Reconocer el phishing en 60 segundos

El phishing es una estafa que intenta hacerte actuar deprisa: hacer clic en un enlace, abrir un adjunto, escribir una contrasena, dar un codigo o pagar. El mensaje puede parecer del banco, de correos, de un mensajero, de un colega o incluso de la policia. La clave no es el diseno: es empujarte a reaccionar sin pensar.

Un correo falso hoy puede tener el logotipo correcto, el nombre correcto y un tono creible. Incluso el remitente visible puede enganar. Por eso el control importante no es "me parece real?", sino "puedo verificarlo sin usar el enlace recibido?". El NCSC suizo recopila muchas denuncias de sitios sospechosos precisamente porque las paginas falsas imitan servicios reales. La Policia Postal recuerda que los bancos y los servicios serios no piden credenciales ni codigos por email, telefono o SMS.

Antes de hacer clic, busca cinco senales. Una: urgencia. Frases como "cuenta bloqueada", "pago a punto de vencer", "ultimo aviso" sirven para quitarte la calma. Dos: enlaces extranos. Pasa el cursor sobre el enlace desde el ordenador, o manten pulsado desde el telefono sin abrirlo: mira el dominio real, no el texto coloreado. Tres: errores de idioma o formulas raras. No siempre los hay, pero cuando aparecen pesan.

Cuatro: remitente sospechoso. Un nombre "Banco" no basta si la direccion termina en un dominio aleatorio o casi igual. Cinco: adjunto inesperado. Un ZIP, un HTML, un documento con macros o una factura falsa son senales fuertes. La Policia Postal advierte de que los correos fraudulentos pueden parecerse a los originales e invita a no abrir adjuntos si no se esta seguro de su procedencia. Si aparecen dos senales juntas, detente.

Primera comprobacion: mira el dominio, no el remitente. "paypal.com" es distinto de "paypal-seguridad.example". El dominio real es la parte final antes de la barra: en "https://login.banco.ch.area-clientes.net/..." el dominio es "area-clientes.net", no "banco.ch". Segunda comprobacion: no hagas clic nunca cuando puedes ir a mano. Abre el navegador, escribe la direccion oficial o usa la app que ya tienes instalada.

Tercera comprobacion: si es urgente, es aun mas sospechoso. Las estafas funcionan porque crean miedo. Si recibes un correo que dice "tienes 10 minutos", tomate 10 minutos mas. Llama al numero oficial del reverso de la tarjeta o del sitio escrito a mano. El FBI aconseja buscar tu mismo el numero de la empresa y verificar la peticion por canales oficiales, sin usar los contactos del mensaje sospechoso.

Ejemplo 1: falso correo de "fax urgente". Segun un aviso del CSIRT Italia, el mensaje invitaba a abrir un fax, pero llevaba a una pagina falsa de Webmail Outlook para robar la contrasena. Senal: tema urgente mas enlace hacia el login.

Ejemplo 2: falso banco o tarjeta bloqueada. El mensaje pide una verificacion inmediata y luego un codigo SMS o la contrasena. Senal: peticion de credenciales o codigos, algo que un banco no debe hacer por mensaje.

Ejemplo 3: falso mensajero. Te dice que falta un pequeno pago de aduanas. Senal: importe bajo para bajar las defensas, enlace corto o dominio no oficial. No hacen falta capturas perfectas para defenderse: hace falta una regla simple. Si el mensaje pide una accion rapida y te saca del canal oficial, cierra y verifica a mano.