Imagina recibir un mensaje que dice: "Acción requerida para tu cuenta bancaria". Haces clic y, sin saberlo, tu teléfono empieza a transmitir tus mensajes, contactos y hasta lo que captura tu cámara. Eso es phishing, y aprender a identificarlo es la primera línea de defensa para proteger tu información personal y la de tu empresa.

El caso de Pegasus en México, donde más de 50 mil personas, entre periodistas y activistas, fueron víctimas, muestra que un solo clic puede convertir tu dispositivo en un espía dentro de tu bolsillo. Y todo empieza con un engaño bien diseñado.

Qué es un ataque de phishing y por qué se llama así

Un ataque de phishing busca convencerte, mediante un email o un SMS, de entregar información o ejecutar una acción que termine comprometiendo tus tecnologías. La palabra es una analogía con fishing (pescar) en inglés, pero escrita con PH.

La comparación es sencilla: el mar es internet, los peces son los usuarios, el anzuelo es el engaño y la carnada es ese contenido llamativo o urgente que te empuja a morder. Los atacantes envían cientos de miles de correos sabiendo que, en promedio, el 1% de las personas cae. Si mandan 100 mil correos, mil usuarios terminan comprometidos.

¿Qué es phishing en ciberseguridad? Es un ataque que usa correos, SMS o llamadas para engañarte y obtener información sensible o instalar malware en tu dispositivo. Funciona por volumen: basta con que un porcentaje muy pequeño caiga.

Cómo identificar un correo de phishing paso a paso

Los correos de phishing comparten patrones repetidos. Si los conoces, los detectas a tiempo.

• Sentido de urgencia: solicitudes tipo "tu cuenta será eliminada en 24 horas" buscan que actúes sin pensar.
• Remitente sospechoso: revisa el dominio. Un atacante puede comprar plátzi.com con tilde, o cambiar una L minúscula por una I mayúscula para imitar platzi.com.
• Horario inusual: muchos ataques vienen de India, Rusia o África, así que llegan fuera de tu horario laboral.
• Enlaces engañosos: un dominio como platzi.sab.system.com parece de Platzi, pero el dominio real es system.com y todo lo demás son subdominios creados por el atacante.
• Archivos adjuntos no esperados: si no estabas esperando un archivo, no lo abras. Confirma con quien lo envió o repórtalo a TI.

La regla práctica: si un mensaje combina urgencia, un remitente raro y un enlace o adjunto, trátalo como sospechoso hasta verificarlo.

Cuáles son las variantes de phishing más comunes

No todos los ataques llegan por correo tradicional. Los atacantes diversifican el canal para aumentar su tasa de éxito.

• Spear phishing: pesca con lanza. El atacante elige una empresa específica, investiga a sus empleados y diseña mensajes mucho más sofisticados y creíbles.
• Vishing: el engaño llega por llamada telefónica usando la voz para presionarte.
• Smishing: el ataque se ejecuta por SMS, normalmente con un enlace y una alerta urgente.
• BEC (Business Email Compromise): el atacante compromete primero el correo legítimo de un empleado y, desde ahí, ataca a sus compañeros, que confían en el remitente real.

¿Qué es smishing y cómo se diferencia del phishing? Smishing es phishing por SMS. Usa los mismos principios de urgencia y enlaces falsos, pero llega a tu celular como mensaje de texto en vez de correo.

Cómo verificar si un enlace es seguro con Virus Total

Cuando dudes de un enlace, no lo abras: analízalo. Virus Total es una herramienta gratuita que revisa archivos y URLs contra múltiples sistemas de detección.

El proceso es directo:

1. Busca "Virus Total" en Google y entra al primer resultado.
2. Selecciona la pestaña de URL.
3. Pega el enlace sospechoso y revisa el reporte.

Si el sitio aparece limpio, sin alertas de blacklist ni spam, como ocurre con platzi.com, es señal de buena reputación. Si aparece marcado por varios motores, evítalo y reporta el correo.

¿Cómo saber si un enlace es phishing? Cópialo (sin abrirlo) y pégalo en Virus Total. Si varios motores lo marcan como malicioso o el dominio no coincide con el oficial, es phishing.

Casos reales de phishing dirigido a periodistas y activistas

El smishing no es teórico. En México, figuras como Griselda Triana, Ricardo Anaya, Carmen Aristegui y Carlos Loret de Mola recibieron SMS con mensajes muy llamativos o urgentes y un enlace que, al abrirse, comprometía sus dispositivos para monitorearlos y espiarlos.

Esto refuerza algo importante: los ataques no solo buscan tarjetas de crédito. También buscan acceso, información y vigilancia, y los métodos siguen evolucionando.

Habilidades y conceptos clave de la clase

Estos son los términos que te conviene dominar para protegerte y proteger a tu organización.

• Phishing [0:42]: ataque por email o SMS para obtener información o hackear tecnologías.
• Analogía de pesca [1:00]: mar = internet, peces = usuarios, anzuelo = engaño, carnada = contenido urgente.
• Tasa de éxito del 1% [1:35]: de 100 mil correos enviados, mil usuarios caen.
• Sentido de urgencia [2:08]: técnica para que actúes sin verificar.
• Suplantación de dominio [2:30]: comprar dominios con tildes o letras parecidas para imitar marcas.
• Análisis de subdominios [3:18]: en platzi.sab.system.com el dominio real es system.com.
• Spear phishing [4:00]: ataque dirigido a una organización específica con investigación previa.
• Vishing [4:30]: phishing por llamadas de voz.
• Smishing [4:33]: phishing por SMS.
• BEC, Business Email Compromise [4:38]: ataque desde un correo legítimo ya comprometido.
• Virus Total [5:50]: herramienta para verificar la reputación de archivos y URLs.

Ahora te toca a ti: revisa tu bandeja de entrada, identifica un correo sospechoso, anota qué características de phishing cumple y analiza su enlace en Virus Total. Cuéntame en los comentarios qué encontraste.