Guías

Cómo prevenir los ataques de phishing por correo electrónico: guía rápida.

Las estafas de phishing por correo electrónico son una de las ciberamenazas más graves de nuestro mundo digital. A continuación te explicamos cómo mantener tus cuentas online a salvo de los hackers.

Recognizing a phishing email is not always easy, but this guide will help.

Los correos electrónicos de phishing son uno de los vectores de ataque más comunes en Internet y suponen una amenaza subestimada para su seguridad en línea. Haciéndose pasar por grandes organizaciones con correos electrónicos y páginas de destino falsos, los estafadores intentan hacerse con tu información confidencial, por ejemplo, tus credenciales de acceso y contraseñas. Pero teniendo en cuenta algunos consejos, puede protegerse fácilmente de los ataques de phishing.

Los ataques de phishing por correo electrónico existen desde hace casi 30 años. La primera vez que se utilizó el término fue en 1995 y por aquel entonces los intentos de phishing eran muy fáciles de detectar. Pero a medida que estos ataques se vuelven más y más sofisticados, la gente cae cada vez más en los ataques de phishing y necesita mantenerse informada de las tendencias y tácticas actuales de los atacantes para protegerse a sí mismos y a sus cuentas en línea. Entre ellas se incluyen: Email spoofing, dominios parecidos (typosquatting), spear phishing, smishing, vishing, archivos adjuntos maliciosos, páginas de obtención de credenciales, y muchos más. Un riesgo bastante nuevo son los correos electrónicos de phishing selectivo que se dirigen a víctimas de alto perfil y se elaboran especialmente para ellas. Esta técnica hace que sea aún más difícil reconocer estos correos electrónicos de phishing dirigidos como una estafa. Varios ataques importantes, como el ransomware WannaCry, comenzaron con un correo electrónico de phishing dirigido que permitió a los atacantes infiltrarse en otros sistemas.

Pero el usuario medio de Internet no necesita (todavía) preocuparse por los ataques dirigidos, aunque la inteligencia artificial podría poner esta amenaza sobre la mesa para todo el mundo en un futuro próximo. Por ahora, la táctica de phishing más común consiste en enviarle un correo electrónico de phishing que parezca proceder de otra persona, por ejemplo, una empresa de confianza en la que usted tenga una cuenta. Los delincuentes utilizan correos electrónicos de phishing bastante habituales para acceder a sus cuentas en línea, lo que puede permitirles robar su contraseña, su dinero o instalar malware en sus dispositivos. Dado que el correo electrónico es -y seguirá siendo- una de las principales herramientas de comunicación, es importante que todo el mundo conozca los entresijos de los ataques de phishing.

Activa la privacidad con un solo clic.

Explicación de las estafas de phishing por correo electrónico

El phishing por correo electrónico es una de las estafas en línea más comunes: Actores malintencionados se hacen pasar por empresas como Amazon, Facebook o Tuta Mail, y envían correos electrónicos que simulan proceder de estas organizaciones para robar contraseñas u otra información confidencial.

En otras palabras: El phishing por correo electrónico es una forma de ingeniería social utilizada por delincuentes que intentan acceder a cuentas o sistemas a los que no tienen permiso para acceder. Un correo electrónico de phishing se disfraza para parecer un correo legítimo de un servicio o plataforma que casi siempre incluye un enlace en el que se le solicita que inicie sesión en su cuenta para realizar algún tipo de acción.

Estos correos suelen venir con un límite de tiempo que induce al estrés, como “Confirme su contraseña ahora o su cuenta se bloqueará en 24 horas y se perderán todos los datos”. Esta sensación de urgencia explota una debilidad de nuestra psicología y es más probable que el destinatario del correo de phishing haga clic rápidamente en el enlace para evitar problemas, cayendo así en la trampa. A veces, en lugar de un enlace, el correo electrónico incluirá un archivo adjunto que contiene código malicioso que se ejecutará si la víctima lo descarga y lo abre.

So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. So könnte eine betrügerische Website aussehen: Das a im zweiten Link wurde durch das kyrillische ɑ ersetzt. Este es el aspecto que podría tener un sitio web fraudulento: La a del segundo enlace se ha sustituido por la letra cirílica ɑ.

Como el envío de correos electrónicos es gratuito, el phishing es una de las tácticas de ciberdelincuencia más utilizadas en todo el mundo. A medida que aumenta el número de correos electrónicos de phishing, también lo hacen los métodos de protección y prevención. Sin embargo, algunos correos electrónicos de phishing siempre se colarán y llegarán a tu bandeja de entrada, y tú mismo eres la última línea de defensa. Siga leyendo para saber por qué su buzón de correo electrónico es objetivo del phishing y cómo evitar que los ataques de phishing tengan éxito.

¿Por qué las cuentas de correo electrónico son objetivo de correos electrónicos de phishing?

Tu cuenta de correo electrónico contiene mucha información confidencial y es el centro de tu vida digital. Para registrarse en la mayoría de los sitios como Amazon, PayPal, eBay, etc., debe proporcionar una dirección de correo electrónico, e instituciones importantes como los bancos le envían información por correo electrónico. Esto convierte su cuenta de correo electrónico en el objetivo número uno por dos razones.

  1. Muchas personas reciben correos electrónicos de suplantación de identidad que están falseados de tal manera que parece que proceden de Facebook, Google, o su banco, etc. pidiéndoles que introduzcan su información de inicio de sesión después de hacer clic en un enlace proporcionado.

  2. Los ataques de phishing también se dirigen directamente a su buzón de correo electrónico, intentando acceder a sus datos de acceso. Esto es aún más peligroso porque cuando los atacantes tienen acceso a su buzón de correo, pueden utilizar un simple restablecimiento de contraseña para todas las cuentas en línea vinculadas a su dirección de correo electrónico, y así de fácil obtienen acceso a varias de sus cuentas en línea para abusar de ellas. Por eso en Tuta te recomendamos que protejas tu buzón de correo con autenticación de dos factores, mejor con U2F.

Activa la privacidad con un solo clic.

¿Cómo sé si un correo electrónico es phishing?

Los correos electrónicos de phishing suelen tratar de hacerse pasar por grandes organizaciones, en algunas de las cuales podrías tener una cuenta. Esto hace que sea difícil, ya que a primera vista, se podría pensar que este correo electrónico en realidad se refiere a su cuenta real en la plataforma de la estafa está fingiendo ser. Con unos pocos consejos, puede asegurarse de que los correos electrónicos de phishing no le engañen para que facilite su contraseña o descargue archivos adjuntos maliciosos.

  1. Compruebe siempre con detalle la dirección de correo electrónico del remitente. A menudo, el remitente difiere del remitente técnico, lo cual es un truco habitual utilizado por los estafadores por correo electrónico.

  2. Si se le pide que introduzca sus credenciales de acceso a través de un enlace proporcionado, debe empezar a sonar la alarma. Si cree que un correo electrónico puede ser legítimo, utilice su motor de búsqueda favorito -que con suerte es una alternativa a Google- para localizar su sitio web a través de un enlace oficial antes de iniciar sesión. No utilices el enlace proporcionado en el correo electrónico. Muchos servicios mantienen ahora un registro de los mensajes de seguridad enviados a tu cuenta, y puedes comprobar allí el estado de los correos electrónicos de aspecto sospechoso.

  3. Comprueba cuidadosamente el enlace: Si los atacantes intentan robarte el nombre de usuario de Tuta, por ejemplo, el enlace proporcionado tendrá un aspecto similar, pero no coincidirá perfectamente. En lugar de Tuta.com, los atacantes podrían utilizar 7uta.com.

Además, compruebe los siguientes detalles para decidir si un correo electrónico es phishing o no. Las señales típicas del phishing son

  • Exigir una acción inmediata
  • Errores ortográficos y gramaticales
  • Ofertas que suenan demasiado bien
  • Afirmaciones de que ha ganado dinero
  • Dirigirse a la persona equivocada
  • Procedentes de un dominio de envío extraño o de una dirección de Gmail
  • Archivos adjuntos sospechosos
  • Exigir hacer clic en un enlace y cambiar la contraseña

Detectar un correo electrónico de phishing puede no ser fácil en todos los casos, pero la lista anterior de ejemplos utilizados en los correos electrónicos de phishing típicos le ayudará. En caso de duda: mejor ignorar el correo electrónico que realizar cualquier acción que pueda poner en problemas tu cuenta real.

Activa la privacidad con un solo clic.

Cómo detenemos los correos maliciosos en Tuta

En los últimos años, hemos observado un aumento del número de correos electrónicos de phishing que intentan hacerse pasar por personal oficial de Tuta para robar credenciales de inicio de sesión. Por eso hemos mejorado Tuta para que sea aún más difícil para los atacantes maliciosos engañar a nuestros usuarios para que entreguen valiosas contraseñas o datos de inicio de sesión.

Hemos introducido una función para ayudar a los usuarios que se preguntan cómo denunciar los correos electrónicos de phishing y cómo prevenir los ataques de phishing. Cada vez que se denuncien correos electrónicos de phishing en Tuta Mail, todos los demás usuarios que reciban correos similares verán un banner de advertencia sobre el correo sospechoso de phishing. Esto ayudará a todos a detectar los correos electrónicos de phishing y a no caer en los ataques de phishing. Además, los correos electrónicos de phishing serán revisados por nuestro equipo de seguridad y los remitentes serán bloqueados manualmente para que no lleguen a nuestros servidores y, por tanto, a tu buzón.

Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Warnbanner, das einer potenziellen Phishing-E-Mail in Tuta Mail hinzugefügt wird. Banner de advertencia que se añade a un posible correo de phishing en Tuta Mail.

Puede encontrar más información sobre la protección reforzada contra el phishing integrada en Tuta en las notas de la versión aquí.

Funciones antiabuso en Tuta Mail

  1. Marcamos los correos electrónicos si la dirección de correo electrónico del remitente es incorrecta. Cuando inicias sesión con el navegador, el encabezado de tu buzón de Tuta te muestra el nombre y la dirección de correo electrónico del remitente para que puedas detectar fácilmente si un correo electrónico procede de un remitente incorrecto. En la aplicación, la dirección de correo electrónico del remitente no se muestra automáticamente, pero puedes comprobarla fácilmente pulsando sobre el nombre del remitente.

  2. Tuta es uno de los pocos servicios de correo web que te avisa si el “remitente técnico” difiere del “remitente del remitente”, para que puedas detectar los correos falsos.

  3. Los atacantes suelen fingir que hay una urgencia de tiempo, piden introducir las credenciales de inicio de sesión siguiendo un enlace proporcionado. No caiga nunca en este tipo de correos, es una estrategia típica del correo electrónico de phishing.

Nuestro consejo más importante para prevenir los ataques de phishing es muy fácil:

Nunca cambies tu contraseña cuando te lo pidan de repente por correo electrónico.

Cómo ver si alguien suplanta la identidad de Tuta

Ahora nos gustaría explicarte cómo nos aseguramos de que nadie pueda suplantar tu dirección de correo electrónico y contraseña de Tuta haciéndose pasar por nosotros. En primer lugar, y lo más importante, cuando reciba un correo electrónico del equipo de Tuta, nunca le pediremos que haga clic en un enlace para confirmar o actualizar su contraseña u otras credenciales de inicio de sesión.

Nunca le pediremos su contraseña.

En Tuta hemos hecho que sea muy fácil de detectar un correo electrónico que intenta hacerse pasar por el equipo de Tuta: Como muestra el ejemplo de correo electrónico de phishing a continuación, estos correos electrónicos no contienen una línea de etiqueta roja (azul cuando se utiliza el tema azul). El siguiente ejemplo muestra la diferencia. El correo electrónico en la parte inferior ha sido enviado por un usuario aleatorio de Tuta tratando de hacerse pasar por uno de los miembros de nuestro equipo, el de la parte superior es de hecho procedente de uno de los miembros de nuestro equipo - en este caso de Hanna. Como los correos electrónicos de Tuta sólo se pueden comprobar en los clientes de correo de Tuta en Android, iPhones y PCs, es muy fácil para nosotros distinguir visualmente todos los correos electrónicos oficiales que vienen de nosotros - como se puede ver por el color “Tuta Team”.

Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. Beispiel einer Phishing-E-Mail und Tuta-E-Mail im Vergleich. Ejemplo de correo electrónico de phishing y correo electrónico de Tuta en comparación.

Un correo electrónico del equipo oficial de Tuta siempre mostrará una línea de etiqueta roja (línea de etiqueta azul cuando se utiliza el tema azul) con “Tuta Team”.

Si el correo electrónico de nosotros es un anuncio - como en la siguiente captura de pantalla - no hay nombre o dirección de correo electrónico junto a la línea de la etiqueta. Si este correo electrónico proviene de nuestro equipo de soporte o de uno de los miembros de nuestro equipo, la dirección de correo electrónico se escribe junto a la línea de etiqueta roja (o azul) Tuta Team.

Esta línea de etiqueta no puede ser añadida por alguien haciéndose pasar por nosotros que está tratando de robar su contraseña de Tuta. Esta línea de etiqueta está integrada en el código de nuestros clientes de correo electrónico para Android, iOS, Windows, Linux y macOS y solo se muestra para los correos electrónicos oficiales del Equipo Tuta.

Eine verschlüsselte Tuta-E-Mail-Ankündigung Eine verschlüsselte Tuta-E-Mail-Ankündigung Un anuncio de correo electrónico cifrado de Tuta

Dominio de correo electrónico oficial del equipo Tuta: @tutao.de

Cuando empezamos a construir Tuta, sabíamos que para un servicio de correo electrónico es de vital importancia que nadie pueda hacerse pasar por nosotros o por miembros de nuestro equipo. Sin embargo, todo el mundo puede registrarse en cualquier dirección de correo electrónico de Tuta o Tutanota.

Para resolver este dilema, desde el principio hemos utilizado el dominio de nuestra empresa en lugar de los dominios de Tuta / Tutanota como direcciones de correo electrónico oficiales. Nuestra empresa, que está detrás de Tuta, se llama Tutao GmbH. Si recibe un correo electrónico del equipo de Tuta, la dirección de correo siempre terminará en @tutao.de.

Activa la privacidad con un solo clic.

No podemos restablecer su contraseña para salvaguardar su cuenta de Tuta.

A los delincuentes les encanta abusar de la función de restablecimiento de contraseña por correo electrónico para acceder a cuentas en línea a través de correos electrónicos de phishing. Por lo tanto, para proteger al máximo su buzón cifrado, no existe la opción de solicitar un restablecimiento de su contraseña de Tuta por correo electrónico. En su lugar, generamos un código de recuperación único durante el proceso de creación de la cuenta que puede utilizar para restablecer su contraseña en cualquier momento.

Si usted no puede solicitar el restablecimiento de su contraseña, ningún delincuente que se haga pasar por usted podrá hacerlo. Recuerda guardar tu contraseña y tu código de recuperación en un lugar seguro. Sólo tú puedes restablecer tu contraseña con la ayuda de tu código de recuperación.

Reconocer los correos sospechosos

Cómo identificar los correos electrónicos de phishing de otros servicios también es fácil cuando se utiliza Tuta. Cuando recibas un correo electrónico sospechoso, puedes hacer clic en el icono ”…” en la parte superior derecha de tu buzón y luego elegir “Mostrar encabezados de correo electrónico”. Esto abrirá una pequeña ventana que muestra la información técnica del remitente del correo electrónico en cuestión. Aquí puede verificar el estado de las comprobaciones DKIM, DMARC y SPF para confirmar si este correo electrónico está suplantando al remitente o no.

Además, la mayoría de los correos electrónicos falsificados ya estarán marcados con la advertencia de suplantación de identidad, como se muestra en la captura de pantalla anterior con el título: “Banner de advertencia que se añade a un posible correo electrónico de suplantación de identidad en Tuta Mail”. Esto se puede mostrar gracias a todos los usuarios de Tuta que informan sobre correos electrónicos de phishing, ¡y así ayudar a otros usuarios a mantenerse a salvo!

Si parece incorrecto, probablemente lo sea

Siempre que recibas un correo electrónico que parezca sospechoso, es muy probable que se trate de un correo de phishing. En caso de duda, pregunta. Puede encontrarnos fácilmente en Mastodon, BlueSky, Twitter, LinkedIn, Facebook o Instagram y, por supuesto, por correo electrónico.

Si recibe un posible correo electrónico de phishing de un dominio de Tuta, reenvíelo a abuse@tutao.de.

Gracias y ¡manténgase a salvo!

Ilustración de un teléfono con el logotipo de Tuta en su pantalla, junto al teléfono hay un escudo ampliado con una marca de verificación en él que simboliza el alto nivel de seguridad debido al cifrado de Tuta.

Lectura recomendada Guía de seguridad del correo electrónico: 3 sencillos pasos para mantener su correo electrónico a salvo de los piratas informáticos, así como Guía de seguridad de contraseñas: Cómo elegir una contraseña segura.