Logo Pishing

El phishing es responsable de más del 80% de los incidentes de seguridad a nivel mundial. No importa si eres un usuario casual o un profesional de IT — todos somos blancos potenciales. En este artículo aprenderás a reconocer y evitar estos ataques.

¿Qué es el Phishing?

El phishing es un ataque de ingeniería social donde un atacante se hace pasar por una entidad de confianza (tu banco, Google, Netflix, un compañero de trabajo) para robarte credenciales, datos personales o dinero.

El nombre viene del inglés fishing (pescar) — los atacantes "lanzan anzuelos" esperando que alguien muerda.

Tipos de Phishing que debes conocer

1. Phishing por correo electrónico

El más común. Recibes un email que parece legítimo pidiéndote que hagas clic en un enlace o descargues un archivo.

Señales de alerta:

  • El remitente usa dominios similares: soporte@banc0colombia.com en lugar de soporte@bancocolombia.com
  • Urgencia exagerada: "Tu cuenta será bloqueada en 24 horas"
  • Errores ortográficos o gramática extraña
  • Links que al pasar el cursor no coinciden con el texto

2. Spear Phishing

Versión personalizada y más peligrosa. El atacante investiga tu perfil (LinkedIn, redes sociales) y te envía un mensaje que parece venir de alguien que conoces.

3. Smishing (SMS)

Mensajes de texto fraudulentos. Muy comunes con falsos mensajes de bancos, servicios de paquetería o entidades gubernamentales.

4. Vishing (llamadas telefónicas)

El atacante te llama haciéndose pasar por soporte técnico, tu banco o incluso la DIAN. Nunca compartas información sensible por teléfono si no iniciaste tú la llamada.

Cómo identificar un sitio web falso

Antes de ingresar cualquier credencial, verifica:

  1. El dominio exactopaypa1.com no es paypal.com
  2. El certificado HTTPS — el candado verde no garantiza que el sitio sea legítimo, solo que la conexión es cifrada
  3. La URL completa — los atacantes usan subdominios engañosos como paypal.com.login.attacker.com
  4. El diseño — busca diferencias sutiles en logos, colores o tipografía

5 hábitos que te protegen del phishing

1. Usa un gestor de contraseñas

Herramientas como Bitwarden (gratuito y open source) solo autocompletan tus credenciales en el dominio correcto. Si estás en un sitio falso, simplemente no te ofrecerá completar nada — esa es tu señal de alerta.

2. Activa el 2FA en todas tus cuentas

El doble factor de autenticación es tu red de seguridad. Incluso si caes en un phishing y te roban la contraseña, el atacante no podrá acceder sin el segundo factor.

Usa preferiblemente una app como Aegis (Android) en lugar de SMS.

Si recibes un email de tu banco, no hagas clic. Abre el navegador y escribe la dirección manualmente o usa tus marcadores guardados.

4. Verifica antes de actuar

Ante cualquier mensaje urgente, tómate 2 minutos para verificar:

  • Llama directamente a la empresa por su número oficial
  • Búscala en Google en lugar de usar el link del email

5. Mantén tu navegador y sistema actualizados

Los navegadores modernos tienen filtros anti-phishing integrados. Mantenerlos actualizados asegura que tengan las listas negras más recientes.

¿Qué hacer si caíste en un phishing?

Si crees que fuiste víctima de un ataque:

  1. Cambia tu contraseña inmediatamente desde un dispositivo seguro
  2. Revoca las sesiones activas en tu cuenta (la mayoría de servicios tienen esta opción)
  3. Activa 2FA si no lo tenías
  4. Notifica a tu banco si compartiste datos financieros
  5. Reporta el phishing a Google Safe Browsing: safebrowsing.google.com/safebrowsing/report_phish
  • VirusTotal — analiza URLs y archivos con más de 70 antivirus
  • URLScan.io — escanea y muestra capturas de sitios web sin que los visites
  • PhishTank — base de datos colaborativa de sitios de phishing conocidos

La mejor defensa contra el phishing no es la tecnología — es el hábito de pausar y verificar antes de actuar. Los atacantes dependen de que reacciones rápido y sin pensar. Tómate esos 2 minutos extra y estarás un paso adelante. +++