Cómo prevenir los ataques de phishing por correo electrónico: guía rápida.

El phishing de correo electrónico es una de las ciberamenazas más graves de nuestro mundo digital. A continuación te explicamos cómo mantener tus cuentas online a salvo de los hackers.

Recognizing a phishing email is very easy in Tuta Mail.

Uno de los ataques más comunes en Internet y que supone una amenaza subestimada para su seguridad en línea son los ataques de phishing por correo electrónico y las estafas por correo electrónico. Haciéndose pasar por grandes organizaciones, los estafadores intentan hacerse con su información confidencial y sus credenciales de acceso, como contraseñas. Pero teniendo en cuenta algunos consejos, puede evitar fácilmente que el phishing tenga éxito.


Los ataques de phishing por correo electrónico existen desde hace casi 30 años. La primera vez que se utilizó el término fue en 1995 y por aquel entonces los intentos de phishing eran muy fáciles de detectar. Pero a medida que estos ataques se vuelven más y más sofisticados, la gente cae cada vez más en los ataques de phishing y necesita mantenerse informada de las tendencias y tácticas actuales de los atacantes para protegerse a sí mismos y a sus cuentas en línea. Un riesgo bastante nuevo son los correos electrónicos de phishing selectivo, dirigidos a víctimas de alto perfil y elaborados especialmente para ellas. Esta técnica hace que sea aún más difícil reconocer estos correos electrónicos de phishing dirigidos como una estafa. Ataques prominentes como el ransomware WannaCry comenzaron con un ataque de phishing dirigido, antes de que los hackers maliciosos tomaran otras medidas.

Pero el usuario medio de Internet no necesita (todavía) preocuparse por los ataques dirigidos, aunque la inteligencia artificial podría poner esta amenaza sobre la mesa para todos en un futuro próximo. En la mayoría de los casos actuales, los delincuentes utilizan correos electrónicos de phishing más bien estándar para acceder a sus cuentas en línea, lo que puede permitirles robar su contraseña, su dinero o instalar malware en sus dispositivos.

¿Qué es el phishing por correo electrónico?

El phishing es una de las estafas en línea más comunes: Actores maliciosos se hacen pasar por empresas como Amazon, Facebook o Tuta Mail, enviando correos electrónicos que simulan proceder de estas organizaciones para robar contraseñas u otra información sensible.

En otras palabras: El phishing por correo electrónico es una forma de ingeniería social utilizada por delincuentes que intentan acceder a cuentas o sistemas a los que no tienen permiso para acceder. Un correo electrónico de phishing se disfraza para parecer un correo legítimo de un servicio o plataforma que casi siempre incluye un enlace en el que se le pide que inicie sesión en su cuenta para realizar algún tipo de acción.

Estos correos suelen venir con un límite de tiempo que induce al estrés, como “Confirme su contraseña ahora o su cuenta se bloqueará en 24 horas y se perderán todos los datos”. Esta sensación de urgencia explota una debilidad de nuestra psicología y es más probable que el destinatario del correo de phishing haga clic rápidamente en el enlace para evitar problemas, cayendo así en la trampa. A veces, en lugar de un enlace, el correo electrónico incluirá un archivo adjunto que contiene código malicioso que se ejecutará si la víctima lo descarga y lo abre.

Dado que el envío de correos electrónicos es gratuito, el phishing es una de las tácticas de ciberdelincuencia más utilizadas en todo el mundo. A medida que aumenta el número de correos electrónicos de phishing, también lo hacen los métodos de protección y prevención. Sin embargo, algunos correos electrónicos de phishing siempre se cuelan y llegan a su bandeja de entrada, y usted mismo es la última línea de defensa. Siga leyendo para saber por qué su buzón de correo electrónico es objetivo del phishing y cómo evitar que los ataques de phishing tengan éxito.

¿Por qué las cuentas de correo electrónico son objetivo de correos electrónicos de phishing?

Tu cuenta de correo electrónico contiene mucha información confidencial y es el centro de tu vida digital. Para registrarse en la mayoría de los sitios como Amazon, PayPal, eBay, etc., debe proporcionar una dirección de correo electrónico, e instituciones importantes como los bancos le envían información por correo electrónico. Esto convierte su cuenta de correo electrónico en el objetivo número uno por dos razones.

  1. Muchas personas reciben correos electrónicos de suplantación de identidad que están falseados de tal manera que parece que proceden de Facebook, Google, o su banco, etc. pidiéndoles que introduzcan su información de inicio de sesión después de hacer clic en un enlace proporcionado.
  2. Los ataques de phishing también se dirigen directamente a su buzón de correo electrónico, intentando acceder a sus datos de acceso. Esto es aún más peligroso porque cuando los atacantes tienen acceso a su buzón de correo, pueden utilizar un simple restablecimiento de contraseña para todas las cuentas en línea vinculadas a su dirección de correo electrónico, y así de fácil obtienen acceso a sus cuentas para abusar de ellas.

¿Cómo sé si un correo electrónico es phishing?

Por lo general, los correos electrónicos de phishing intentan hacerse pasar por grandes organizaciones, en algunas de las cuales es posible que usted tenga una cuenta. Esto lo hace complicado, ya que a primera vista, podrías pensar que este correo electrónico se refiere realmente a tu cuenta real en la plataforma que la estafa está fingiendo ser. Con unos pocos consejos, puede asegurarse de que los correos electrónicos de phishing no le engañen para que facilite su contraseña o descargue archivos adjuntos maliciosos.

  1. Compruebe siempre con detalle la dirección de correo electrónico del remitente. A menudo, el remitente difiere del remitente técnico, lo cual es un truco habitual utilizado por los estafadores por correo electrónico.
  2. Si le piden que introduzca sus credenciales de acceso a través de un enlace proporcionado, debe empezar a sonar la alarma. Si crees que un correo electrónico puede ser legítimo, utiliza tu motor de búsqueda favorito -que esperemos que no sea Google- para localizar su sitio web a través de un enlace oficial antes de iniciar sesión. No utilices el enlace proporcionado en el correo electrónico. Muchos servicios mantienen ahora un registro de los mensajes de seguridad enviados a tu cuenta y puedes comprobar allí el estado de los correos de aspecto sospechoso.
  3. Comprueba cuidadosamente el enlace: Si, por ejemplo, los atacantes intentan robarte el nombre de usuario de Tuta, el enlace proporcionado tendrá un aspecto similar, pero no coincidirá a la perfección. En lugar de Tuta.com, los atacantes podrían utilizar 7uta.com.

Además, compruebe los siguientes detalles para decidir si un correo electrónico es phishing o no. Las señales típicas del phishing son

  • Exigir una acción inmediata
  • Errores ortográficos y gramaticales
  • Ofertas que suenan demasiado bien
  • Afirmaciones de que ha ganado dinero
  • Dirigirse a la persona equivocada
  • Procedentes de un dominio de envío extraño o de una dirección de Gmail
  • Archivos adjuntos sospechosos
  • Exigir hacer clic en un enlace y cambiar la contraseña

Detectar un correo electrónico de phishing puede no ser fácil en todos los casos, pero la lista anterior de ejemplos utilizados en los correos electrónicos de phishing típicos le ayudará. En caso de duda: mejor ignorar el correo electrónico que realizar cualquier acción que pueda poner en problemas tu cuenta real.

Cómo detenemos los correos maliciosos en Tuta

En los últimos años, hemos observado un aumento del número de correos electrónicos de phishing que intentan hacerse pasar por personal oficial de Tuta para robar credenciales de inicio de sesión. Por eso hemos mejorado Tuta para que sea aún más difícil para los atacantes maliciosos engañar a nuestros usuarios para que entreguen valiosas contraseñas o datos de acceso.

Hemos introducido una función para ayudar a los usuarios que se pregunten cómo denunciar los correos electrónicos de phishing y cómo prevenir los ataques de phishing. Cada vez que se denuncien correos electrónicos de phishing en Tuta Mail, todos los demás usuarios que reciban correos similares verán un banner de advertencia sobre el correo sospechoso de phishing. Esto ayudará a todos a detectar los correos electrónicos de phishing y a no caer en los ataques de phishing. Además, los correos electrónicos de phishing serán revisados por nuestro equipo de seguridad y los remitentes serán bloqueados manualmente para que no lleguen a nuestros servidores y, por tanto, a tu buzón.

Warning banner that is added to a potential phishing email in Tuta. Banner de advertencia que se añade a un posible correo de phishing en Tuta Mail.

Puede encontrar más información sobre la protección reforzada contra el phishing integrada en Tuta aquí.

Funciones antiabuso en Tuta Mail

  1. Marcamos los correos electrónicos si la dirección de correo electrónico del remitente es incorrecta. Cuando estás conectado en el navegador, la cabecera de tu buzón de Tuta Mail te muestra el nombre y la dirección de correo electrónico del remitente para que puedas detectar fácilmente si un correo electrónico procede de un remitente incorrecto. En la aplicación, la dirección de correo electrónico del remitente no se muestra automáticamente, pero puedes comprobarla fácilmente pulsando sobre el nombre del remitente.
  2. Tuta es uno de los pocos servicios de correo web que te avisa si el “remitente técnico” difiere del “remitente del remitente ”, para que puedas detectar los correos falsos.
  3. Los atacantes suelen fingir que hay una urgencia de tiempo, piden que se introduzcan las credenciales de inicio de sesión siguiendo un enlace proporcionado. No caiga nunca en este tipo de correos, es una estrategia típica del correo electrónico de phishing.

Nuestro consejo más importante para prevenir los ataques de phishing es muy fácil:

Nunca cambies tu contraseña cuando te lo pidan de repente por correo electrónico.

Cómo ver si alguien suplanta la identidad de Tuta

Ahora nos gustaría explicarte cómo nos aseguramos de que nadie pueda suplantar tu dirección de correo electrónico y contraseña de Tuta haciéndose pasar por nosotros. En primer lugar, y lo más importante, cuando reciba un correo electrónico del equipo de Tuta, nunca le pediremos que haga clic en un enlace para confirmar o actualizar su contraseña u otras credenciales de inicio de sesión.

Nunca le pediremos su contraseña.

En Tuta hemos hecho que sea muy fácil de detectar un correo electrónico que intenta hacerse pasar por el equipo de Tuta: Como muestra el ejemplo de correo electrónico de phishing a continuación, estos correos electrónicos no contienen una línea de etiqueta roja (verde menta cuando se utiliza el tema oscuro). El siguiente ejemplo muestra la diferencia. El primer correo electrónico ha sido enviado por un usuario de Tuta al azar tratando de hacerse pasar por uno de los miembros de nuestro equipo, el segundo es de hecho procedente de uno de los miembros de nuestro equipo - en este caso de Brandon. Como los correos electrónicos de Tuta sólo se pueden comprobar en los clientes de correo de Tuta en Android, iPhones y PCs, es muy fácil para nosotros distinguir visualmente todos los correos electrónicos oficiales que vienen de nosotros - como se puede ver por el color “Tuta Team”.

Phishing email example and Tuta email in comparison.

Un correo electrónico del equipo oficial de Tuta siempre mostrará una línea de etiqueta roja (línea de etiqueta verde menta cuando se utiliza el tema oscuro) con “Tuta Team”.

Si el correo electrónico de nosotros es un anuncio - como en la siguiente captura de pantalla - no hay nombre o dirección de correo electrónico junto a la línea de la etiqueta. Si este correo electrónico proviene de nuestro equipo de soporte o de uno de los miembros de nuestro equipo, la dirección de correo electrónico se escribe junto a la línea de etiqueta roja (o verde menta) Tuta Team.

Esta línea de etiqueta no puede ser añadida por alguien haciéndose pasar por nosotros que está tratando de robar su contraseña de Tuta. Esta línea de etiqueta está integrada en el código de nuestros clientes de correo electrónico para Android, iOS, Windows, Linux y macOS y solo se muestra para los correos electrónicos oficiales del Equipo Tuta.

An encrypted Tuta email announcement

Dominio de correo electrónico oficial del equipo Tuta: @tutao.de

Cuando empezamos a construir Tuta, sabíamos que para un servicio de correo electrónico es de vital importancia que nadie pueda hacerse pasar por nosotros o por miembros de nuestro equipo. Sin embargo, todo el mundo puede registrarse en cualquier dirección de correo electrónico de Tuta o Tutanota.

Para resolver este dilema, desde el principio hemos utilizado el dominio de nuestra empresa en lugar de los dominios de Tuta / Tutanota como direcciones de correo electrónico oficiales. Nuestra empresa, que está detrás de Tuta, se llama Tutao GmbH. Si recibe un correo electrónico del equipo de Tuta, la dirección de correo siempre terminará en @tutao.de.

No podemos restablecer su contraseña para salvaguardar su cuenta de Tuta.

A los delincuentes les encanta abusar de la función de restablecimiento de contraseña por correo electrónico para acceder a cuentas en línea con correos electrónicos de phishing. Por lo tanto, para proteger al máximo su buzón cifrado, no existe la opción de solicitar un restablecimiento de su contraseña de Tuta por correo electrónico. En su lugar, generamos un código de recuperación único durante el proceso de creación de la cuenta que puede utilizar para restablecer su contraseña en cualquier momento.

Si usted no puede solicitar el restablecimiento de su contraseña, ningún delincuente que se haga pasar por usted podrá hacerlo. Recuerda guardar tu contraseña y tu código de recuperación en un lugar seguro. Sólo tú puedes restablecer tu contraseña con la ayuda de tu código de recuperación.

Reconocer los correos sospechosos

Cómo identificar los correos electrónicos de phishing de otros servicios también es fácil cuando se utiliza Tuta. Cuando recibas un correo electrónico sospechoso, puedes hacer clic en el icono ”…” en la parte superior derecha de tu buzón y luego elegir “Mostrar encabezados de correo electrónico”. Esto abrirá una pequeña ventana que muestra la información técnica del remitente del correo electrónico en cuestión. Aquí puede verificar el estado de las comprobaciones DKIM, DMARC y SPF para confirmar si este correo electrónico está suplantando al remitente o no.

Además, la mayoría de los correos electrónicos falsificados ya estarán marcados con la advertencia de suplantación de identidad, como se muestra en la captura de pantalla anterior con el título: “Banner de advertencia que se añade a un posible correo electrónico de suplantación de identidad en Tuta Mail”. Esto se puede mostrar gracias a todos los usuarios de Tuta que informan sobre correos electrónicos de phishing, ¡y así ayudar a otros usuarios a mantenerse a salvo!

Si parece incorrecto, probablemente lo sea

Siempre que recibas un correo electrónico que parezca sospechoso, es muy probable que se trate de un correo de phishing. En caso de duda, pregunta. Puedes encontrarnos fácilmente en Twitter, Mastodon, Facebook o Instagram y, por supuesto, a través del correo electrónico.

Si recibe un posible correo electrónico de phishing de un dominio de Tuta, reenvíelo a abuse@tutao.de.

Gracias y ¡mantente a salvo!


Lectura recomendada Guía de seguridad del correo electrónico: 3 sencillos pasos para mantener sus correos electrónicos a salvo de los piratas informáticos, así como Guía de seguridad de contraseñas: Cómo elegir una contraseña segura.