Los 5 Tipos de Phishing Más Comunes en Honduras
- 7 abr
- 6 Min. de lectura
Email Phishing en Honduras
El correo electrónico falso | El más antiguo y el más frecuente.
¿Qué es EMAIL PHISHING?
Es un correo electrónico diseñado para parecer oficial — con logos, colores y lenguaje de su banco u otra empresa — pero que viene de un remitente falso. Su objetivo es que tu hagas clic en un enlace o descargue un archivo.
¿Cómo funciona el EMAIL PHISHING?
El delincuente compra un dominio parecido al real (ej: tengohnoficial.com en vez de tengo.hn) y envía miles de correos esperando que alguien caiga. El enlace lleva a una página falsa donde usted escribe sus credenciales.
¿Qué tan común es el EMAIL PHISHING?
Es el tipo más frecuente. Según estudios globales, más del 90% de los ciberataques comienzan con un correo de phishing.
Ejemplo Real
Estimado cliente, hemos detectado actividad sospechosa en su cuenta. Para evitar el bloqueo permanente, verifique su identidad en las próximas 24 horas haciendo clic aquí: [www.banco-seguro-hn.xyz/verificar]"
Señales de Alerta
El remitente tiene un dominio raro o con errores (ej: @tengo-hn.net, @soporte-tengo.xyz El mensaje crea urgencia: "Tu cuenta será bloqueada", "Tiene 24 horas para actuar". Hay un enlace en el cuerpo del mensaje - los bancos reales NO. envían links por correo.
Te piden ingresar su contraseña, OTP o datos de tarjeta.
El saludo es genérico: "Estimado cliente" en vez de su nombre completo.
Como protegerse del EMAIL PHISHING
Verifica siempre el remitente completo, no solo el nombre, sino el dominio después del @. Nunca hagas clic en enlaces de correos inesperados. Ingrese directamente a su banco escribiendo la URL en el navegador.
Recuerda: tu banco NO te enviará ni te pedirá tu clave por correo.
Active el doble factor de autenticación (2FA) en su correo personal.
SMISHING en Honduras
Phishing por SMS | El engaño que llega a tu celular
¿Qué es SMISHING?
Smishing = SMS + Phishing. Son mensajes de texto fraudulentos que simulan venir de tu banco, de una empresa de paquetería, de un operador de telefonía o incluso del gobierno, para robarle información o dinero.
¿Cómo funciona el SMISHING?
El atacante envía un SMS masivo con un mensaje de urgencia y un enlace corte (eje: bit.ly?...) que lleva a una página falsa, o un número al que te piden llamar. Al llamar, un "agente" le solicita sus datos.
¿Qué tan común es el SMISHING?
La gente confía más en los SMS que en los correos. Además, en el celular es más difícil ver el enlace completo antes de hacer clic, lo que facilita el engaño.
Ejemplo Real
"TENGO WALLET: Su tarjeta ha sido BLOQUEADA por movimiento sospechoso. Llame al 9876-5432 para desbloquearla o ingrese a: http://bit.ly/tengorecuperacion"
Señales de Alerta
El SMS tiene un enlace acordado (bit.ly, tinyurl, etc) No puedes ver a dónde lleva. Te pide llamar a un número que no es el oficial del banco (verifica el reverso de tu tarjeta).
El mensaje ofrece un premio, reembolso o beneficio que tu no solicitaste.
El número de origen es desconocido o parece ser un número de celular normal.
Como protegerse del SMISHING
Nunca llame a un número recibido por SMS — use el número oficial que aparece en el reverso de su tarjeta o en el sitio web de su banco.
Nunca haga clic en enlaces de SMS que no esperaba recibir.
Si recibe un SMS raro supuestamente de su banco, llame directamente al banco para verificar. Las empresas legítimas no le pedirán datos sensibles por mensaje de texto.
VHISHING en Honduras
Phishing por llamada | La voz que te quiere engañar
¿Qué es VHISHING?
Vhishing = Voice + Phishing. El delincuente le llama por teléfono haciéndose pasar por un empleado de su banco, de una institución gubernamental o de una empresa conocida, para obtener sus datos de forma verbal.
¿Cómo funciona el VHISHING?
Pueden usar grabaciones automáticas ('robocalls') o personas en vivo. Conocen detalles básicos tuyos (nombre, últimos dígitos de tu tarjeta) para parecer legítimos y luego te piden el resto de la información.
Técnica SIM Swap
En casos avanzados, combinan el vishing con el SIM Swap: primero le llaman para obtener datos, luego usan esos datos para convencer a su operadora de transferir su número a una SIM del delincuentes interceptando sus OTPs.
Ejemplo Real
"Buenos días, le habla el Departamento de Seguridad de TENGO. Hemos detectado una transacción de HNL 8,000 en su cuenta que podría ser fraudulenta. Para cancelarla necesitamos verificar su identidad. Nos confirma el OTP que le acaba de llegar?"
Señales de Alerta
Te pide tu OTP, contraseña o PIN por teléfono - NINGÙN banco lo hace jamás.
Crean urgencia extrema: "Si no actúa ahora, perderas tu dinero"
Conocen algunos de sus datos (nombre, últimos dígitos) para parecer legítimos, pero piden el resto.
Le piden instalar una aplicación de " soporte remoto" para " proteger su cuenta:.
El número que llama no coincide con el oficial del banco (aunque puede ser falsificado - spoofing)
Como protegerse del EMAIL PHISHING
Cuelgue inmediatamente si le piden su OTP, contraseña o PIN por teléfono. Su banco NUNCA lo hará. Si desconfía de una llamada, cuelgue y llame usted directamente al banco usando el número oficial. No instale ninguna aplicación que le indiquen durante una llamada. Recuerde: el hecho de que conozcan su nombre o algunos de sus datos NO significa que son del banco.
PHARMING en Honduras
El sitio web falso| usted cree estar en el banco pero no lo está
¿Qué es PHARMING?
El Pharming es un ataque más sofisticado donde el delincuente redirige su navegador a una página web falsa AUNQUE usted haya escrito la dirección correcta de su banco. Todo parece igual: el logo, los colores, el menú.
¿Cómo funciona el PHARMING?
El atacante infecta su computadora o router con malware que modifica la 'guía de direcciones' de Internet (DNS). Cuando usted escribe www.tengo.hn, en vez de ir al banco real, va a una copia falsa creada por el delincuente.
Técnica SIM Swap
A diferencia del phishing normal, usted NO necesita hacer clic en ningún enlace sospechoso. Simplemente abre su navegador y escribe la dirección como siempre. El engaño es invisible.
Ejemplo Real
Usted abre el navegador, escribe www.mibanco.hn y le aparece la página exacta de su banco. Ingresa su usuario y contraseña. El sitio le muestra un error y le pide intentar de nuevo. Sin saberlo, acaba de entregar sus credenciales al delincuente, que ahora accede a su cuenta real.
Señales de Alerta
La URL no empieza con 'https://' o no muestra el candado de seguridad en el navegador. Hay un pequeño error en la URL: mibancoo.hn, mi-banco.hn, mibanco-hn.com. El sitio le pide más datos de los habituales al iniciar sesión. La página se ve diferente a lo normal (colores, tipografía, posición de elementos). Su navegador o antivirus muestra una advertencia de 'sitio no seguro' o 'certificado inválido'.
Como protegerse del PHARMING
Siempre verifique el 'https://' y el candado verde antes de ingresar sus datos.
Use siempre la app oficial de su banco en lugar del navegador cuando sea posible.
Mantenga actualizado su sistema operativo, navegador y antivirus. Si algo se ve raro en la página de su banco, cierre sin ingresar datos y llame al banco. Use el antivirus para escanear su dispositivo si sospecha una infección.
SPEAR PHISHING en Honduras
El ataque personalizado | Diseñado específicamente para usted
¿Qué es SPEAR PHISHING?
Mientras el phishing normal es masivo (como pescar con red), el spear phishing es un ataque personalizado (como pescar con arpón). El delincuente investiga a la víctima y crea un mensaje que parece completamente legítimo y relevante.
¿Cómo funciona el SPEAR PHISHING?
El atacante recopila información de redes sociales, LinkedIn, Facebook, noticias o filtraciones de datos. Luego elabora un mensaje usando su nombre, empresa, cargo, nombre de su jefe o compañeros para hacer el engaño creíble.
¿A quién afecta el SPEAR PHISHING?
Puede afectar a cualquier persona, pero especialmente a empleados de empresas, gerentes, personas con acceso a sistemas financieros, o cualquiera que tenga información valiosa o acceso a fondos.
Ejemplo Real
"Hola María, soy Carlos Rodríguez de Recursos Humanos. Como acordamos en la reunión del lunes, necesito que proceses con urgencia la transferencia de L45,000 a la cuenta 1234-5678-9012 del proveedor SoluTech. El gerente general ya autorizó. Adjunto la orden de compra. Por favor confírmame cuando esté hecha." — El remitente parece ser el correo de Carlos pero tiene una letra de diferencia.
Señales de Alerta
El mensaje usa su nombre, cargo o información personal específica para parecer real.
Le piden actuar con urgencia y en secreto ('no comentes esto con otros aún').
Solicitan una transferencia de dinero o acceso a sistemas fuera del procedimiento normal.
El remitente parece ser alguien conocido pero el dominio del correo tiene un pequeño error.
Le piden información sensible que normalmente no se solicita por correo.
Como protegerse del SPEAR PHISHING
Verifique SIEMPRE las solicitudes de transferencia inusuales llamando a la persona directamente (no por correo).
Ninguna urgencia real requiere saltar los procedimientos normales de autorización.
Limite la información personal que publica en redes sociales — es la fuente de datos del atacante.
En su empresa, establezca un protocolo de doble verificación para transferencias importantes.
Si algo parece raro, confíe en su instinto y verifique antes de actuar.
