Lista de comprobación para la prevención del phishing

El phishing se ha convertido en una de las amenazas más habituales en Internet, que afecta tanto a particulares como a organizaciones en la vida digital actual.

Los ciberdelincuentes utilizan correos electrónicos, mensajes de texto y páginas web falsas para engañar a las personas y que revelen información personal o financiera, y estas estafas pueden resultar muy convincentes, ya que a menudo imitan a marcas de confianza o a compañeros de trabajo. Saber cómo detectar y responder ante los intentos de phishing es un paso importante para mantener tu información a salvo. Esta lista de comprobación para la prevención del phishing destaca los aspectos clave a los que debes prestar atención y las medidas sencillas que puedes tomar para protegerte en Internet.

Esta lista de comprobación está pensada para uso interno. Se trata de una guía de referencia sencilla destinada a ayudar a todos los empleados de tu empresa a detectar y evitar los intentos de phishing. Revísala y tenla a mano.

1. Piénsalo bien antes de hacer clic

Ten cuidado con cualquier enlace o archivo antes de abrirlo.

• Antes de nada, espera un momento: no hagas clic en los enlaces hasta que sepas adónde te llevan.
• Pasa el cursor por encima para ver la dirección real: mantén el cursor sobre un enlace para comprobar la dirección real.
• Archivos inesperados: si no esperabas recibir un archivo adjunto, confirma con el remitente.

2. Comprueba bien quién es el remitente

Comprueba siempre quién ha enviado realmente el mensaje.

• No te fijes solo en el nombre que aparece en pantalla: despliega los detalles del correo electrónico para ver la dirección real del remitente.
• Presta atención a los cambios sutiles: unas letras intercambiadas o unos símbolos de más pueden hacer que una falsificación parezca auténtica.

3. Detectar solicitudes urgentes o inusuales

La urgencia y la sorpresa son tácticas de ataque habituales.

• Ten cuidado con la presión del tiempo: los delincuentes suelen insistir en que actúes de inmediato.
• Nuevos datos de pago: cualquier solicitud de modificación de los datos bancarios o de facturación deberá verificarse por separado.
• Tarjetas regalo o premios inesperados: suelen ser un indicio de fraude.

4. Confía, pero verifica las llamadas y los mensajes

Las llamadas telefónicas, los mensajes de texto y los mensajes de chat también pueden ser manipulados.

• La voz se puede falsificar: los atacantes pueden imitar a los directivos o a los compañeros de trabajo.
• No compartas nunca los códigos: no debes facilitar a nadie los códigos de autenticación multifactorial ni las contraseñas.
• Cuelga y vuelve a llamar: utiliza un número de confianza si la llamada te parece sospechosa.

5. Busca pistas en el contenido

A menudo, los pequeños detalles del mensaje delatan las estafas.

• Saludos extraños: «Estimado cliente» o «Hola, usuario» en lugar de tu nombre.
• Formato o colores extraños: logotipos incoherentes, tipografías que no combinan o imágenes borrosas.

6. Mantén a salvo tus datos de acceso

Las contraseñas y los códigos de acceso lo protegen todo, así que trátalos con cuidado.

• Las contraseñas son privadas: ni el departamento de informática ni ningún proveedor debería solicitarlas.
• Contraseñas únicas: evita utilizar la misma contraseña en varias cuentas.
• Informa lo antes posible: si sospechas que se ha producido una brecha de seguridad, ponte en contacto con el departamento de seguridad de inmediato.

7. Informa rápidamente de cualquier actividad sospechosa

Notificar los incidentes a tiempo evita que los pequeños incidentes se conviertan en infracciones.

• Utiliza el botón «Denunciar phishing»: es la forma más sencilla de avisar al equipo de seguridad.
• Reenviar a un buzón de seguridad: por ejemplo, phish@[tuempresa].com.
• Notifica las llamadas o mensajes sospechosos: ponte en contacto con el departamento de TI si una llamada o un mensaje te parecen extraños.

8. En caso de duda, detente

Es mejor comprobarlo que arriesgarse a cometer un error.

• Tómate tu tiempo para pensar: una pausa puede evitar una infracción.
• Pregunta a un compañero o a tu jefe: merece la pena pedir una segunda opinión rápida.

9. Mantén tus dispositivos actualizados

Las actualizaciones corrigen las vulnerabilidades conocidas que aprovechan los atacantes.

• Instala las actualizaciones: corrige sin demora las vulnerabilidades conocidas.
• Reinicia el ordenador con regularidad: muchas actualizaciones solo se completan tras reiniciar el sistema.

10. Mantente alerta más allá del correo electrónico

Las amenazas pueden llegar a través de cualquier canal digital.

• Piénsalo antes de compartir nada: compartir demasiada información en las redes sociales ayuda a los atacantes a elaborar un perfil tuyo.
• Presta atención a los mensajes de texto y a las plataformas de chat: las estafas aparecen en Teams, WhatsApp, Telegram, LinkedIn y otras plataformas.
• Ten cuidado con los códigos QR: escanéalos solo si proceden de fuentes fiables.

Contactos rápidos

Rellena los datos de tu organización a continuación antes de compartir esta a nivel interno.

Denunciar un correo electrónico sospechoso: phish@[tuempresa].com

Servicio de asistencia urgente: +44 (0)xxx xxx xxxx

Canal de chat del equipo de seguridad: [insertar enlace si procede]

Los ciberdelincuentes buscan constantemente nuevas formas de engañar, pero con un poco de precaución y atención, puedes ir un paso por delante. Si sigues esta lista de comprobación para prevenir el phishing, te tomas un momento para pensar antes de hacer clic en los enlaces y denuncias cualquier cosa que te parezca sospechosa, podrás protegerte a ti mismo y a los demás frente a las estafas de phishing.