certmundo.
es‑mx
Ciberseguridad Básica3/8

6 min de lectura

¿Qué es el phishing y cómo identificar un mensaje falso?

El phishing es una técnica de engaño digital donde alguien finge ser una empresa o persona de confianza para robarte información personal, contraseñas o dinero.

¿Cuánto daño hace realmente el phishing en México?

Antes de continuar, responde esto mentalmente: ¿cuántas personas crees que caen en mensajes falsos cada año en México?

La mayoría responde "unas cuantas miles". La realidad es diferente. Según el Estudio de Ciberseguridad 2023 de la Asociación de Internet MX, México ocupa el segundo lugar en América Latina en ataques de phishing recibidos. El 43% de los usuarios mexicanos reportó haber recibido al menos un intento de phishing en el último año. Más impactante: el 18% de ellos cayó en la trampa.

Eso significa que casi 1 de cada 5 personas que recibe un mensaje falso da clic, ingresa sus datos o transfiere dinero. No porque sean descuidadas. Sino porque los mensajes están diseñados para engañar incluso a personas precavidas.

Por qué el engaño funciona: el Modelo del Gancho Emocional

El phishing no es un problema de tecnología. Es un problema de psicología.

Los atacantes usan lo que podemos llamar el Modelo del Gancho Emocional: provocan una emoción intensa que te impide pensar con claridad antes de actuar. Hay tres emociones que usan con más frecuencia:

Miedo: "Tu cuenta de BBVA ha sido bloqueada. Verifica ahora o perderás acceso permanentemente."

Urgencia: "Tienes 24 horas para reclamar tu paquete en Mercado Libre antes de que sea devuelto."

Codicia: "Liverpool te seleccionó como ganador de un vale de $5,000. Reclama hoy."

Cuando sientes miedo, urgencia o emoción por una ganancia, tu cerebro quiere actuar rápido. Eso es exactamente lo que el atacante necesita. Una persona que piensa despacio detecta el engaño. Una persona que actúa rápido, no.

Las cuatro señales de un mensaje falso

Ahora que entiendes el mecanismo, veamos cómo identificar el engaño antes de caer. Existen cuatro señales que aparecen en casi todos los mensajes de phishing.

1. El remitente no coincide con la empresa real

Un correo real de Mercado Libre llega desde dominios como @mercadolibre.com.mx. Un mensaje falso puede llegar desde @mercadolibre-soporte.net, @ml-ayuda.com o incluso @gmail.com.

Revisa siempre la dirección completa del remitente, no solo el nombre. Los atacantes pueden poner cualquier nombre visible, como "Servicio al cliente FEMSA", pero la dirección real delata el engaño.

Ejemplo real: en 2022, circuló en México un correo falso que imitaba al SAT. El nombre visible decía "SAT México - Notificación Fiscal". La dirección real era sat-notificaciones@fiscalmexico.org. El dominio fiscalmexico.org no tiene ninguna relación con el gobierno mexicano.

2. El enlace te lleva a un sitio diferente al real

Antes de dar clic en cualquier enlace, coloca el cursor encima sin hacer clic. En la parte inferior de tu pantalla aparecerá la dirección real a la que te lleva.

Un mensaje que dice "Ingresa a tu cuenta de Liverpool" debería llevarte a liverpool.com.mx. Si el enlace muestra algo como liverpool-verificacion.com o liverpool.com.seguridad-mx.net, es falso.

También busca errores en el dominio: 1iverpool.com (con el número 1 en lugar de la letra l), mercad0libre.com (con cero en lugar de la o), o bimbo-premios.net (dominio inventado). Esta técnica se llama typosquatting y engaña al ojo descuidado.

3. El mensaje tiene errores de redacción o formato extraño

Las empresas grandes como Bimbo, FEMSA o Liverpool tienen equipos de comunicación profesionales. Sus mensajes oficiales no tienen errores de ortografía, frases raras ni mayúsculas al azar.

Un mensaje que dice "ESTIMADO CLIENTE: Su cuenta ha sido SUSPENDIDA por actividades inusuales. Haga clic AQUÍ para RE-ACTIVAR" tiene tres señales al mismo tiempo: mayúsculas innecesarias, mayúsculas mezcladas y lenguaje de presión.

No todos los mensajes falsos tienen errores graves. Los más sofisticados están bien redactados. Pero cuando hay errores, es una señal clara.

4. Te pide información que ninguna empresa legítima pide por mensaje

Esta es la señal más importante. Memorízala.

Ninguna empresa legítima te pedirá por correo, SMS o WhatsApp:

  • Tu contraseña
  • Tu NIP bancario
  • El código de verificación que llegó a tu celular
  • El número completo de tu tarjeta
  • Tu CURP o RFC para "verificar" tu identidad

Bancos, el SAT, el IMSS y tiendas como Liverpool tienen canales seguros para solicitar información cuando es necesario. Si un mensaje te pide datos sensibles de forma urgente, detente. Llama directamente a la empresa usando el número de su sitio web oficial.

Cómo se ve el phishing en la práctica: tres escenarios mexicanos

Escenario 1 - El falso paquete de Mercado Libre: Recibes un SMS que dice: "Tu paquete #ML-88423 no pudo entregarse. Paga $85 de re-envío aquí: [enlace]". El enlace te lleva a una página que imita a Mercado Libre. Si ingresas tu tarjeta, el cargo real puede ser de miles de pesos.

Escenario 2 - La notificación falsa del SAT: Llega un correo con el logo del SAT que dice que tienes una devolución de impuestos pendiente por $3,200. Para recibirla, debes "verificar" tu cuenta bancaria. El SAT real nunca solicita datos bancarios por correo.

Escenario 3 - El WhatsApp del "banco": Te llega un mensaje de WhatsApp desde un número desconocido. Dice ser del área de seguridad de tu banco. Te avisa que detectaron un cargo sospechoso de $12,500 y necesitan que confirmes tu NIP para cancelarlo. Si lo das, vacían tu cuenta.

En los tres casos, el Modelo del Gancho Emocional está activo: miedo a perder el paquete, codicia por la devolución, miedo al cargo no reconocido.

Qué hacer cuando recibes un mensaje sospechoso

Sigue estos tres pasos antes de actuar sobre cualquier mensaje que despierte urgencia o miedo:

Paso 1 - Pausa. No hagas nada por 60 segundos. La urgencia artificial se disuelve cuando te das tiempo para pensar.

Paso 2 - Verifica por canal oficial. Abre tu navegador y escribe la dirección de la empresa directamente (no uses el enlace del mensaje). Revisa si hay alguna alerta real en tu cuenta.

Paso 3 - Reporta el mensaje. En México, puedes reportar intentos de phishing a la Condusef (para fraudes financieros) o a la SSPC. Reportar ayuda a proteger a otras personas.

Si ya diste clic y llenaste un formulario con tus datos, actúa rápido: cambia tu contraseña de inmediato, avisa a tu banco si compartiste datos financieros y activa la verificación en dos pasos en tus cuentas principales.

El detector de tres segundos

Antes de dar clic en cualquier mensaje, hazte estas tres preguntas:

  1. ¿Me está generando urgencia, miedo o emoción?
  2. ¿El remitente o el enlace tienen algo raro?
  3. ¿Me está pidiendo información que normalmente no piden?

Si una sola respuesta es "sí", detente y verifica por otro canal. Este hábito tarda tres segundos y puede evitarte perder desde $500 hasta $30,000 o más.

La diferencia entre quien cae y quien no cae en el phishing no es la inteligencia. Es el hábito de pausar antes de actuar.

Puntos clave

  • El phishing usa el Modelo del Gancho Emocional: provoca miedo, urgencia o codicia para que actúes antes de pensar con claridad.
  • Hay cuatro señales clave de un mensaje falso: remitente sospechoso, enlace diferente al sitio real, errores de redacción y solicitud de datos sensibles.
  • Ninguna empresa legítima (bancos, SAT, IMSS, Liverpool, Mercado Libre) te pedirá tu contraseña, NIP o código de verificación por correo o WhatsApp.
  • Antes de dar clic en cualquier mensaje urgente, pausa, verifica en el sitio oficial de la empresa y reporta el intento si es falso.
  • El 18% de los mexicanos que reciben mensajes de phishing caen en la trampa; el antídoto no es desconfianza total, sino el hábito de verificar antes de actuar.

Comparte esta lección:

WhatsAppLinkedIn
Siguiente lección →← Lección anterior
¿Qué es el phishing y cómo identificar un mensaje falso? | Ciberseguridad Básica | Certmundo