Cómo identificar un correo falso o de phishing

Robo de datos
Los correos falsos se usan para robar información privada. Photo © Flickr user Hernán Kirsten

El correo electrónico es una fuente muy utilizada para realizar estafas y robo de identidad. El phishing es un problema muy extendido en el mundo de Internet, y el correo electrónico es el principal vehículo para llevarlo a cabo. A continuación se te presentan las características más comunes de correos electrónicos de phishing, así como una guía que te ayudará a identificar un correo falso.

Las seis características más comunes de phishing

  1. El contenido parece real.- Los correos electrónicos de phishing son hechos con el objetivo de que parezca que los envió la compañía por la que se están haciendo pasar. Logotipos, datos de contacto, información de copyright y estilo, son idénticos a los de un original. En algunas ocasiones, uno o dos enlaces incluidos en el correo pudieran llevarte a páginas legítimas, sin embargo siempre traen al menos un enlace a descargas de malware o páginas falsas para capturar tu información.
  1. Solicitan información confidencial de forma no solicitada.- Ese es el objetivo de un correo electrónico de phishing. Como regla general: ninguna compañía u organismo que se precie de ser seria te enviará un correo electrónico no deseado -que no es como consecuencia de una solicitud tuya o un proceso que tu iniciaste-, solicitando que accedas un enlace que te pide información confidencial. Una práctica sana es que en una ventana vacía del navegador, accedas la página real en cuestión y de ahí verifiques si realmente se requiere la acción que se te solicita.
  2. Saludos genéricos.- Este tipo de correos están diseñados para ser enviados a muchos destinatarios, de los cuales usualmente sólo tienen una dirección de correo electrónico, de ahí que su saludo sea algo similar a "Estimado cliente", "A todos nuestros cuentahabientes" o sus equivalentes en inglés. Una compañía u organismo que se precie de tener buena atención al cliente enviará correos electrónicos dirigidos a tu nombre.
  1. Enlaces disfrazados.- Los enlaces en el correo electrónico estarán presentados de tal forma que parezcan auténticos. Aún cuando un enlace sea presentado como http://about.com, no garantiza que la dirección a la que realmente enlaza es la que el texto dice.
  2. Imágenes con enlaces.- El correo es en su totalidad una imagen, sobre la cual puedes hacer clic tras lo cual se abre un enlace fraudulento. Si llegas a dar clic involuntariamente sobre esta imagen, cierra inmediatamente la ventana o pestaña del navegador resultante.
  1. Es urgente que actúes.- Este tipo de correos están redactados de tal forma que te den sentido de urgencia a hacer clic en alguno de los enlaces o imágenes que te ofrecen. Frases comunes: tu cuenta debe ser actualizada, tu cuenta está a punto de ser eliminada, se detectó actividad sospechosa en tu cuenta, procedimientos rutinarios que requieren tu verificación, entre otros de la misma naturaleza.

¿Cómo identificar un correo falso?

La siguiente lista enumera los principales indicadores a observar cuando tratas de identificar un correo falso. Ninguno de estos indicadores es infalible ni definitivo, sin embargo son guías para protegerte de mails fraudulentos o de phishing.

  1. Dominio del correo electrónico.- La verificación más básica que se puede hacer es que el dominio del correo electrónico (lo que viene después del símbolo @) corresponda a la compañía que en teoría está enviando el correo. Debe ser un dominio que no deje lugar a dudas que es legítimo. A veces los estafadores hacen falsificaciones que te pueden hacer dudar, por ejemplo un email supuestamente enviado por PayPal es notice@ppal.com, donde ppal.com pudiera sonar a que es parte de PayPal, pero no lo es.
  2. Cuenta equivocada.- Si tienes varias cuentas de correo, una forma sencilla es esta: pregúntate si la dirección a la que te llegó el correo electrónico es la que le proporcionaste a la compañía u organismo que te envió el correo electrónico. De no ser así, puedes decir con certeza que se trata de un intento de fraude.
  1. Archivos adjuntos.- Si una compañía u organismo te envía un documento, casi siempre será en la forma de un PDF. Se debe tener especial cuidado con imágenes. Regla: si el archivo adjunto está en el formato de HTML, EXE, o algún formato que haga que el sistema operativo te pida permiso para ejecutarlo, es casi seguro que se trata de malware o phishing.
  2. Verifica si es una página segura (SSL).- Si hiciste clic en un enlace que trae uno de estos correos electrónicos, asegúrate antes de dar cualquier tipo de información, de que la página esté usando una dirección HTTPS (usa SSL). Las páginas falsas hacen usualmente un buen trabajo en falsificar las verdaderas, pero no pueden falsificar tan fácilmente un certificado de SSL, mismo que toda compañía que maneje dinero o subscripciones debe usar para páginas de información confidencial.
  1. Direcciones engañosas.- Antes de hacer clic en un enlace, pasa el mouse por encima (sin hace clic), esto hace en casi todos los clientes de correo que aparezca la dirección o URL de la página a la que va el enlace, si esta dirección no corresponde a la compañía u organismo que supuestamente envía el correo, es un fraude. Algunas direcciones son engañosas, por ejemplo, PayPal advierte que direcciones como las siguientes son fraudulentas:
    • http://signin.paypal.com@10.19.32.4/
    • http://83.16.123.18/pp/update.htm?=https:// www.paypal.com/=cmd_login_access
    • www.secure-paypal.com
  2. Formas en el correo electrónico.- Un correo electrónico con campos para que pongas tu información es definitivamente un fraude.