¿Qué es un correo electrónico de suplantación de identidad (phishing)?

Obtenga información sobre qué es un correo electrónico de suplantación de identidad (phishing) y cómo protegerse de este tipo de fraude online.

Evitar la suplantación de identidad (phishing)

Definición de correos electrónicos de suplantación de identidad (phishing)

La suplantación de identidad (phishing) es un tipo de estafa online en la que los delincuentes intentan engañar a las personas para que proporcionen información confidencial, como contraseñas, números de tarjetas de crédito y datos personales. Para lograrlo, un delincuente se hace pasar por una persona o empresa de confianza, como un banco, una agencia gubernamental o un sitio web popular.

Un correo electrónico de suplantación de identidad (phishing) es un mensaje fraudulento diseñado para parecer auténtico. Normalmente, le pide que haga clic en un vínculo, descargue datos adjuntos o proporcione detalles personales para robar información valiosa. Estos correos electrónicos a menudo crean una sensación de urgencia (por ejemplo, advierten que su cuenta está en riesgo u ofrecen una recompensa por tiempo limitado) para presionarlo a actuar rápidamente.

Puntos clave

Los correos electrónicos de suplantación de identidad (phishing) están diseñados para robar información personal simulando ser de orígenes legítimos.
Los signos comunes de correos electrónicos de suplantación de identidad (phishing) incluyen remitentes sospechosos, solicitudes urgentes, saludos genéricos, datos adjuntos inesperados y solicitudes de información confidencial.
Si recibe un correo electrónico de phishing, actúe rápidamente cambiando las contraseñas, notificando a las partes pertinentes y denunciando el correo electrónico.
Evite ataques de suplantación de identidad (phishing) al mantener alertas, usar prácticas de seguridad sólidas y mantener el software actualizado con filtros de correo electrónico y protección antivirus.
Ayude a detectar y evitar la suplantación de identidad mediante el filtrado basado en inteligencia artificial, la detección de amenazas en tiempo real y las herramientas de autenticación multifactor de Seguridad de Microsoft.

Por qué es importante comprender los correos electrónicos de suplantación de identidad (phishing)

El mundo es más digital que nunca y los correos electrónicos de suplantación de identidad (phishing) son una de las mayores amenazas online. Los ciberdelincuentes envían millones de correos electrónicos de suplantación de identidad cada día dirigidos a individuos, empresas e incluso agencias gubernamentales. Caer en ciberataque, como un correo electrónico de phishing, puede dar lugar a robo de identidad, pérdidas financieras y cuentas pirateadas. En los lugares de trabajo, un clic incorrecto puede poner en peligro redes enteras, lo que da lugar a vulneraciones de datos y daños caros.

Reconocer correos electrónicos de suplantación de identidad (phishing) es una habilidad clave para protegerse a sí mismo y a su información. Los atacantes están mejorando para que sus estafas parezcan reales, pero conocer los signos de advertencia puede ayudarle a evitarlas.

Comprender la suplantación de identidad (phishing) no solo lo ayuda a usted, sino que también ayuda a mantener seguros su lugar de trabajo, su familia y sus amigos. Cuantos más personas puedan detectar estas estafas, más difícil será que los ciberdelincuentes tengan éxito.

La evolución de los correos electrónicos de suplantación de identidad (phishing)

La suplantación de identidad (phishing) comenzó en los años 90, cuando los estafadores engañaron a las personas para que revelaran sus contraseñas de AOL. A medida que internet crece, los ataques de suplantación de identidad (phishing) se volvieron más sofisticados. Los delincuentes comenzaron a copiar la apariencia de sitios web reales para robar credenciales de inicio de sesión. Con el tiempo, la suplantación de identidad (phishing) se expandió más allá del correo electrónico a los mensajes de texto (smishing) y las llamadas telefónicas (vishing). En la actualidad, los atacantes usan mensajes generados por inteligencia artificial y tácticas de ingeniería social para hacer que sus estafas sean aún más convencidas.

A pesar de los avances en ciberseguridad, el phishing sigue siendo una de las amenazas online más comunes. Reconocer correos electrónicos de suplantación de identidad (phishing) es una habilidad importante para mantenerse a salvo online.

Cómo funcionan los correos electrónicos de suplantación de identidad (phishing)

Los correos electrónicos de suplantación de identidad (phishing) están diseñados para parecerse a los mensajes de empresas y personas en las que confía. El objetivo es engañarte para que realices una acción determinada con trucos de sed y desaciertos.

Los ciberdelincuentes diseñan cuidadosamente los correos electrónicos de suplantación de identidad (phishing) para que parezcan reales:

Imitar marcas legítimas. Es posible que vea logotipos oficiales, direcciones de correo electrónico similares y diseños de aspecto profesional.
Usar detalles personales. Algunas estafas incluyen su nombre, correo electrónico u otra información para que el mensaje parezca más auténtico.
Insertar vínculos falsos. El correo electrónico puede contener vínculos que parecen reales, pero que en realidad conducen a sitios web falsos creados para robar su información.
Agregar datos adjuntos malintencionados. Algunos correos electrónicos de phishing incluyen archivos que instalan ransomware u otros tipos de software malintencionado si se abren.

Trucos psicológicos utilizados en correos electrónicos de suplantación de identidad (phishing)

Los correos electrónicos de suplantación de identidad (phishing) aprovechan las emociones de las personas para aumentar las posibilidades de una estafa correcta. Las tácticas comunes incluyen:

Urgencia. Por ejemplo, intenta bloquearte fuera de tu cuenta a menos que realices una acción determinada.
Miedo. Por ejemplo, indicándole que su cuenta se ha puesto en peligro.
Curiosidad. Por ejemplo, enviándole un recibo o una factura por algo que no ha’comprado.
Incentivos financieros. Por ejemplo, decir que has ganado un regalo o una tarjeta regalo.
Autoridad. Por ejemplo, hacerse pasar por alguien del departamento de TI de su trabajo’.

Cómo identificar un correo electrónico de suplantación de identidad (phishing)

Los correos electrónicos de suplantación de identidad (phishing) pueden ser convencidas, pero con frecuencia tienen signos de suplantación de identidad. Esto es lo que hay que tener en cuenta:

Vínculos sospechosos. Mantenga el puntero sobre los vínculos (sin hacer clic) para ver dónde se dirigen realmente. Los enlaces de suplantación de identidad (phishing) a veces contienen errores ortográficos, caracteres adicionales o dominios desconocidos (por ejemplo, "micros0ft-support.com" en lugar de "microsoft.com"). Si un vínculo parece extraño, no haga clic en él.
Datos adjuntos inesperados. Tenga siempre cuidado con los datos adjuntos de correo electrónico, especialmente si le piden que habilite macros o instale software. Las empresas legítimas rara vez envían datos adjuntos que no solicitó.
Lenguaje urgente o amenazante. El texto que dice que debe actuar inmediatamente o enfrentarse a la suspensión de la cuenta le presiona para actuar por miedo. Los estafadores confían en la alerta de pánico para obtener respuestas rápidas.
Solicitudes de información personal o financiera. Ninguna empresa legítima le pedirá que proporcione contraseñas, números de tarjeta de crédito o números del Seguro Social por correo electrónico. En caso de duda, comuníquese directamente con la empresa a través de los canales oficiales, no haciendo clic en nada del correo electrónico.
Saludos genéricos y falta de personalización. Los correos electrónicos de suplantación de identidad a veces usan aperturas genéricas, como “Estimado cliente” o “Estimado usuario”, en lugar de llamarle por su nombre. Normalmente, las empresas reales personalizan sus correos electrónicos.
Errores gramaticales y ortográficos deficientes. Muchos correos electrónicos de suplantación de identidad (phishing) contienen frases incómodas, errores ortográficos o palabras inusuales. Las organizaciones profesionales revisaron sus correos electrónicos, por lo que estos tipos de errores pueden ser una marca roja.
Direcciones de remitente no coincidentes. Compruebe detenidamente la dirección de correo electrónico del remitente. Los estafadores usarán direcciones similares a las reales, pero que tienen pequeñas diferencias, como “support@micr0soft.com” en lugar de “support@microsoft.com.”

Cinco ejemplos de correo electrónico de suplantación de identidad (phishing)

Examine estos ejemplos de estafas de correo electrónico de suplantación de identidad (phishing) comunes para comprender mejor su aspecto.

1. Alerta de seguridad falsa

Línea de asunto: Intento de inicio de sesión inusual detectado: ¡Acción requerida!

Un correo electrónico de suplantación de identidad (phishing) que finge ser de un servicio conocido, como su banco o proveedor de correo electrónico, advierte de que alguien intentó acceder a su cuenta. Incluye un enlace para "proteger" su cuenta, pero el enlace conduce a una página de inicio de sesión falsa diseñada para robar sus credenciales.

Banderas rojas:

El correo electrónico no menciona dónde se produjo el intento de inicio de sesión (sin detalles de ubicación ni del dispositivo).
El enlace para "proteger su cuenta" conduce a un dominio que está ligeramente alejado del sitio web real de la empresa.
La dirección del remitente es similar “a security-alerts@accounts-support.com” en lugar del dominio oficial de la empresa’.

2. Factura o solicitud de pago falsa

Asunto: Factura n.° 38491 adjunta: pago inmediato

Este tipo de correo electrónico de suplantación de identidad (phishing) indica que debe dinero por un servicio que nunca ha usado. Le presiona para abrir una factura adjunta o hacer clic en un vínculo para revisar el cargo. Los datos adjuntos pueden contener malware o el vínculo podría dar lugar a una página de pago falsa.

Banderas rojas:

El correo electrónico es inesperado. Las empresas legítimas no envían facturas sorpresas.
La factura tiene un formato sospechoso, como un archivo .ZIP o un documento que le pide que habilite las macros.
No hay información clara sobre quién envió la factura: no hay nombre de la empresa ni datos de contacto.

3. "Ha ganado un premio." estafa

Asunto: ¡Felicidades! Ha sido seleccionado para recibir una tarjeta de regalo de 500 USD

Este correo electrónico de suplantación de identidad (phishing) indica que ha ganado un premio y simplemente necesita "comprobar sus detalles" para obtener el premio. Le pide información personal o le dirige a un formulario que roba sus datos.

Banderas rojas:

Nunca ha participado en un concurso, lo que hace que la victoria sea sospechosa.
El correo electrónico solicita detalles personales, como la dirección, el número de teléfono o la información de la tarjeta de crédito.
La dirección de correo electrónico del remitente es una cuenta genérica de Gmail o Yahoo en lugar de un dominio de empresa.

4. Fraude de CEO (compromiso de correo electrónico empresarial)

Asunto: Solicitud rápida: Necesitamos su ayuda lo antes posible

Este intento de suplantación de identidad (phishing) en el lugar de trabajo está dirigido a los empleados de una empresa simulando ser de su jefe, ejecutivo sénior o recursos humanos. El correo electrónico pide al destinatario que compre tarjetas regalo, dinero por cable o proporcione datos confidenciales de la empresa. Normalmente, los atacantes suplantan la dirección de correo electrónico de un administrador o usan una similar con una pequeña diferencia.

Banderas rojas:

El correo electrónico es urgente e impreciso, sin contexto previo.
La dirección del remitente es ligeramente diferente a la del ejecutivo real (por ejemplo, “ceo@companyname.co” en lugar de “ceo@companyname.com)”.
La solicitud es inusual: la mayoría de las empresas tienen procesos formales para las transacciones financieras.

5. Restablecimiento de contraseña de departamento de TI falso

Asunto: Aviso de TI: La contraseña de correo electrónico expirará hoy

Este correo electrónico es, supuestamente, del equipo de TI de su empresa, que le indica que restablezca la contraseña inmediatamente. El vínculo proporcionado conduce a una página de inicio de sesión falsa que roba sus credenciales.

Banderas rojas:

El correo electrónico no sigue el estilo habitual de comunicación de TI de su empresa.
El correo electrónico del remitente no procede del dominio oficial de la empresa.
Normalmente, el soporte técnico de TI no pide a los empleados que restablezcan contraseñas a través de vínculos de correo electrónico. En su lugar, las empresas tienden a usar portales internos.

Qué hacer si recibe un correo electrónico de suplantación de identidad (phishing)

Si recibe un correo electrónico de suplantación de identidad (phishing), no entre en pánico, pero tampoco interactúe con él. Siga estos pasos para protegerse a sí mismo y a otros usuarios.

1. No haga clic en vínculos ni abrir datos adjuntos

Evite hacer clic en los vínculos, descargar datos adjuntos o responder al correo electrónico.
Incluso si el correo electrónico parece convincente, interactuar con él podría provocar malware o información robada.

2. Compruebe el remitente

Compruebe detenidamente la dirección de correo electrónico del remitente. Si algo parece, como un pequeño error ortográfico o un dominio desconocido, probablemente sea una estafa.
Si el correo electrónico dice ser de una empresa, vaya directamente al sitio web oficial de la empresa en lugar de usar los vínculos proporcionados.

3. Informe del correo electrónico de suplantación de identidad (phishing)

Si recibió el correo electrónico en el trabajo, reenvíelo a su equipo de TI o de seguridad.
En los Estados Unidos, informe sobre suplantación de identidad (phishing) a la Comisión Federal de Comercio (FTC) o reenvíe el correo electrónico a phishing-report@us-cert.gov.

4. Marcar el correo electrónico como correo no deseado y eliminarlo

Muchos servicios de correo electrónico tienen una opción “Informar de suplantación de identidad (phishing)” que ayuda a mejorar los filtros de spam. Si no ve esa opción, notifique que es correo no deseado.
Si el proveedor de correo electrónico no mueve automáticamente el correo electrónico a la papelera después de marcarlo, elimínelo para que no lo abra accidentalmente más tarde.

Pasos que se deben seguir si se ha comprometido con un correo electrónico de suplantación de identidad (phishing)

Una vez que haya interactuado con un correo electrónico de suplantación de identidad (phishing), ya sea haciendo clic en un enlace, descargando un archivo adjunto o proporcionando información personal, debe actuar rápidamente para limitar el daño. Esto es lo que hay que hacer.

1. Tome nota de lo que ha compartido

Si ha escrito su contraseña, detalles bancarios o información personal, anote lo que ha compartido.
Esto le ayudará a determinar qué debe protegerse y a quién notificar.

2. Cambiar las contraseñas inmediatamente

Actualice las contraseñas que haya compartido, especialmente para cuentas bancarias, de correo electrónico o profesionales.
Si usa la misma contraseña para otros sitios, cámbiela también allí.
Use contraseñas seguras y únicas y habilite la autenticación multifactor para mayor seguridad.

3. Dígaselo a las personas que necesitan saberlo

Si el correo electrónico de suplantación de identidad (phishing) está destinado a su cuenta profesional, envíe una alerta al equipo de TI o de seguridad.
Si proporcionó detalles financieros, póngase en contacto con su banco o compañía de tarjetas de crédito para supervisar las transacciones e inmovilizar su cuenta si es necesario.
Informe a sus amigos, familiares y compañeros de trabajo de lo que ha ocurrido si la estafa podría afectarles (por ejemplo, si los atacantes podrían usar su cuenta en peligro para enviarles correos electrónicos de suplantación de identidad).

4. Notificar el ataque de suplantación de identidad (phishing)

Si ha perdido dinero o le han robado datos confidenciales, notifique el ataque a la FTC.
Si se ha producido un fraude financiero, póngase en contacto con las fuerzas de seguridad locales.
Marque el mensaje como un intento de suplantación de identidad (phishing) o correo no deseado a través de su proveedor de correo electrónico para ayudar a bloquear ataques similares.

5. Esperar intentos de suplantación de identidad (phishing) de seguimiento

Los estafadores suelen dirigirse a las víctimas de nuevo usando los datos robados para enviar nuevos correos electrónicos, mensajes de texto o llamadas de phishing.
Tenga especial cuidado con los mensajes que solicitan ayuda para recuperar su cuenta o que solicitan más información personal.

¿Qué ocurre si se le ha suplantado la identidad?

Ser víctima de un ataque de suplantación de identidad (phishing) puede tener consecuencias graves que afecten tanto a las personas como a las organizaciones. Estos son algunos efectos potenciales.

Robo de identidad

Los suplantadores de identidad roban información personal, como números de la Seguridad Social, direcciones y fechas de nacimiento, para suplantar a las víctimas. Esto puede provocar la apertura de cuentas de crédito o la confirmación de delitos bajo el nombre de la víctima.

Pérdida financiera

El acceso a datos financieros privados, como los detalles de la cuenta bancaria o los números de tarjeta de crédito, puede dar lugar a transacciones no autorizadas y pérdidas económicas significativas. Por ejemplo, una sofisticada estafa de suplantación de identidad (phishing) de facturación dirigida a Google y Facebook entre 2013 y 2015 generó pérdidas de 100 millones de USD.

Información confidencial en peligro

Los ataques de suplantación de identidad (phishing) pueden exponer datos confidenciales, incluidos secretos empresariales y comunicaciones personales. En 2021, un correo electrónico de phishing provocó el ataque a Colonial Pipeline, que causó una importante interrupción del suministro de combustible en Estados Unidos.

Daños en la reputación

Las organizaciones afectadas por ataques de suplantación de identidad (phishing) podrían sufrir daños a largo plazo en su reputación. Los clientes y asociados pueden perder la confianza, especialmente si sus datos están en peligro. Esta pérdida de confianza puede tener efectos duraderos en las relaciones empresariales, las finanzas y la percepción pública.

Evitar un ataque de correo electrónico de suplantación de identidad (phishing)

A pesar de que los correos electrónicos de phishing pueden ser convincentes, aún hay formas de protegerse manteniéndose alerta y siguiendo las mejores prácticas de seguridad en el correo electrónico.

Tenga cuidado con todos los correos electrónicos que solicitan compromiso

Analice siempre los correos electrónicos con cuidado antes de hacer clic en vínculos o descargar datos adjuntos.
Hágase estas preguntas antes de interactuar:
- ¿Tiene sentido este correo electrónico? ¿Lo estoy esperando?
- ¿Es correcta la dirección de correo electrónico del remitente?
- ¿Hay solicitudes urgentes o amenazas que me presionen para actuar rápidamente?
- ¿La gramática y el tono suenan profesionales?
Si algo parece incorrecto, compruebe el correo electrónico con el remitente mediante un método de contacto de confianza.

Mejore la seguridad del correo electrónico

Use filtros de correo electrónico para bloquear mensajes de suplantación de identidad conocidos.
Marque los correos electrónicos sospechosos como correo no deseado para mejorar el filtrado.
Nunca haga clic en vínculos ni descargue datos adjuntos de orígenes desconocidos o inesperados.

Mantenga su software y herramientas de seguridad actualizados

Instale el software antivirus y asegúrese de que se actualiza para ayudar a detectar amenazas de suplantación de identidad (phishing).
Habilite las actualizaciones automáticas del sistema operativo, los exploradores web y las aplicaciones de correo electrónico para revisar los puntos débiles de seguridad.

Usar la autenticación multifactor

La activación de la autenticación multifactor para las cuentas online agrega una capa adicional de seguridad al requerir un segundo paso (como un código enviado al teléfono) antes de iniciar sesión.
Incluso si los atacantes roban su contraseña, no podrán acceder a su cuenta sin el segundo factor.

Manténgase un paso por delante de la suplantación de identidad (phishing) con Seguridad de Microsoft

A medida que los correos electrónicos de phishing se vuelven más sofisticados utilizando correos generados por IA, ingeniería social e incluso tecnología de deepfake, afortunadamente, también lo hacen las soluciones de Seguridad de Microsoft que los detectan y previenen.

Al combinar el conocimiento con herramientas de seguridad sólidas, ayudará a proteger los correos electrónicos de suplantación de identidad (phishing) y a proteger sus datos personales y empresariales.

RECURSOS

Más información sobre Seguridad de Microsoft

Una mujer y un hombre trabajando con una tableta

Solución

SecOps unificada y con tecnología de IA

Combine sus operaciones de seguridad (SecOps) en prevención, detección y respuesta con una plataforma basada en inteligencia artificial.

Más información

Obtener acceso al portal de protección contra amenazas

Comprenda cómo las organizaciones usan la detección y respuesta extendidas integradas (XDR) y la administración de eventos e información de seguridad (SIEM) para ser más resistentes frente a ataques.

Obtener más información

Un correo electrónico de suplantación de identidad (phishing) es un mensaje fraudulento diseñado para engañarle para que comparta información personal, como contraseñas o detalles financieros. A menudo, los correos electrónicos de suplantación de identidad (phishing) proceden de una fuente de confianza, como un banco o una empresa, y pueden usar lenguaje urgente, vínculos falsos o datos adjuntos malintencionados para engañarle.
Si su correo electrónico es phishing, los estafadores pueden obtener acceso a su información personal, robar su identidad o usar su cuenta para enviar más correos electrónicos de suplantación de identidad. También podrían acceder a cuentas financieras, poner en peligro datos confidenciales o propagar malware. Actuar rápidamente cambiando la contraseña, habilitando la autenticación multifactor y notificando el ataque puede ayudar a limitar los daños.
Estas son cinco formas de detectar un correo electrónico de suplantación de identidad (phishing):

Remitente sospechoso: la dirección de correo electrónico puede estar ligeramente mal escrita o no estar familiarizado.
Lenguaje urgente o amenazante: los estafadores crean una alerta de pánico para presionarte para que actúes rápidamente.
Los saludos genéricos: frases como “Estimado cliente” en lugar de su nombre pueden ser una marca roja.
Vínculos o datos adjuntos sospechosos: mantenga el puntero sobre los vínculos para comprobar la dirección URL antes de hacer clic. Los datos adjuntos inesperados pueden contener malware.
Las solicitudes de detalles personales o financieros: empresas reales con las que haga negocios no solicitarán este tipo de información privada a través del correo electrónico.
Para notificar un correo electrónico de suplantación de identidad (phishing), siga estos pasos:

Con el correo electrónico abierto, seleccione la opción “Reportar suplantación de identidad (phishing)” o “Marcar como spam” para ayudar a filtrar futuros ataques.
Si usa una cuenta profesional o educativa, reenvíe el correo electrónico de suplantación de identidad (phishing) a su departamento de TI.
En los Estados Unidos, reenvíe correos electrónicos de suplantación de identidad (phishing) a phishing-report@us-cert.gov o informe sobre ellos a la FTC.

Después de informar, elimine el correo electrónico para evitar clics accidentales.