¿Qué hacer si ha hecho clic en un enlace de phishing?

Cathy Daniels

20-05-2023 Consejos
  • Compartir Este
Cathy Daniels

No te asustes, probablemente estés bien.

Probablemente todos hemos caído en la trampa. Estamos navegando sin pensar por nuestro correo electrónico, hacemos clic en un enlace de uno de ellos y nos redirige a una página en la que se nos pide que introduzcamos nuestro nombre de usuario y contraseña. O aparece una ventana emergente con anuncios basura y un cartel de advertencia que dice: "¡Ha sido infectado!".

Me llamo Aaron. Soy abogado y profesional de la ciberseguridad con más de una década de experiencia. También he hecho clic en un enlace de phishing antes.

Hablemos un poco sobre el phishing: qué es, qué hacer si hace clic en un enlace malicioso y cómo defenderse de él.

Puntos clave

  • El phishing es una forma de conseguir que revele información o proporcione dinero.
  • El phishing es un ataque de oportunidad a gran escala.
  • Si ha sido víctima de un phishing, mantenga la calma, presente una denuncia a la policía, hable con su banco (si procede) e intente eliminar los virus de su ordenador (si procede).
  • La mejor defensa contra el phishing es saber cómo es y evitarlo si es posible.

¿Qué es el phishing?

El phishing es la pesca con un ordenador. Imagínese esto: alguien, en algún lugar, ha escrito un correo electrónico diseñado para estafar información y dinero. Ese es el señuelo. Lanzan su línea enviando el correo electrónico a cientos de personas elegidas al azar. Entonces esperan. Eventualmente, alguien responderá, o hará clic en su enlace, o descargará un virus del correo electrónico y tendrán su captura.

Eso es todo. Muy simple, pero muy devastador. Es la principal forma en que se inician los ciberataques, hoy en día. Voy a entrar en lo que un correo electrónico de phishing parece más tarde, pero hay algunas formas comunes de un ciberataque ocurre a través de phishing. El tipo de ataque es relevante para lo que debe hacer a continuación.

Solicitud de información o dinero

Algunos correos electrónicos de phishing solicitan información, como un nombre de usuario y una contraseña, o piden dinero. Probablemente todos hemos oído hablar de la estafa del príncipe nigeriano, en la que un príncipe nigeriano te envía un correo electrónico diciendo que has heredado millones de dólares, pero que tienes que enviar unos cuantos miles en concepto de gastos de tramitación. No hay millones, pero puedes perder miles si caes en la trampa.

Adjuntos maliciosos

Esta es una de mis favoritas y la voy a presentar con una anécdota. Alguien que trabaja para una empresa, que nunca ha gestionado una factura para la compañía, recibe un correo electrónico que dice: "¡Factura vencida! ¡Pague inmediatamente!" Hay un archivo adjunto en PDF. Ese empleado entonces abre la factura -a pesar de no haberlo hecho nunca antes- y se despliega un malware en su ordenador.

El archivo adjunto malicioso es un archivo que puede ser abierto por el destinatario y que, al abrirse, descarga y ejecuta un virus u otra carga útil maliciosa.

Enlace malicioso

Esto es similar al Adjunto Malicioso, pero en lugar de un adjunto, hay un enlace. Ese enlace puede hacer algunas cosas:

  • Puede redirigir a un sitio de aspecto legítimo, pero ilegítimo (por ejemplo: un sitio que parece una página de inicio de sesión de Microsoft que no lo es).
  • Puede descargar y ejecutar un virus u otra carga útil maliciosa en su ordenador.
  • También puede ir a un sitio que bloquea la entrada del usuario y hace parecer que ha descargado algo malicioso y pide un pago para desbloquearlo.

¿Qué hacer si ha sido víctima de un phishing?

Hagas lo que hagas, no te asustes. Mantén la cabeza fría, respira profundamente y piensa en lo que te he dicho aquí.

Mantenga sus expectativas razonables. La gente será comprensiva y querrá ayudarte, pero al mismo tiempo hay cosas que no puedes hacer. Por ejemplo, es difícil recuperar el dinero después de haberlo transferido. No es imposible, pero sí difícil. Otro ejemplo: no puedes cambiar tu número de la Seguridad Social sin más (para los lectores estadounidenses). Hay un listón muy alto que tienes que cumplir para que se haga ese cambio.

Independientemente de lo que ocurra, llama a las fuerzas de seguridad locales. En EE.UU. puedes llamar a la policía y al FBI. Aunque no puedan ayudarte con tu problema inmediato, reúnen información para la gestión de tendencias e investigaciones. Recuerde que pueden pedirle una copia de su disco duro como prueba. Evalúa si quieres o no seguir esa opción.

Si realiza un pago por cualquiera de estas formas de phishing, presentar una denuncia policial le ayudará con el siguiente paso, que es llamar a su banco o al departamento de fraude de su tarjeta de crédito para iniciar una acción de recuperación. Puede que no tenga éxito, en última instancia, pero vale la pena intentarlo.

Solicitudes de información o dinero

Si ha respondido a un correo electrónico o ha hecho clic en un enlace y ha proporcionado su información personal o un pago, debería presentar una denuncia a la policía, ya que eso ayudará a recuperar los fondos o a gestionar posibles robos de identidad en el futuro.

Si ha proporcionado su número de la Seguridad Social u otra información personal identificable, puede ponerse en contacto con las tres principales agencias de crédito Equifax, Experian y TransUnion para congelar su crédito.

Eso evita que se contraten líneas de crédito fraudulentas (por ejemplo, préstamos, tarjetas de crédito, hipotecas, etc.) a su nombre. Esa es una recomendación muy centrada en Estados Unidos, así que póngase en contacto con las autoridades crediticias de su país (si no son las tres anteriores) para tratar las líneas de crédito fraudulentas en su país.

Adjuntos maliciosos

Lo más probable es que Windows Defender, o el software de detección y respuesta de malware de su elección, detenga esto automáticamente. Si no lo hace, entonces verá problemas de rendimiento muy importantes, información cifrada inaccesible o información eliminada.

Si no puede solucionar el problema con un software antimalware para puntos finales, es posible que tenga que volver a formatear el ordenador y reinstalar Windows Aquí tienes un sencillo vídeo de YouTube sobre cómo hacerlo.

¡Pero voy a perder todos mis archivos importantes! Si no tienes una copia de seguridad, sí. Sí, lo harás.

Ahora mismo: abre una cuenta de Google, Microsoft o iCloud. En serio, deja de leer aquí, ve a crear una y vuelve. Sube todos tus archivos importantes a ella.

Todos esos servicios te permiten acceder a tus archivos desde tu ordenador y utilizarlos como si estuvieran en él. También te permiten controlar las versiones. En el peor de los casos, cuando los archivos están encriptados, puedes revertir las versiones de los archivos y volver a ellos.

No hay ninguna razón para no establecer almacenamiento en la nube y pon todos tus archivos importantes sin cerrar allí.

Enlace malicioso

Si el enlace malicioso desplegó un virus o malware y tienes problemas con él, sigue las indicaciones de la sección anterior, Adjuntos maliciosos.

Si el enlace malicioso le pidió que introdujera un nombre de usuario y una contraseña, debe restablecer su contraseña inmediatamente. También le recomiendo que restablezca su contraseña en cualquier otro lugar donde haya utilizado esa misma contraseña con el mismo nombre de usuario o uno similar. Cuanto antes lo haga, mejor, así que no lo posponga.

¿Cómo puede detectar un correo electrónico de phishing?

Hay algunas cosas que hay que tener en cuenta para identificar un correo electrónico de phishing.

¿El mensaje proviene de una fuente legítima?

Si el mensaje pretende ser de Adobe, pero la dirección de correo electrónico del remitente es @gmail.com, es poco probable que sea legítimo.

¿Hay errores ortográficos importantes?

Esto no es revelador por sí solo, pero en combinación con otras cosas indica que algo puede ser un correo electrónico de phishing.

¿Es urgente el correo electrónico? ¿Le pide que actúe de inmediato?

Los correos electrónicos de phishing se aprovechan de tu respuesta de lucha o huida para que actúes. Si se ponen en contacto contigo, por ejemplo, la policía, llama a la policía y comprueba si realmente te están buscando.

La mayoría de los pagos que se realizan no son en tarjetas de regalo de Google Play o iTunes.

Siguiendo la línea de lo anterior, muchos esquemas fraudulentos le piden que pague con tarjetas de regalo, porque son en gran medida imposibles de rastrear y no son reembolsables una vez utilizadas. Las organizaciones oficiales o las fuerzas del orden no le pedirán que pague cosas con tarjetas de regalo. Siempre.

¿Se espera la solicitud?

Si te dicen que hagas un pago o te arresten, ¿has hecho la cosa de la que te acusan? Si te piden que pagues una factura, ¿esperas una factura?

Si te piden que introduzcas una contraseña, ¿el sitio parece legítimo?

Si se te redirige a un inicio de sesión de Microsoft o Google, cierra el navegador por completo, vuelve a abrirlo y, a continuación, inicia sesión en Microsoft o Google. Si se te pide que introduzcas la contraseña de ese servicio después de iniciar sesión, no es legítimo. Nunca introduzca su contraseña a menos que usted mismo vaya al sitio web legítimo.

Preguntas frecuentes

Vamos a cubrir algunas de sus preguntas sobre los enlaces de phishing.

¿Qué hacer si he hecho clic en un enlace de phishing en mi iPhone/iPad/teléfono Android?

Siga las instrucciones anteriores. Lo bueno de un iPhone, iPad o Android es que hay muy pocos virus o malware basados en la web o en archivos adjuntos para esos dispositivos. La mayoría de los contenidos maliciosos se entregan a través de las tiendas de aplicaciones o de Play Store.

¿Qué hacer si he hecho clic en un enlace de phishing pero no he introducido los datos?

¡Felicidades, estás bien! Has detectado el phishing y lo has evitado. Eso es exactamente lo que debes hacer con los enlaces de phishing: no introducir tus datos. Trabaja para no interactuar con ellos la próxima vez. Mejor aún, ¡denuncia el spam/phishing a Apple, Google, Microsoft o a quien sea tu proveedor de correo electrónico! Todos ellos aportan algo.

Conclusión

Si has sido víctima de un phishing, mantén la calma y gestiona tus asuntos. Llama a las fuerzas del orden, contacta con las instituciones financieras afectadas, congela tu crédito y restablece tus contraseñas (todo ello según corresponda). Con suerte, también has seguido mi consejo anterior y has configurado el almacenamiento en la nube. Si no es así, ¡vaya a configurar el almacenamiento en la nube ahora!

¿Qué más haces para mantener tus datos a salvo? ¿En qué te fijas para evitar los correos electrónicos de phishing? Házmelo saber en los comentarios.

Publicación anterior 58 atajos de teclado de Lightroom para Windows y macOS
Siguiente publicación Cómo descargar contactos de iCloud (4 pasos)

Soy Cathy Daniels, experta en Adobe Illustrator. He estado usando el software desde la versión 2.0 y he estado creando tutoriales para él desde 2003. Mi blog es uno de los destinos más populares en la web para las personas que quieren aprender Illustrator. Además de mi trabajo como blogger, también soy autor y diseñador gráfico.