El phishing es una técnica de cibercrimen en la que los delincuentes se hacen pasar por entidades conocidas para engañar a los usuarios y obtener información sensible. Estos ataques pueden llegar a través de correos electrónicos, mensajes de WhatsApp y otros medios digitales. Generalmente, apelan a un sentido de urgencia como:
-
«Tu cuenta será suspendida»
-
«Última oportunidad para confirmar tu información»
-
«Acción requerida inmediatamente»
…para que quien recibe el mensaje actúe de forma irreflexiva.
ESET, compañía líder en detección proactiva de amenazas, alerta sobre este ataque que busca robar información personal y acerca consejos para evitar caer en este engaño.
Casos actuales: suplantación de empresas de mensajería
A continuación, ESET analiza algunos ejemplos actuales de casos de phishing por correo electrónico, en los que los cibercriminales simulan una notificación de empresas conocidas de mensajería, con la excusa de resolver un supuesto problema con un envío.
“Como en la mayoría de los correos de phishing se valen de la ingeniería social y apelan a los sentimientos de las personas, como la ansiedad, la urgencia o el miedo. En general buscan interpelar a las personas con asuntos de correo bastante persuasivos, del tipo: Tu paquete está retenido, Falta información para la entrega y Entrega del paquete suspendida”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Las empresas de mensajería suplantadas que identificaron desde ESET son muy reconocidas, como:
-
FedEx
-
DHL
-
UPS
-
Correo Argentino
El cuerpo del mensaje presenta la estética de la marca real, con un alto grado de similitud.
Ejemplos reales de correos falsos
1. ExpressService:
Los actores maliciosos utilizan el nombre de una supuesta empresa de mensajería llamada “Express Service” y apelan al sentido de urgencia con una supuesta entrega suspendida. Al hacer clic en el botón para resolver el problema, el usuario es dirigido a un formulario falso donde sus datos serán recolectados por los cibercriminales.
2. FedEx:
Se suplanta la identidad de FedEx, pidiéndole a la víctima que confirme sus datos para que el supuesto paquete sea enviado.
3. Empresas de shipping:
Otro señuelo muy utilizado es la supuesta actualización del envío, instando a las personas a ver los detalles del estado de entrega.
“En estos dos últimos casos vemos cómo un cargo en la aduana es lo que estaría demorando la entrega del supuesto paquete. De forma que además del robo de información, en formularios falsos, también lleva a realizar un pago que solo irá a la cuenta de los cibercriminales”, acota Gutiérrez Amaya de ESET Latinoamérica.
Advertencias de las empresas reales
Este contexto no pasó desapercibido para las empresas de correo y mensajería.
-
FedEx, en su página web, comparte señales de advertencia comunes sobre el fraude en línea y entrega diversos tips de seguridad. Aclara:
“FedEx no solicita por medio de correo electrónico o correo convencional no solicitado, pagos o información personal a cambio de bienes en tránsito o en custodia de FedEx. Si recibes cualquiera de estas comunicaciones o alguna similar, no respondas ni cooperes con el remitente.”
-
UPS agrega:
“Tenga en cuenta que UPS no pide pagos, información personal, información financiera, números de cuenta, documento de identidad o ID, contraseñas ni copias de modo no solicitado por correo electrónico, correo postal, teléfono o fax, o específicamente a cambio del transporte de bienes o servicios.”
Recomendaciones para evitar el engaño
ESET comparte estas claves para identificar correos maliciosos:
-
Detenerse a pensar si realmente se está esperando un envío. Si la respuesta es “no”, posiblemente se trate de un fraude.
-
Revisar si el remitente es legítimo. Muchas veces, difiere claramente del oficial.
-
Alertarse si se solicita información sensible, personal o bancaria.
-
Verificar el link incluido en el correo: confirmar si lleva al sitio oficial.
-
Observar errores ortográficos o de redacción, aunque hoy estos mensajes han mejorado gracias a la inteligencia artificial.
Acciones preventivas adicionales
Desde ESET también destacan otros puntos clave:
-
Desconfiar de comunicaciones inesperadas con un sentido de urgencia marcado.
-
No hacer clic ni descargar archivos adjuntos.
-
Comunicarse directamente con el servicio de mensajería por canales oficiales para confirmar la autenticidad del mensaje.
-
Verificar siempre que la página donde se ingresan datos personales sea segura y que la URL corresponda a la original.
