Cómo reconocer las estafas online (phishing)

Desde hace unos días nuestros sistemas de seguridad están detectando un volumen muy alto de correos electrónicos fraudulentos. Queremos ayudarte a reconocerlos 😉

La regla para identificar este tipo de correos fraudulentos es muy sencilla. Se podría resumir mediante la siguiente fórmula:


Correo electrónico recibido que no he solicitado + remitente desconocido + acción requerida* = Estafa Online. Practicamente sin margen de error 😉

(*)La acción siempre suele ser que abras o descargues un archivo que se incluye adjunto en el e-mail, o bien que pulses sobre un enlace.


Así de sencillo. No hay más. Es cierto que en algunos casos, los e-mails fraudulentos suplantan la identidad de alguna empresa (incluyendo su imagen corporativa); incluso puede darse la casualidad de que seas cliente de esa empresa y por tanto que ese e-mail se gane tu confianza (conoces al remitente), pero incluso en ese caso aplica siempre el punto uno de la fórmula anterior: «Correo electrónico recibido que no he solicitado». Es decir, ¿Estás esperando ese correo? Por ejemplo, imagina que te han enviado un presupuesto. ¿Has pedido ese presupuesto? Si la respuesta no es afirmativa, elimina ese correo con total tranquilidad. Y ante la duda (vamos a suponer que conoces al remitente), siempre puedes contactar con esa empresa (usando sus datos de contacto, no los que se incluyen en ese e-mail). Escríbeles un e-mail (no respondas a ese) o llámales para aclarar el motivo del e-mail que (supuestamente) te han enviado.

Como puedes ver, es tan sencillo como desconfiar de e-mails que te llegan pero no has pedido y que además te piden que hagas algún tipo de acción (descargar un adjunto, pulsar sobre un link, actualizar tus datos … etc).

El % de correo fraudulento que se envía a diario asusta. Estamos hablando de miles de millones de e-mails. Diarios. Si eliminas los correos que tienen remitentes desconocidos y los que te piden que realices algún tipo de acción (que desconoces), estás eliminando casi el 99,99% de todo el correo fraudulento. Así de fácil.

Es decir, remitente desconocido + acción requerida (que no has solicitado o que desconoces) = Fraude. La acción que te piden que hagas puede ser que revises el presupuesto que te envían (presupuesto, factura ….. las opciones son infinitas, pero la finalidad es la misma: que descargues o abras el archivo adjunto) o que hagas click en un link para actualizar tus datos … etc = fraude. Al 99,99999%. Y si tienes dudas por que el remitente es conocido, tan sencillo como contactar con la empresa o persona que te remite el e-mail, pero siempre usando los datos habituales de contacto de esa empresa; no los que te figuran en el e-mail recibido y del que sospechas, ya que pueden ser falsos.

No caigas en la trampa!!

Hay veces que los correos fraudulentos son más difíciles de detectar, sobre todo cuando suplantan la identidad de alguna empresa de la que sí eres cliente. Piensa que cuando envían esos e-mails lo hacen a millones de personas y obviamente un % de ellos llegarán a personas que son clientes de la empresa de la que están suplantando la identidad. Si están suplantando la identidad de una entidad bancaria, ej. BBVA, y eres cliente de BBVA, es probable que ese e-mail tenga más probabilidad de ganar tu confianza que si te llega uno del Banco Santander del que no eres cliente. Es un ejemplo.

En esos casos, en los que sí reconoces el remitente, intenta prestar atención al contenido del e-mail, es decir, desconfía si la gramática no es correcta (muchos de esos e-mails fraudulentos son traducidos con programas automáticos) o si te piden que facilites datos sensibles: por ejemplo datos personales, bancarios o claves de inicio de sesión. Ante la duda contacta con el remitente para verificarlo.

Fraudes muy populares (pero mucho mucho):

.- Notificaciones falsas sobre servicios de correo electrónico. Fraude cada vez más popular en Internet. Por ejemplo, te piden que hagas alguna acción en concreto por que tu cuenta de e-mail está bloqueada, tienes el buzón lleno … etc. Contacta con tu proveedor de hosting para verificarlo.

.-Notificaciones falsas de servicios muy conocidos. Tipo Netflix, Amazon … etc. Por ejemplo te reclaman el pago de una factura o te notifican un reembolso (esto último llama más la atención ¿Verdad? 😉 ).

.- Notificaciones falsas de entidades bancarias. Para este tipo de fraudes hay un regla muy básica. Si te piden datos bancarios y además datos personales = fraude. Piensa que tu banco nunca te pedirá unos datos, que de hecho, ya tienen. Esto es extensible a cualquier plataforma o empresa de la que eres cliente; nunca te van a pedir datos que ya tienen; y menos aún, sin motivo.

.- Notificaciones falsas sobre nombres de dominios. Normalmente te piden que renueves el nombre de tu dominio. Para ello suplantan la identidad de algún registrador popular o bien usan nombres como Domain Renewal, Internet Registry, Europe Domain Registry …. etc.

Como hemos visto antes, la regla para identificar estos e-mails fraudulentos es muy sencilla:


Correo electrónico recibido que no he solicitado + remitente desconocido + acción requerida* = Estafa Online.


Por ejemplo, si recibes un e-mail de Netflix y te indican que hay un problema con el pago de la cuota pero sabes que no es así …. antes de pulsar en el enlace que te facilitan o dar cualquier dato, contacta con Netflix a través de sus canales habituales de atención al cliente (sustituye Netflix por cualquier proveedor o plataforma online que uses; siempre es lo mismo).

Otro ejemplo; imagina que recibes un e-mail de una empresa que no conoces y te pide renovar tu dominio. Puedes eliminar ese correo con total tranquilidad; o contactar con tu registrador de nombres de dominio para que te informe.

Recuerda una vez más la fórmula que debes aplicar siempre:


Correo electrónico recibido que no he solicitado + remitente desconocido + acción requerida* = Estafa Online.