• El foro de relojes de habla hispana con más tráfico de la Red, donde un reloj es algo más que un objeto que da la hora. Relojes Especiales es el punto de referencia para hablar de relojes de todas las marcas, desde Rolex hasta Seiko, alta relojería, relojes de pulsera y de bolsillo, relojería gruesa y vintages, pero también de estilográficas. Además, disponemos de un foro de compraventa donde podrás encontrar el reloj que buscas al mejor precio. Para poder participar tendrás que registrarte.

    IMPORTANTE: Asegúrate de que tu dirección de email no está en la lista Robinson (no publi), porque si lo está no podremos validar tu alta.

Octubre mes de la Ciberseguridad - Día 18: Guía práctica para detectar phishing, vishing y sus variantes

  • Iniciador del hilo Iniciador del hilo jorgesdb
  • Fecha de inicio Fecha de inicio
jorgesdb

jorgesdb

Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
Phishing es el término genérico para ataques que intentan engañarte para robar credenciales, datos bancarios o información sensible. Sus variantes cambian el canal o el objetivo, pero el objetivo es siempre el mismo: manipularte para que hagas algo inseguro.

Variantes principales

  • Phishing: correo electrónico fraudulento que suplanta a una entidad legítima.
  • Spear-phishing: ataques dirigidos a una persona o grupo concreto (más personalizados).
  • Whaling: spear-phishing dirigido a directivos o personas de alto perfil.
  • Smishing: phishing por SMS.
  • Vishing: phishing por llamada de voz (telefónica).
  • Clone phishing: recrean un correo legítimo anterior y lo envían con enlaces o adjuntos maliciosos.
  • Pharming: redirección a sitios falsos a nivel DNS o por efectos de malware/hosts.
  • Watering hole: comprometer sitios que sabe que visita su objetivo para infectarlos.
  • Deepfake phishing: uso de audio o vídeo generativo para suplantar voz o imagen (vishing/deepfake).

Señales rojas (indicadores rápidos que algo es phishing)​

  1. Urgencia extrema / presión para actuar ya (“cierre de cuenta”, “pago urgente”, “haz clic ahora”)
  2. Enlaces sospechosos: dominio parecido, subdominios raros, URL larga con redirecciones.
  3. Remitente que no coincide con el dominio visible o que usa dominios públicos (gmail, hotmail) para algo que debería venir de dominio corporativo.
  4. Archivos adjuntos inesperados (.zip, .exe, documentos con macros) o peticiones de habilitar macros.
  5. Solicitudes de datos sensibles por correo/WhatsApp/llamada (PIN, contraseñas, números de tarjeta).
  6. Errores de ortografía, gramática rara o tono “no profesional”.
  7. Mensajes que parecen personales pero contienen datos que cualquiera puede encontrar (los atacantes usan info pública).
  8. En llamadas (vishing): voz que hace preguntas técnicas, pide códigos OTP o te pide “confirmar” datos por teléfono.
  9. En SMS (smishing): enlace corto que redirige a una web de login falsa.
  10. Si el mensaje proviene de una persona conocida pero el tono es extraño o pide transferencias no habituales (posible cuenta comprometida).

Verificaciones técnicas que puedes hacer (rápidas y seguras)​

  • No hagas clic: copia la URL y pégala en una herramienta de verificación (URL scanner) o escribe manualmente la dirección oficial en el navegador.
  • Comprueba el remitente real del correo (ver encabezados) para ver el dominio de envío.
  • Busca SPF / DKIM / DMARC: si fallan, el correo es sospechoso. Muchos webmail muestran avisos si la autenticación falla.
  • Analiza archivos o enlaces con VirusTotal o PhishTank antes de abrir (si no sabes cómo, pide a TI que lo haga).
  • En llamadas: cuelga y llama al número oficial de la empresa (no al que te dieron en el supuesto correo/llamada).
  • En SMS: nunca pulses el enlace; teclea en el navegador la web oficial del banco o servicio.
  • En redes sociales: revisa el perfil del remitente (edad, actividad, coincidencias en otras plataformas) antes de confiar.

Qué hacer en cada canal​

Correo (phishing)
  • No clicar ni abrir adjuntos.
  • Marcar como phishing y reportar al equipo de seguridad / proveedor de correo.
  • Si es personal y sensible, cambiar credenciales desde un dispositivo seguro.
SMS (smishing)
  • No abrir enlaces ni llamar al número que aparece.
  • Borra y, si procede, bloquea el remitente.
  • Consulta la app oficial o contacta por canales verificados.
Llamada (vishing)
  • Cuelga y llama al número oficial.
  • Nunca facilites códigos OTP o contraseñas por teléfono.
  • Si la llamada afirma ser de tu banco y hay dudas, ve a la sucursal, llama al teléfono oficial de soporte o usa la app oficial.
Redes sociales / mensajería
  • Si recibes mensajes raros desde un contacto, confirma por otra vía (llamada o correo que ya tuvieses).
  • Revisa si el contacto tiene actividad reciente: cuentas comprometidas envían spam a amigos.
Si recibes un deepfake (audio/video)
  • Desconfía si la petición es atípica (transferencias, información sensible).
  • Pide verificación por otro canal y solicita una confirmación presencial o mediante documento firmado si es crítico.
  • Guarda la prueba y avisa a seguridad TI / legal.

Herramientas y recursos útiles (uso legítimo)​

  • VirusTotal: analizar archivos y URLs.
  • PhishTank / URLVoid: bases comunitarias de phishing.
  • WHOIS/whois.domaintools: comprobar antigüedad y registro de dominio.
  • Revisar encabezados de correo (mostrar original, ver Received, SPF/DKIM).
  • Gestores de contraseñas: detectar formularios falsos y no teclear credenciales a mano.
  • Apps de autenticación y llaves físicas (WebAuthn) para evitar dependencia de OTP SMS.
  • Navegadores modernos muestran advertencias de phishing y certificados inválidos: prestar atención a los avisos.

Pasos inmediatos si crees que has caído (o has interactuado con un phishing)​

  1. Aísla la acción: cierra la página, no sigas interactuando.
  2. Cambia la contraseña de la cuenta afectada desde otro dispositivo limpio.
  3. Si usaste la misma contraseña en otros servicios, cámbialas allí también.
  4. Revoca sesiones activas y tokens (en Gmail/Outlook puedes cerrar sesiones remotas).
  5. Activa 2FA si no lo tenías; prefiere app autenticadora o llave física.
  6. Si facilitaste datos bancarios o hiciste transferencia, contacta con tu banco inmediatamente.
  7. Guarda evidencia (correo, capturas, número de teléfono, audio).
  8. Informa a tu equipo de seguridad/empresa o denuncia a las autoridades (policía, unidad de delitos telemáticos / CERT local).
  9. Escanea el equipo con herramientas antimalware y considera restaurar desde backup si hay sospecha de malware.
  10. Comunica a tus contactos si tu cuenta ha sido comprometida para que no caigan en mensajes enviados desde ella.

Buenas prácticas preventivas​

  • Nunca reutilices contraseñas; usa un gestor.
  • Activa 2FA en todas las cuentas sensibles.
  • No uses SMS como único 2FA si puedes evitarlo.
  • Ten actualizado el sistema operativo, navegador y antivirus.
  • Forma a tu equipo sobre spear-phishing (simulaciones).
  • Implementa políticas de verificación para transferencias (doble validación, confirmación por canal seguro).
  • Usa segregación de funciones: quien solicita pagos no debería ser quien los autoriza sin verificación.
  • Mantén listas de remitentes y dominios fiables pero revisa periódicamente; los atacantes clonarán dominios parecidos.
 
  • Me gusta
Reacciones: bernat, suso lopez y Georges Cuvier

Hilos similares

jorgesdb
Octubre mes de la Ciberseguridad - Día 2: Desconfía de correos y mensajes sospechosos
Respuestas
0
Visitas
160
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 13: Comprueba si tu correo fue filtrado (y qué hacer si aparece en una fuga)
Respuestas
0
Visitas
97
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 17: Protégete del Shoulder Surfing
Respuestas
2
Visitas
51
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 11: Bloquea tu ordenador, móvil y tablet
Respuestas
1
Visitas
100
Asenna.
Asenna.
jorgesdb
Octubre mes de la Ciberseguridad - Día 1: Crea y protege tus contraseñas de forma segura
Respuestas
4
Visitas
205
jorgesdb
jorgesdb
Atrás
Arriba Pie