Phishing 101

Por /

Todos somos susceptibles a caer en mensajes diseñados para robarnos credenciales, correos, cuentas bancarias, tarjetas o cualquier dato que sirva para suplantar nuestra identidad. Sólo basta revisar la carpeta de Spam para ver decenas de correos con asuntos “cachy” que buscan captar nuestra atención:

“Tu cuenta ha sido suspendida”
“Actualiza tu método de pago”
“Confirma tu identidad”
“Debes esta factura”

Ingeniería social en acción

Hay intentos más elaborados: ataques personalizados donde alguien investiga tu perfil y se hace pasar por reclutador, ejecutivo o contacto profesional. En mi caso, el objetivo era apropiarse de mi cuenta y del dominio guz.mx.

He recibido solicitudes para agendar llamadas y entrevistas para supuestos puestos de Director de Marketing, usando dominios que aparentan ser de Google Careers, pero no lo son.

Este correo lo recibí de una herramienta que se llama Hiri

Nadie de habla hispana dice Programa una conversación. NADIE.

Cómo detectar un correo de phishing


Pasa el cursor sobre los enlaces antes de hacer clic.

Si el enlace apunta a una dirección que no reconoces o que parece una imitación, no entres. Elimina el correo.

El dominio no es el mismo que usa Google Careers

Revisa el remitente completo.
No el nombre visible, sino el correo real (lo que está después del @).
Ejemplo: recruiter@google-careersteam.net no es lo mismo que @google.com.

Analiza el dominio.
Puedes verificar su fecha de creación en who.is o dnschecker.org.
Si fue creado hace pocos días, desconfía.

Ocultaron la data de registro del dominio, pero puedo observar que el registro fue en mi madrugada.

El dominio que usaron hoy fue registrado el mismo día del intento, lo que ya es una señal evidente de intento de engaño.

Pasa el cursor sobre los enlaces antes de hacer clic.

Si el enlace apunta a una dirección que no reconoces o que parece una imitación, no entres. Elimina el correo.

Desconfía de la urgencia.
Los correos falsos suelen crear presión: “última oportunidad”, “cuenta suspendida”, “verifica en 24 horas”.
Nunca compartas tus credenciales.
Ninguna empresa seria pide contraseñas, códigos de acceso ni datos sensibles por correo o formulario externo.

Más allá del correo

El phishing no se limita a Gmail. También ocurre en:

  • SMS (smishing).
  • WhatsApp y Telegram (mensajes de verificación falsos).
  • Facebook, Instagram o X (notificaciones falsas de infracción o copyright).

La regla general: si algo se siente / ve / huele / raro, probablemente lo es.

Sacia morbos:

Si alguien realmente está tan interesado en mi dominio, puede escribirme a tecomprodominio@guz.mx.

Scroll al inicio