Detectar Phishing e Ingeniería Social
Reconoce emails de phishing, sitios web falsos y ataques de ingeniería social antes de convertirte en víctima. Aprende las señales de alarma y hábitos de defensa.
Contenido de Curso Premium
Esta lección es parte de un curso premium. Mejora a Pro para desbloquear todos los cursos premium y su contenido.
- Acceso a todos los cursos premium
- Más de 1000 plantillas de skills de IA incluidas
- Contenido nuevo cada semana
La Vulnerabilidad Humana
🔄 Repaso rápido: En la lección anterior, configuramos un gestor de contraseñas y autenticación de dos factores. Estos protegen contra ataques automatizados. El phishing apunta a algo que ninguna tecnología puede proteger completamente: la psicología humana.
Puedes tener las contraseñas más fuertes del mundo. Autenticación de dos factores en cada cuenta. El software de seguridad más reciente. Y aun así ser comprometido, porque un atacante te convenció de entregar tus credenciales voluntariamente.
Al terminar esta lección, reconocerás ataques de phishing, tácticas de ingeniería social y estafas online antes de que tengan éxito.
Cómo Funciona el Phishing
El phishing es engaño. Un atacante se hace pasar por alguien en quien confías (tu banco, un compañero de trabajo, un servicio de paquetería) y te engaña para que tomes una acción peligrosa: hacer clic en un link, descargar un archivo o ingresar tu contraseña en un sitio falso.
La anatomía de un ataque de phishing:
- La carnada: Un email, mensaje de texto o mensaje que parece legítimo
- El gancho: Urgencia, miedo o curiosidad que te hace actuar rápido
- La trampa: Un sitio web falso, archivo malicioso o solicitud de información
- La captura: Tus credenciales, datos personales o acceso a tu dispositivo
Por qué funciona: El phishing explota emociones, no vulnerabilidades técnicas. Cuando estás preocupado porque tu cuenta va a ser bloqueada o un paquete no va a llegar, haces clic primero y piensas después.
Reconocer Emails de Phishing
Señales de alarma en emails de phishing:
| Señal | Qué Revisar | Ejemplo |
|---|---|---|
| Dirección del remitente no coincide | El nombre dice “Mercado Libre” pero el email es de random@mail-servicio.com | “Soporte ML soporte@mercadol1bre-seguridad.net” |
| Lenguaje de urgencia | “Actúa inmediatamente” o “Tu cuenta será cerrada” | “URGENTE: Verifica tu identidad en 24 horas” |
| Saludo genérico | “Estimado Cliente” en vez de tu nombre real | “Estimado Usuario” |
| Links sospechosos | Pasa el cursor sobre los links para ver la URL real antes de hacer clic | El texto dice “mercadolibre.com” pero la URL va a “mercadol1bre-verificar.com” |
| Adjuntos inesperados | Archivos que no solicitaste, especialmente .exe, .zip o documentos con macros | “Factura_12345.exe” |
| Gramática pobre y formato malo | Las empresas grandes no envían emails con errores obvios | “Su cuenta ha sido suspendida temporaria” |
| Solicitud de información sensible | Las empresas legítimas nunca piden contraseñas por email | “Por favor responda con su contraseña para verificar” |
✅ Revisión Rápida: Nombra tres señales de alarma en un email de phishing. ¿Qué deberías hacer si detectas aunque sea una?
Detectar Sitios Web Falsos
Los links de phishing llevan a sitios que se ven idénticos al real. Así los distingues:
Revisa la URL cuidadosamente:
- Real:
https://www.mercadolibre.com.mx/login - Falsa:
https://www.mercadol1bre-login.com/verify - Falsa:
https://mercadolibre.com.sitio-sospechoso.com/login
El truco del subdominio: En mercadolibre.com.sitio-malo.com, el dominio real es sitio-malo.com. Todo antes de él es un subdominio que el atacante controla. El dominio real siempre está justo antes de la primera barra diagonal sola.
Indicadores de seguridad:
- Busca HTTPS (el ícono del candado), pero nota que los sitios de phishing ahora también usan HTTPS
- Revisa el nombre de dominio completo letra por letra
- Si tienes duda, cierra la pestaña y navega al sitio directamente
Ingeniería Social Más Allá del Email
El phishing es un tipo de ingeniería social. Otros incluyen:
Vishing (phishing por voz): Estafadores llaman haciéndose pasar por tu banco o soporte técnico. Crean urgencia: “Su cuenta fue comprometida. Necesitamos verificar su identidad.”
Defensa: Cuelga. Llama a la empresa directamente usando el número en su sitio web oficial o tu tarjeta bancaria.
Smishing (phishing por SMS): Mensajes de texto con links maliciosos: “Su paquete no pudo ser entregado. Haga clic para reprogramar: [link sospechoso]”
Defensa: Nunca hagas clic en links de mensajes de texto inesperados. Ve a la app o sitio web del servicio de paquetería directamente.
Pretexting: Alguien crea un escenario fabricado para obtener información. “Hola, soy de sistemas. Necesitamos tu contraseña para arreglar un problema de red.”
Defensa: Ningún departamento de TI legítimo pide tu contraseña. Nunca.
El Hábito de Verificación
Construye un hábito que detiene casi todos los ataques de ingeniería social:
Nunca actúes basándote en información que recibiste. Siempre actúa basándote en información que tú buscaste.
Si recibes un email diciendo que tu cuenta bancaria tiene un problema, no hagas clic en el link. Abre tu navegador, escribe la URL de tu banco e inicia sesión directamente. Si hay un problema real, lo verás ahí.
Si alguien llama diciendo ser de tu tarjeta de crédito, cuelga y llama al número en el reverso de tu tarjeta.
Si un texto dice que tu paquete está retrasado, abre la app de paquetería directamente.
Este único hábito — verificar por canales independientes — neutraliza casi todos los ataques de ingeniería social.
La Evolución de las Estafas con IA
El phishing moderno es cada vez más difícil de detectar porque la IA genera mensajes más convincentes:
Señales de phishing generado por IA:
- Gramática perfecta (el phishing antiguo tenía errores; el phishing con IA no)
- Contenido personalizado (la IA puede usar datos de filtraciones para referenciar tu información real)
- Tono conversacional que coincide con el de la empresa real
Tu defensa no cambia: El hábito de verificación funciona sin importar qué tan convincente sea el mensaje. Si te pide hacer clic, iniciar sesión o proveer información, verifica independientemente.
El Procedimiento de Respuesta al Phishing
Cuando recibes un mensaje sospechoso:
- Para. No hagas clic en nada.
- Revisa el remitente. ¿La dirección de email es legítima?
- Evalúa la solicitud. ¿Pide información sensible o acción inmediata?
- Verifica independientemente. Ve directo al sitio web de la empresa o llámalos.
- Reporta. Reenvía emails de phishing a la dirección de reporte de tu proveedor de email.
- Elimina. Borra el mensaje después de reportar.
Inténtalo Tú Mismo
Practica tus habilidades de detección de phishing:
- Abre tu bandeja de email ahora mismo
- Encuentra 3-5 emails de empresas (notificaciones de envío, actualizaciones de cuenta, promociones)
- Para cada uno, revisa: dirección del remitente, links (pasa el cursor, no hagas clic), nivel de urgencia, saludo
- ¿Puedes identificar alguno que podría ser un intento de phishing?
- Busca “Google phishing quiz” para practicar de forma interactiva
Conclusiones Clave
- El phishing explota urgencia y miedo para hacerte actuar antes de pensar; baja la velocidad cuando un email exija acción inmediata
- Revisa la dirección del remitente, pasa el cursor sobre los links y busca saludos genéricos para detectar phishing
- Construye el hábito de verificación: nunca actúes sobre información recibida; siempre verifica independientemente por canales oficiales
- Los ataques de ingeniería social llegan por email, teléfono, texto y hasta en persona; la misma defensa aplica a todos
- La IA está haciendo los mensajes de phishing más convincentes, pero el hábito de verificación sigue siendo efectivo
Siguiente
En la Lección 4: Protección de Dispositivos, protegeremos el hardware que usas todos los días: celulares, laptops y tablets.
Comprobación de Conocimientos
Primero completa el quiz de arriba
¡Lección completada!