El phishing no es solo un clic distraído en una «oferta ventajosa». Es un ataque complejo en el que los ciberdelincuentes combinan ingeniería social, suplantación de dominios, SMS falsos, manipulación de registros DNS y comunicación en vivo en mensajería. Si cae en la trampa, la persona arriesga perder dinero, conversaciones confidenciales, acceso a la red corporativa y reputación, si los atacantes empiezan a enviar spam en su nombre. Abajo hay una guía ampliada que le llevará paso a paso desde la primera sospecha hasta la recuperación total del control de su vida digital.
1. Por qué el phishing es más que un error ocasional
Desde 2020, las estadísticas mundiales muestran un crecimiento sostenido de campañas de phishing dirigidas. Los atacantes recopilan cuidadosamente datos públicos sobre la víctima: revisan perfiles en redes sociales, publicaciones en la web y participaciones en conferencias. Luego preparan correos personalizados o mensajes en mensajería, falsifican la identidad visual de un banco o servicio en la nube y, en ocasiones, crean réplicas exactas de sitios con certificados TLS de Let's Encrypt.
Los escenarios se vuelven cada vez más sofisticados:
- Phishing inteligente — el correo llega a la hora habitual y menciona un proyecto real en el que usted trabajó.
- Chain-phishing — los atacantes comprometen a un colega y mantienen la conversación dentro de una cadena de correos existente, insertando un adjunto malicioso con apariencia de informe.docx.
- Smishing y vishing — SMS de un «banco» desde un número corto real y una llamada telefónica de la «unidad de seguridad» que confirma el correo.
- Phishing con deepfake — vídeo o audio generados con la «voz del director» que exige transferir inmediatamente fondos a un proveedor.
Como resultado, los criminales obtienen:
- Beneficio financiero — desde cargos instantáneos en tarjetas hasta créditos fraudulentos.
- Acceso a la infraestructura — implantación de ransomware y puertas traseras en la red corporativa.
- Datos personales — base para ataques posteriores contra usted y su entorno.
2. Cómo saber si ya fue víctima
A veces la persona se da cuenta del problema inmediatamente después de introducir sus credenciales en un sitio sospechoso, pero con más frecuencia los primeros signos aparecen horas o días después. A continuación hay una descripción ampliada de los síntomas y formas de verificarlos.
| Señal | Explicación detallada | Cómo comprobarlo |
|---|---|---|
| El sitio «se rompió» después de enviar el formulario | El script de la página de phishing suele transmitir los datos y cerrar la sesión de inmediato para que la víctima no tenga tiempo de corregir nada. |
Intente actualizar la página en modo Ctrl + F5. El sitio real se abrirá; el clon, no. |
| Push o correo sobre inicio desde un dispositivo nuevo | Servicios como Google, Apple y Microsoft envían notificaciones si la IP, el navegador o la ubicación de inicio difieren de lo habitual. | Revise el historial de actividad en la configuración de la cuenta. Busque países, navegadores o versiones de SO inusuales. |
| Cargos desconocidos | Microcargos (1–3 ₽) a menudo se usan para probar una tarjeta antes de realizar una transacción mayor. | Abra la banca por internet y filtre las operaciones por importe < 10 ₽ en las últimas 24 h. |
| Los colegas reciben correos «de usted» | En esos correos suele haber un archivo rar/zip con un script malicioso o un enlace a Google Docs que solicita autenticación. |
Pida a los colegas que le reenvíen las cabeceras del correo (campo Received:) para la investigación. |
3. Plan de acción paso a paso
El plan está dividido en cuatro bloques temporales. Siga el orden estrictamente: cada acción previa reduce los riesgos para las siguientes.
3.1 Primeros 10 minutos
Desconectar las comunicaciones: interrumpir temporalmente la conexión a internet en el dispositivo comprometido evita la exfiltración de datos y la descarga de software adicional. Lo más fácil es activar el «Modo avión» o desconectar el cable Ethernet. Si sospecha que el teléfono está infectado, extraiga la tarjeta SIM y apague el Wi‑Fi.
Bloquear instrumentos de pago: los bancos grandes ofrecen códigos de emergencia en la aplicación móvil (por ejemplo, SberBlock) que detienen operaciones al instante. Llame al número que figura en el reverso de la tarjeta solo desde otro teléfono.
Cambio de contraseñas: empiece por el correo «raíz», luego carteras de criptomonedas, almacenamiento en la nube y redes sociales. Use un canal no interceptable: 4G móvil y un navegador con la extensión HTTPS‑Only.
3.2 Durante la primera hora
Comprobar sesiones activas:
- Gmail — menú «Seguridad → Sus dispositivos → Administrar dispositivos».
- Microsoft — «Medidas de seguridad adicionales → Eliminar todos los dispositivos de confianza».
- Yandex.Passport — «Sesiones activas».
Finalice todo lo que no coincida con su IP y agente de navegador.
Revocar tokens OAuth: las páginas de phishing suelen pedir «Iniciar sesión con Google». Abra la lista de permisos y elimine las aplicaciones sospechosas. Revise listas similares en GitHub, Dropbox y Slack.
Activar 2FA: si la cuenta aún no admite llaves de hardware, al menos active una aplicación OTP (Aegis, FreeOTP) en lugar de SMS. El SIM‑swap está muy extendido y los «puertas de enlace de phishing» baratos ya pueden interceptar SMS.
3.3 En las primeras 24 horas
Cooperación con el banco: anote el nombre del operador, el número de referencia y la hora de la llamada. Exija confirmación por escrito de la bloqueo de la tarjeta y del listado de operaciones en disputa. Los bancos suelen ofrecer un «seguro voluntario» de transacciones: compruebe si el servicio está activado.
Live‑disk antivirus: arranque desde una unidad USB como Dr.Web LiveDisk o Kaspersky Rescue y escanee tanto el disco del sistema como el área de arranque. Eso detectará rootkits y cargadores de módulos maliciosos que no son visibles desde el sistema operativo habitual.
Preservación de evidencias:
- Guarde el código HTML del correo (en Gmail — «Descargar original»).
- Anote los dominios, el pool de IP, la fecha y la hora de la visita.
- Archive capturas de pantalla en RAR con contraseña y suma de verificación SHA‑256.
3.4 En el plazo de una semana
Tras apagar el incendio viene la fase jurídica y analítica:
- Respuesta corporativa: cree un ticket en ServiceNow o JIRA dirigido al analista SOC. Adjunte el registro de eventos, la lista de direcciones externas y el punto en el tiempo.
- Denuncia a la policía: en el portal «Gosuslugi» hay una sección para «Reportar un ciberdelito». Adjunte escaneos de evidencias, recibos y la respuesta del banco. La denuncia se registra en el ERDR (registro unificado), lo que facilita el reembolso por seguro.
- Notificación a reguladores: si se han visto afectados datos personales, las personas jurídicas deben informar a Roskomnadzor y a FSTEK en un plazo de 72 horas. Las personas físicas pueden presentar una queja para acelerar el bloqueo del dominio de phishing.
4. Limpieza profunda del dispositivo
Aun cuando el antivirus no detecte malware, es preferible prevenir: el malware moderno usa infecciones UEFI y puede sobrevivir al formateo de la partición del sistema.
- Copia de seguridad: copie los datos solo a un contenedor cifrado (VeraCrypt). No copie archivos ejecutables ni macros.
- Instalación limpia del sistema: descargue la imagen desde el sitio oficial de Microsoft o de la distribución de Linux. Verifique la firma del ISO con el comando
gpg --verify. - Protección básica tras la instalación:
- Active BitLocker / FileVault; anote la clave de recuperación y guárdela fuera de línea.
- Instale uBlock Origin, Et voilà y la extensión de su antivirus.
- Configure actualizaciones automáticas del SO y del software, incluido el firmware de los controladores.
5. Monitorización de las consecuencias
Los atacantes a menudo «explotan» la información robada durante meses para eludir los sistemas antifraude. Por eso el control no termina al recuperar el acceso.
- Alertas bancarias: active SMS por cualquier operación, incluso de 1 ₽. Establezca límites para pagos online (muchos bancos permiten reducirlos hasta 100 ₽).
- Historial crediticio: puede solicitar informes en NBKI y OKB en línea gratis cada tres meses. Vigile nuevos créditos y solicitudes.
- Seguimiento de filtraciones: regístrese en Have I Been Pwned, LeakCheck y Yandex.Security. Configure notificaciones push si su e‑mail o número aparece en nuevas fugas.
6. Prevención
La mejor manera de protegerse del phishing es hacer la ataque económicamente inviable para el atacante.
Gestor de contraseñas
Use una solución segura (Bitwarden, 1Password, KeePassXC). Genera frases únicas y largas y las autocompleta solo en el dominio correcto (comprobación CNAME).
Llaves U2F
Las llaves físicas (YubiKey, Titan, Rutoken Pass) se vinculan físicamente al par de dominios sitio + llave. Incluso si el atacante clona la interfaz, el navegador no entregará la firma U2F a otro dominio.
Formación y simulaciones
Si trabaja en una empresa, ejecute simulaciones regulares de phishing (Gophish, Microsoft Attack Simulator). Es estadísticamente la mejor forma de mejorar la «cibereducación» del personal.
Copia de seguridad
La regla 3‑2‑1: tres copias, en dos soportes distintos, una fuera de la oficina/casa (por ejemplo, en almacenamiento offline o en la nube cifrada).
7. Lista de verificación (chuleta corta)
- 10 minutos: desconectar red → bloquear tarjeta → cambiar contraseñas.
- 1 hora: finalizar sesiones → activar 2FA → revocar tokens.
- 24 horas: contactar con el banco → antivirus → recopilar evidencias.
- 7 días: presentar denuncias → notificar a reguladores → solicitar informe crediticio.
Conclusión
El phishing es un fenómeno masivo: diariamente se registran cientos de nuevos dominios que imitan marcas. El error le puede ocurrir a cualquiera, pero sus consecuencias dependen directamente de la rapidez de la respuesta. Cuanto antes corte los canales de comunicación y documente el incidente, más difícil será para el atacante monetizar sus datos. Mantenga la chuleta a mano, realice entrenamientos periódicos e invierta en prevención: es más barato que recuperar la reputación y las finanzas tras un ataque exitoso.
