Inicio / Módulos / Módulo 01
🎣 Módulo 01 — Alto riesgo

Phishing y correo malicioso

El phishing es el vector de ataque número 1 en el mundo. Aprende a reconocerlo, evitarlo y reportarlo antes de que cause daño.

¿Qué es el phishing?

El phishing es un ataque de ingeniería social donde los delincuentes se hacen pasar por entidades legítimas —bancos, empresas de tecnología, colegas o el propio equipo directivo— para engañarte y que entregues información confidencial: contraseñas, datos bancarios, acceso a sistemas.

🎯
Dato crítico
El phishing es consistentemente el vector de entrada más común en los ciberataques a empresas (Verizon DBIR). Un solo clic equivocado puede comprometer toda la red.

Tipos de phishing que debes conocer

  • Phishing masivo: Correos genéricos enviados a millones de personas. "Tu cuenta de banco fue bloqueada, haz clic aquí."
  • Spear phishing: Dirigido específicamente a una persona o empresa. El atacante investiga a su víctima antes del ataque.
  • Whaling: Spear phishing dirigido a directivos (CEO, CFO). Alto impacto si tiene éxito.
  • Smishing: Phishing por SMS o WhatsApp. "Tienes un paquete detenido, verifica aquí."
  • Clone phishing: Copia exacta de un correo legítimo con el enlace reemplazado por uno malicioso.
  • Quishing: códigos QR maliciosos en correos, carteles o mesas que llevan a sitios falsos. En tiendas y bodegas, desconfía de QR pegados encima de otros.
Phishing, Smishing y Vishing — Curso de Concientización en Ciberseguridad (Español Latino)
Video complementario: Quishing — cómo prevenir ataques con códigos QR (Español)
🔍
Ejercicio práctico: Analiza este correo
Identifica las señales de phishing en el correo de abajo

Pasa el cursor sobre los elementos marcados en naranja para ver la explicación. ¿Cuántas señales de alerta encontraste?

🤖
El phishing con IA ya no tiene faltas de ortografía
Los atacantes usan inteligencia artificial para redactar correos perfectos y personalizados. Un correo bien escrito NO es garantía de legitimidad: verifica siempre el remitente y la URL.

Señales de phishing identificadas — marca las que detectaste:

💡
Regla de oro
Antes de hacer clic en cualquier enlace: pasa el cursor por encima y revisa la URL completa. Si algo no cuadra, NO hagas clic. Reporta el correo a TI inmediatamente. En el celular: mantén presionado el enlace (sin soltar) para ver la URL completa antes de abrirlo.

Cómo verificar si un correo es legítimo

🔍
Verifica el remitente
Revisa el dominio completo del correo, no solo el nombre. Haz clic en el nombre para ver la dirección real.
🔗
Inspecciona los enlaces
Pasa el cursor sobre el enlace antes de hacer clic. La URL que aparece en la barra inferior debe coincidir con la empresa.
📞
Confirma por otro canal
Si el correo pide algo urgente, llama directamente a la persona o empresa por un número que ya tengas guardado.
⚠️
Desconfía de la urgencia
Las organizaciones legítimas no te presionan con plazos de horas para resolver problemas críticos por correo.

🧠 Autoevaluación rápida — Módulo 01

4 preguntas
Pregunta 1 de 4

Recibes un correo de "soporte@micros0ft.com" pidiéndote que restablezcas tu contraseña. ¿Cuál es la primera señal de alerta?

Pregunta 2 de 4

Un correo de tu banco tiene un botón que dice "Acceder a mi cuenta". ¿Qué debes hacer antes de hacer clic?

Pregunta 3 de 4

¿Qué es el "spear phishing"?

Pregunta 4 de 4

Recibes un correo sospechoso de phishing en tu correo de trabajo. ¿Cuál es la acción correcta?

Puntaje:
📣
¿Detectaste algo sospechoso? Repórtalo
Avisa de inmediato a tu coordinador o al área de TI. Reportar a tiempo nunca te mete en problemas: contener un incidente temprano vale más que cualquier error.
Siguiente: Vishing y estafas telefónicas