Phishing: cómo detectarlo

Antes de interactuar con cualquier correo, SMS (smishing) o código QR (quishing), sigue estos pasos del framework 2025:

• S (Suspende): No hagas clic ni descargues nada ante mensajes de urgencia (ej. 'cuenta bloqueada' o 'paquete retenido').
• T (Toma tiempo): Revisa la dirección del remitente. Desconfía si el dominio no coincide exactamente (ej. @correos-oficial.es en lugar de @correos.es).
• O (Obtén verificación): Contacta a la entidad por un canal oficial independiente (teléfono oficial o app propia).
• P (Procede con cautela): Si decides abrirlo, no introduzcas credenciales. Completado cuando: Hayas memorizado o impreso este checklist para tu zona de trabajo.

Si recibes un enlace o archivo adjunto dudoso, no lo abras directamente.

• Copia la URL (clic derecho > copiar dirección de enlace) y pégala en VirusTotal (virustotal.com).
• Utiliza Bitdefender Link Checker para un análisis de reputación en tiempo real basado en IA.
• Verifica si el enlace utiliza acortadores (bit.ly, t.co) y expándelos antes de analizarlos. Completado cuando: Hayas realizado un escaneo de prueba con una URL conocida y verificado el reporte de seguridad.

Si sospechas que has sido víctima, actúa en este orden exacto:

1. Cambio de contraseñas: Cambia inmediatamente la contraseña de la cuenta afectada y de cualquier otra que comparta la misma clave.
2. Aviso bancario: Si diste datos de tarjeta o cuenta, llama a tu banco para bloquear productos y monitorizar cargos.
3. Escaneo de malware: Ejecuta un análisis completo con un antivirus actualizado (ej. Malwarebytes o Windows Defender).
4. Revocación de sesiones: Cierra todas las sesiones activas en la configuración de seguridad de tu cuenta (Google, Microsoft, Facebook). Completado cuando: Tengas anotado el número de emergencia de tu banco y el protocolo en un lugar físico accesible.

Los gestores de contraseñas son la mejor defensa contra el phishing porque no autorrellenan datos en sitios web falsos.

• Descarga e instala Bitwarden.
• Crea una contraseña maestra robusta.
• Migra tus cuentas principales.
• Activa la función de autorrelleno; si el gestor no reconoce la web, es una señal crítica de phishing. Completado cuando: Tengas al menos 5 cuentas críticas gestionadas en Bitwarden.

Evita el 2FA por SMS, ya que es vulnerable a 'SIM Swapping'.

• Configura Google Authenticator o Authy en tu móvil.
• Activa el 2FA en tu correo principal, banco y redes sociales.
• Guarda los códigos de recuperación en un lugar seguro (fuera del móvil). Completado cuando: Tu cuenta de correo principal requiera un código de aplicación para iniciar sesión.

Ayuda a proteger a otros reportando el ataque:

• Llama al 017 (Línea de Ayuda en Ciberseguridad de INCIBE en España).
• Reenvía correos de phishing a: incidencias@incibe-cert.es.
• Si ha habido pérdida económica, denuncia ante la Policía Nacional o Guardia Civil aportando capturas de pantalla y justificantes bancarios. Completado cuando: Hayas guardado el contacto 'INCIBE 017' en tu agenda telefónica.

El phishing evoluciona con IA. Agenda una cita recurrente para:

• Realizar Egosurfing: Busca tu nombre y DNI en Google para ver si hay datos filtrados.
• Revisar Have I Been Pwned (haveibeenpwned.com) para ver si tu email aparece en brechas de datos recientes.
• Actualizar el software de todos tus dispositivos. Completado cuando: Exista un evento recurrente cada 3 meses en tu calendario digital con estas tareas.