".
Las notificaciones de seguridad auténticas de Google sí envían correos electrónicos, por lo que muchas personas no pueden distinguirlas de las falsas. Más adelante explicaremos cómo diferenciarlas.
2. Fingir ser un compañero de trabajo o un jefe
Esto es especialmente común en entornos corporativos. Recibes un correo electrónico que parece provenir de tu jefe, que dice: "Estoy en una reunión y no puedo llamarte, ¿podrías comprarme algunas tarjetas de regalo y enviarme los números?" O bien: "¿Podrías actualizar los datos de este archivo y enviármelo?". En realidad, el archivo es un archivo adjunto malicioso.
Este tipo de ataque se denomina "phishing por correo electrónico empresarial" (BEC, por sus siglas en inglés), y las pérdidas financieras suelen ser mucho mayores que las del phishing convencional.
3. Notificación de premio/reembolso de impuestos/reembolso
"Felicitaciones por ganar un iPhone 16", "Tiene un reembolso de impuestos de $320 pendiente", "El reembolso de su pedido de Amazon se ha acreditado a su cuenta, por favor confírmelo": cualquier beneficio ofrecido sin previo aviso es básicamente un cebo.
4. Advertencias de emergencia
"Tu cuenta se eliminará permanentemente en 2 horas", "Se ha detectado que tu cuenta envía spam a otros usuarios", "Tu almacenamiento de Google Drive se ha restringido debido a contenido inapropiado": estos mensajes utilizan el miedo para obligarte a actuar de inmediato, sin darte tiempo para pensar.
5. Suplantación de identidad mediante documentos compartidos
Este método es más sutil. Recibes un correo electrónico que dice "Fulano de tal ha compartido un documento contigo", con un formato casi idéntico al de una notificación de Google Docs para compartir documentos. Al hacer clic en él, se te pide que inicies sesión para ver el documento; la página de inicio de sesión, por supuesto, es falsa.
¿Cómo determinar si un correo electrónico es un correo electrónico de phishing?
No se requiere experiencia especial; simplemente desarrolle los siguientes hábitos de inspección.
Fíjate en la dirección del remitente, no en el nombre que aparece en pantalla.
Este es el paso más básico, pero crucial. El nombre del remitente que aparece en el correo electrónico se puede cambiar a voluntad; cualquiera puede poner "Equipo de Seguridad de Google". Pero la dirección de correo electrónico real del remitente es fundamental.
En Gmail, haz clic en la flecha pequeña junto al nombre del remitente para ver los detalles y la dirección de correo electrónico. Google solo utiliza oficialmente dominios como @google.com o @accounts.google.com . Si la dirección es algo como security-alert@google-verify.com o noreply@g00gle-support.net , entonces es falsa.
Coloca el cursor del ratón sobre el enlace para ver la URL.
El texto del enlace en el correo electrónico puede ser completamente diferente de la URL real a la que apunta. Un botón que dice "Iniciar sesión en Google" podría en realidad enlazar a http://accounts-google.security-check.xyz/login .
En un ordenador, coloque el cursor sobre el enlace sin hacer clic y observe la URL que aparece en la esquina inferior izquierda del navegador o en una ventana emergente. En un teléfono móvil, mantenga pulsado el enlace para previsualizar la dirección.
La dirección de la página de inicio de sesión oficial de Google siempre comenzará con https://accounts.google.com/ . No confíe en ninguna otra variación.
Presta atención al sentido de urgencia en tu tono.
Los correos electrónicos de phishing suelen crear una sensación de urgencia utilizando frases como "inmediatamente", "enseguida", "en 24 horas" y "de lo contrario, se eliminará permanentemente", porque las personas son más propensas a cometer errores cuando están nerviosas.
Aunque una notificación de una empresa de confianza tenga un plazo límite, el mensaje será más suave y no resultará amenazante. Además, para cuestiones de seguridad de la cuenta realmente importantes, Google te notificará a través de múltiples canales (notificaciones push, correos electrónicos de respaldo, mensajes SMS a tu número de teléfono), no solo con un único correo electrónico.
No abra archivos adjuntos que no estén verificados.
Evite especialmente abrir archivos con extensiones .exe , .scr , .zip o .js . Incluso los archivos .pdf o .docx no deben abrirse si se desconoce su origen. Los documentos maliciosos pueden explotar vulnerabilidades de software para ejecutar código malicioso en el momento en que se abren.
Si realmente necesitas ver los archivos adjuntos, puedes abrirlos primero utilizando la función de vista previa en línea de Google Drive, en lugar de descargarlos a tu disco local.
Verifica utilizando la información proporcionada por Gmail.
Gmail tiene varias funciones integradas que pueden ayudarte a determinar esto:
- Alerta de remitente externo : si utiliza Google Workspace (Enterprise), verá una barra de alerta amarilla cuando reciba correos electrónicos de fuera de su organización.
- Aparecerá un signo de interrogación ("?" ) en el área de la foto de perfil si el remitente no está verificado.
- Banner de advertencia rojo : Gmail muestra una advertencia roja en la parte superior cuando detecta correos electrónicos sospechosos, indicando: "Este correo electrónico parece sospechoso".
Presta mucha atención cuando veas estos consejos.
Si ya has hecho clic en el enlace de phishing
No te asustes, pero date prisa. Sigue estos pasos:
Simplemente hice clic en el enlace, pero no introduje ninguna información.
No es un gran problema. Cierra la página y borra la caché y las cookies de tu navegador. Si te preocupa la presencia de scripts maliciosos en la página, realiza un análisis completo del sistema con tu antivirus.
Contraseña introducida
- Cambia tu contraseña inmediatamente : inicia sesión en
myaccount.google.comdesde otro dispositivo que sepas que es seguro y cambia tu contraseña. - Comprueba la actividad de inicio de sesión reciente : en la configuración de seguridad, revisa "Tu dispositivo" y "Actividad de seguridad reciente", y cierra la sesión en cualquier dispositivo desconocido.
- Comprueba las opciones de recuperación : asegúrate de que tu dirección de correo electrónico y número de teléfono de respaldo no hayan cambiado.
- Revisa la configuración de reenvío de correo electrónico : los atacantes de phishing podrían configurar el reenvío automático a su bandeja de entrada. Ve a Configuración de Gmail → Reenvío y POP/IMAP y busca direcciones de reenvío sospechosas.
- Habilita la verificación en dos pasos ; si no la habías habilitado antes, habilítala ahora. Lo mejor es configurar una clave de acceso o una clave de seguridad.
- Comprueba los permisos de las aplicaciones de terceros : ve a
myaccount.google.com/permissionspara ver si alguna aplicación desconocida tiene acceso a tu cuenta.
Información de la tarjeta bancaria o del pago introducida
Además de los pasos anteriores, debe ponerse en contacto inmediatamente con el banco para bloquear las tarjetas correspondientes y supervisar los registros de transacciones recientes.
Defensa proactiva: dificultar la interceptación de correos electrónicos de phishing.
En lugar de confiar en la inspección visual para determinar la autenticidad cada vez, es mejor tomar medidas preventivas para que, incluso si un correo electrónico de phishing te engaña para que le des tu contraseña, no pueda acceder a tu cuenta.
Habilitar la verificación en dos pasos
Esta es la medida de seguridad más rentable. Una vez activada, incluso si te roban la contraseña, los atacantes no podrán acceder sin tu número de teléfono.
Ve a myaccount.google.com → Seguridad → Verificación en dos pasos y sigue las instrucciones para configurarla. Se recomienda usar Google Authenticator o Passkey; no se recomiendan los códigos de verificación por SMS (las tarjetas SIM pueden interceptar los mensajes SMS).
Establecer clave de acceso
Va un paso más allá de la verificación en dos pasos. Las claves de acceso son inherentemente a prueba de phishing porque verifican automáticamente el dominio del sitio web, impidiendo que sitios web falsos activen el proceso de verificación. Para obtener instrucciones de configuración específicas, consulte nuestro artículo anterior : «¿Qué es Google Passkey? Una nueva forma de decir adiós a las contraseñas tradicionales».
Mantén activadas las funciones de seguridad de Gmail.
Gmail tiene muchas funciones de seguridad activadas por defecto; no las desactives innecesariamente.
- Filtrado de spam
- Detección de correos electrónicos de phishing
- Escaneo de archivos adjuntos sospechosos
- Protección de navegación segura (el sistema comprueba la seguridad del sitio web de destino al hacer clic en un enlace).
Estas funciones pueden bloquear más del 99 % de los correos electrónicos de phishing. Sin embargo, un pequeño número de correos de phishing aún logran burlar el sistema y llegar a la bandeja de entrada, por lo que la revisión manual sigue siendo importante.
Compruebe periódicamente el estado de seguridad de su cuenta.
Google ofrece una herramienta de "verificación de seguridad" en myaccount.google.com/security-checkup . Esta herramienta te ayudará a comprobar:
- ¿Hay algún dispositivo de inicio de sesión reciente sospechoso?
- ¿Son normales los permisos de las aplicaciones de terceros?
- Verificación en dos pasos habilitada
- ¿Está completa la información de recuperación?
Sugiero dedicar dos minutos al mes a consultarlo.
Tenga cuidado con el wifi público.
Acceder a tu correo electrónico mediante Wi-Fi público en cafeterías, aeropuertos u hoteles es mucho más arriesgado que en casa. Si necesitas usar una red pública, se recomienda usar una VPN.
Aspectos adicionales a tener en cuenta para los usuarios empresariales
Si utiliza Google Workspace (Gmail para empresas), los administradores también pueden hacer lo siguiente para proteger a toda la organización:
- Habilitar la verificación en dos pasos : configure esta opción en la consola de administración; todos los empleados deben habilitarla.
- Implementa una política DMARC : impide que otros se hagan pasar por el dominio de tu empresa y envíen correos electrónicos de phishing a tus clientes o empleados.
- Para activar la protección avanzada contra el phishing , ve a la consola de administración de Workspace → Seguridad → Gmail → Seguridad. Allí encontrarás varias opciones de protección avanzada.
- Capacite periódicamente a sus empleados sobre correos electrónicos de phishing : la concienciación sobre seguridad es más importante que cualquier medio técnico.
Cómo denunciar correos electrónicos de phishing
No te limites a borrarlo; tómate dos segundos para denunciarlo y así ayudar a Google a mejorar su algoritmo de filtrado y proteger a otros usuarios para que no se vean afectados.
- Abre ese correo electrónico
- Haz clic en el menú de tres puntos en la esquina superior derecha.
- Seleccione "Informar como correo electrónico de phishing"
Es así de sencillo. Google actualiza su base de datos de firmas de correo electrónico de phishing basándose en los datos reportados, lo que facilita el bloqueo automático de correos electrónicos similares en el futuro.
Recuerda un principio general
Por último, aquí está el principio más práctico para evaluar los correos electrónicos: cuando te encuentres con un correo electrónico sobre el que no estés seguro, recuerda esto:
Las organizaciones legítimas nunca te pedirán que introduzcas tu contraseña a través de un enlace en un correo electrónico.
Por muy legítimo o urgente que parezca un correo electrónico, si te pide que hagas clic en un enlace para iniciar sesión o introducir información confidencial, no lo hagas. Lo correcto es abrir el navegador, introducir manualmente la dirección web oficial, iniciar sesión y comprobar el correo tú mismo. Una vez que adquieras este hábito, el riesgo de recibir correos electrónicos de phishing se reducirá prácticamente a cero.