Trace Id is missing
Saltar al contenido principal
Seguridad de Microsoft

¿Qué es el phishing?

El objetivo de los ataques de phishing es robar o dañar datos confidenciales engañando a los usuarios para que desvelen su información personal, como contraseñas y números de tarjetas de crédito.

Defenderse ante el phishing

Diferentes tipos de ataques de phishing

Los ataques de phishing provienen de estafadores que se hacen pasar por fuentes de confianza y pueden facilitar el acceso a todo tipo de datos confidenciales. A medida que evolucionan las tecnologías, también lo hacen los ciberataques. Obtén información sobre los tipos de phishing más generalizados.

Phishing de correo electrónico
Este tipo de ataque, que es la forma más habitual de phishing, utiliza tácticas como hipervínculos falsos para atraer a los destinatarios de correos electrónicos y hacer que compartan su información personal. Los atacantes suelen hacerse pasar por un gran proveedor de cuentas como Microsoft o Google, o incluso por un compañero de trabajo.

Phishing de software malintencionado
Este tipo de ataque de phishing frecuente implanta software malintencionado camuflado como un archivo adjunto de confianza (como un currículum vítae o un extracto bancario) en un correo electrónico. En algunos casos, abrir un archivo adjunto con software malintencionado puede paralizar los sistemas de TI por completo.

Phishing de objetivo definido
Mientras que los ataques de phishing abarcan un radio amplio, el phishing de objetivo definido tiene como objetivo personas específicas y se aprovecha de la información recopilada al investigar sus trabajos y sus vidas sociales. El nivel de personalización de estos ataques es muy alto, por lo que sortean con eficacia la ciberseguridad básica.

Phishing de altos cargos
Cuando los usuarios malintencionados tienen como objetivo un "pez gordo", como el directivo de una empresa o una persona famosa, el ataque se denomina phishing de altos cargos. Estos estafadores suelen investigar en profundidad a sus objetivos con el propósito de encontrar el momento oportuno para robar sus credenciales de inicio de sesión u otra información confidencial. Si tú tienes mucho que perder, los atacantes de phishing de altos cargos tienen mucho que ganar.

Phishing por SMS (smishing)
El phishing por SMS o smishing (una combinación de las palabras "SMS" y "phishing") hace referencia al envío de mensajes de texto que se hacen pasar por comunicaciones de confianza de empresas como Amazon o FedEx. Las personas son especialmente vulnerables a las estafas por SMS, ya que los mensajes de texto se reciben en texto sin formato y se entienden como algo más personal.

Phishing por voz (vishing)
En las campañas de phishing por voz, los atacantes, desde centros de llamadas fraudulentos, intentan engañar a los usuarios para que proporcionen información confidencial por teléfono. En muchos casos, estas estafas utilizan ingeniería social para engañar a las víctimas y hacer que instalen software malintencionado en sus dispositivos en forma de aplicación.

Tácticas habituales de phishing

Comunicación engañosa
Los atacantes saben cómo manipular a sus víctimas y hacer que cedan datos confidenciales mediante el camuflaje de mensajes y archivos adjuntos malintencionados en lugares donde los usuarios no utilizan demasiado la perspicacia (por ejemplo, en la bandeja de entrada de correo electrónico). Es fácil suponer que los mensajes que llegan a tu bandeja de entrada son legítimos, pero ten cuidado: los correos electrónicos de phishing suelen parecer seguros y discretos. Para evitar que te engañen, tómate tu tiempo y analiza los hipervínculos y las direcciones de correo electrónico de los remitentes antes de hacer clic.

Sensación de necesidad
Los usuarios son víctimas de phishing porque piensan que deben actuar. Por ejemplo, las víctimas pueden descargar software malintencionado camuflado como un currículum vítae porque necesitan contratar a alguien con urgencia o introducen sus credenciales bancarias en un sitio web sospechoso para recuperar una cuenta que creen que va a expirar pronto. Crear una falsa sensación de necesidad es un engaño habitual porque funciona. Para mantener tus datos protegidos, supervisa tus acciones de manera exhaustiva o instala tecnología de protección de correo electrónico que haga el esfuerzo por ti.

Falsa confianza
Los usuarios malintencionados engañan a los demás creando un falso clima de confianza: incluso los usuarios más perspicaces son víctimas de sus estafas. Haciéndose pasar por fuentes de confianza como Google, Wells Fargo o UPS, los usuarios que utilizan ataques de phishing pueden en engañarte y hacer que actúes antes de que te des cuenta de que te han estafado. Muchos mensajes de phishing pasan desapercibidos si no se aplican medidas de ciberseguridad avanzadas. Protege tu información privada con tecnología de seguridad de correo electrónico diseñada para identificar contenido sospechoso y deshacerse de él antes de que llegue a tu bandeja de entrada.

Manipulación emocional
Los usuarios malintencionados utilizan tácticas psicológicas para convencer a sus objetivos y hacer que actúen sin pensar. Después de crear un clima de confianza haciéndose pasar por una fuente familiar y generar una falsa sensación de urgencia, los atacantes se aprovechan de las emociones, como el miedo y la ansiedad, para conseguir lo que quieren. Los usuarios suelen tomar decisiones precipitadas cuando se les dice que van a perder dinero, que tendrán problemas legales o que ya no podrán acceder a un recurso muy necesario. Actúa con prudencia ante cualquier mensaje que te inste a "actuar ahora mismo", ya que puede ser fraudulento.

Los peligros de los correos electrónicos de phishing

Un ataque de phishing exitoso puede tener consecuencias graves: robos de dinero, cargos fraudulentos en tarjetas de crédito, pérdida del acceso a fotos, vídeos y archivos, o incluso que los ciberdelincuentes se hagan pasar por ti y pongan a los demás en peligro.

En el ámbito laboral, entre los riesgos para la empresa se incluyen la pérdida de fondos corporativos, la exposición de la información personal de clientes y compañeros de trabajo, y el robo o la pérdida de acceso a archivos confidenciales, así como el deterioro de la reputación de la empresa. En muchos casos, el daño puede ser irreparable.

Por suerte, existen muchas soluciones para protegerse ante el phishing, tanto en casa como en el trabajo.

Explorar los servicios de protección contra amenazas de Microsoft

Recomendaciones rápidas para evitar el phishing

Desconfiar de los nombres para mostrar

Comprueba la dirección de correo electrónico del remitente antes de abrir el mensaje: el nombre para mostrar puede ser falso.

Revisar el texto en busca de erratas

Los correos electrónicos de phishing suelen contener errores ortográficos y gramaticales. Si encuentras algo fuera de lugar, ponlo de relieve.

Mirar antes de hacer clic

Desplaza el puntero sobre los hipervínculos del contenido que aparenta ser legítimo para examinar la dirección del vínculo.

Leer la forma de saludo

Si el correo electrónico se dirige a "Apreciado cliente" en vez de a ti, ten cuidado. Es probable que sea fraudulento.

Revisar la firma

Busca la información de contacto en el pie de página del correo electrónico. Los remitentes legítimos siempre la incluyen.

Tener cuidado con las amenazas

Las frases que infunden miedo como "Tu cuenta se ha suspendido" suelen aparecer en los correos electrónicos de phishing.

Protegerse ante los ciberataques

Las estafas de phishing y otras ciberamenazas están en constante evolución, pero hay muchas acciones que puedes llevar a cabo para protegerte.

Una persona trabajando en una sala de servidores.

Defender los principios de la Confianza cero

Los principios de la Confianza cero, como la autenticación multifactor, el acceso suficiente y el cifrado de un extremo a otro, te protegen frente a las ciberamenazas en constante evolución.

Más información

Proteger las aplicaciones y los dispositivos

Responde ante el phishing y otros ciberataques, además de evitarlos y detectarlos, con Microsoft Defender para Office 365.

Más información

Proteger el acceso

Protege a los usuarios de ataques sofisticados mientras proteges tu organización de amenazas basadas en la identidad.

Más información

Preguntas más frecuentes

  • El principal objetivo de las estafas de phishing es robar credenciales e información confidencial. Desconfía de cualquier mensaje (por teléfono, correo electrónico o mensaje de texto) que te solicite datos confidenciales o que verifiques tu identidad.

    Los atacantes se esfuerzan en imitar entidades de confianza y utilizarán los mismos logotipos, diseños e interfaces que las marcas o personas con las que ya estás familiarizado. Mantente alerta y no hagas clic en un vínculo ni abras un archivo adjunto a menos que estés seguro de que el mensaje es legítimo.

    Estas son algunas recomendaciones para reconocer un correo electrónico de phishing:

    • Llamamientos a actuar o amenazas apremiantes (por ejemplo, "Abrir inmediatamente").
    • Remitentes nuevos o poco habituales (cualquiera que te envíe un correo electrónico por primera vez).
    • Errores de ortografía y gramaticales (normalmente como resultado de traducciones extranjeras de dudosa calidad).
    • Vínculos o archivos adjuntos sospechosos (texto con hipervínculo que muestra vínculos de una dirección IP o un dominio diferente).

    Faltas de ortografía sutiles (por ejemplo, "micros0ft.com" o "rnicrosoft.com").

    1. Anota todos los detalles del ataque que puedas recordar. Apunta cualquier información que puedas haber compartido, como nombres de usuario, números de cuenta o contraseñas.
    2. Cambia de inmediato las contraseñas en las cuentas afectadas y en cualquier lugar donde hayas podido usar la misma contraseña.
    3. Confirma el uso de la autenticación multifactor (o en dos pasos) en todas las cuentas que utilices.
    4. Informa a todas las partes interesadas de que tu información se ha puesto en peligro.
    5. Si has perdido dinero o has sido víctima de un robo de identidad, notifícalo a las autoridades locales correspondientes y a la Comisión Federal de Comercio (FTC). Facilita los detalles recopilados en el paso 1.

    Si crees que has sido víctima de un ataque de phishing de forma involuntaria, hay algunas cosas que deberías hacer:

    Ten en cuenta que, al enviar tu información a un atacante, es probable que se revele con rapidez a otros usuarios malintencionados. Cuenta con que recibirás nuevas llamadas telefónicas, mensajes de texto y correos electrónicos de phishing.

  • Si recibes un mensaje sospechoso en tu bandeja de entrada de Microsoft Outlook, elige Informar sobre el mensaje en la cinta de opciones y, después, selecciona Phishing. Esta es la manera más rápida de eliminar un mensaje de tu bandeja de entrada. En Outlook.com, selecciona la casilla situada junto al mensaje sospechoso en la bandeja de entrada, después la flecha situada junto a Desplazar al correo no deseado y, finalmente, Phishing.

    Si has perdido dinero o has sido víctima de un robo de identidad, notifícalo a las autoridades locales correspondientes y ponte en contacto con la Comisión Federal de Comercio (FTC). Tienen un sitio web dedicado por completo a resolver problemas de este tipo.

  • No. Aunque el phishing es más habitual por correo electrónico, los usuarios que utilizan ataques de phishing también se valen de llamadas telefónicas, mensajes de texto e incluso búsquedas web para obtener información confidencial.

  • Los correos electrónicos de spam son mensajes no deseados con contenido comercial o irrelevante. Pueden anunciar argucias para conseguir dinero rápido, ofertas ilegales o descuentos falsos.

    El phishing es un intento más selectivo (y normalmente mejor camuflado) de obtener datos confidenciales engañando a las víctimas para que cedan información de la cuenta y credenciales de forma voluntaria.

Seguir a Seguridad de Microsoft