El phishing no ha desaparecido, al contrario. Los correos fraudulentos actuales están bastante mejor hechos que hace unos años y algunos imitan con bastante fidelidad las comunicaciones de bancos, Correos, la Agencia Tributaria o Amazon.
Dicho esto, siempre hay señales que los delatan si sabes dónde mirar.
La dirección del remitente, no el nombre
El nombre que aparece en el campo "De" lo puede poner cualquiera. Lo que no se puede falsificar fácilmente es el dominio real del remitente. Haz clic en el nombre del remitente para ver la dirección completa. Un correo de "Banco Santander" enviado desde [email protected] o [email protected] es falso. El Santander real envía desde @gruposantander.es o @bancosantander.es.
El enlace al que te mandan, antes de hacer clic
Pasa el cursor por encima de cualquier enlace sin hacer clic. En la barra inferior del navegador o del cliente de correo aparecerá la URL real. Si el botón dice "Accede a tu cuenta" pero la URL muestra http://amazon-verificacion.ru/login o cualquier dominio que no sea el oficial, es phishing.
El tono de urgencia artificial
"Tu cuenta será suspendida en 24 horas", "Acción requerida inmediatamente", "Tu paquete no ha podido entregarse, confirma tus datos antes de las 18:00". Este tipo de presión temporal es una técnica deliberada para que actúes sin pensar. Las empresas legítimas rara vez comunican así.
Ejemplos reales frecuentes en España actualmente:
- Correos suplantando a la Agencia Tributaria con "devolución pendiente"
- SMS y correos de Correos con "tu paquete retenido, paga 1,99€"
- Falsos mensajes de Bizum solicitando confirmación de cobro (Bizum nunca envía ese tipo de solicitudes)
- Avisos de seguridad falsos de Google o Microsoft pidiendo verificar la cuenta
No hagas clic en nada. Ve directamente a la web oficial escribiendo la dirección tú mismo en el navegador, o llama al teléfono oficial de la empresa. Nunca uses los datos de contacto que aparecen en el propio correo sospechoso.