Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

  2. Inicio
  3. Profesionales
  4. Salud digital: herramientas para los profesionales
  5. Seguridad de la información
  6. Boletines de la Oficina de Seguridad
  7. Boletín núm. 138: Phishing navideño
Boletines de la Oficina de Seguridad

Boletín núm. 138: Phishing navideño

¿Qué es el phishing navideño?

 

El phishing navideño es una modalidad de fraude digital que aprovecha el ambiente festivo para engañar a los usuarios y obtener información confidencial (credenciales, datos personales, acceso a sistemas) o instalar software malicioso (malware). Durante estas fechas, los ciberdelincuentes se benefician del incremento de correos corporativos, felicitaciones y comunicaciones internas para hacer que sus mensajes parezcan legítimos.

 

En el ámbito sanitario, se han detectado correos falsos que imitan situaciones habituales, como:

 

  • Actualizaciones urgentes de sistemas

Correos que aparentan ser del departamento de TI y que indican que es necesario instalar un parche crítico antes de fin de año para evitar problemas de seguridad.

  • Felicitaciones corporativas

Mensajes que simulan ser del equipo directivo con tarjetas virtuales o vídeos que requieren clicar en un enlace para ver la felicitación.

  • Avisos sobre nóminas o pagos extraordinarios

Comunicaciones que prometen una paga extra o ajustes salariales por Navidad, y que solicitan validar datos en un portal falso.

  • Encuestas internas o sorteos corporativos

Invitaciones para participar en encuestas con premios, como cestas navideñas, que incluyen enlaces fraudulentos.

  • Campañas solidarias corporativas

Invitaciones para donar a causas benéficas organizadas por la empresa, con enlaces que llevan a sitios fraudulentos para robar información bancaria.

  •  Promociones falsas de proveedores o tiendas asociadas

Correos que aparentan ser de proveedores habituales y que ofrecen descuentos exclusivos por Navidad, con enlaces a páginas fraudulentas para capturar datos de pago.

  • Envíos y logística

Correos que informan sobre la entrega de un paquete navideño o regalo corporativo, y que solicitan confirmar la dirección o seguir el envío por medio de un enlace.

  • Invitaciones a cenas o eventos corporativos

Mensajes que aparentan ser del área de recursos humanos o dirección, que piden confirmar la asistencia a la cena de Navidad y elegir el menú por medio de un enlace.

 

Estas tácticas se adaptan al contexto festivo para parecer más creíbles y aumentar la probabilidad de que el usuario caiga en la trampa. Para reforzar sus hábitos de seguridad en el correo electrónico, consulte también el Boletín nº 72: Buenas prácticas en el uso del correo electrónico

 

¿Cómo identificar un correo fraudulento?

Para evitar caer en un ataque de phishing, es fundamental reconocer las señales más comunes. Como puede ver en la imagen adjunta, estas son las principales alertas:

  • Remitente sospechoso
    Direcciones que imitan las oficiales, pero incluyen caracteres extraños o dominios incorrectos.
  • Enlaces engañosos
    Al pasar el ratón sobre el enlace, la URL real no coincide con el dominio oficial. Suelen llevar a páginas falsas que solicitan credenciales.
  • Mensajes con urgencia excesiva
    Comunicaciones que presionan para actuar de inmediato, como:
    «¡Actualiza ahora o perderás acceso!»
    Esta táctica busca que el usuario no piense antes de clicar en el enlace.
  • Archivos adjuntos inesperados
    Especialmente en felicitaciones, invitaciones o supuestas actualizaciones. Estos archivos pueden contener software malicioso.
  • Errores de redacción
    Faltas ortográficas, traducciones deficientes o expresiones poco habituales en comunicaciones corporativas.

Para conocer más sobre cómo identificar y evitar este tipo de ataques, consulte el Boletín nº 118: ¿Qué es el phishing, cómo identificarlo y cómo evitarlo?

¿Qué tiene que hacer si recibe un correo sospechoso?

Si detecta un mensaje que podría ser fraudulento, siga estos pasos para protegerse y evitar riesgos:

  1. No clique en enlaces ni descargue archivos adjuntos.
    Incluso si parecen legítimos, podrían contener software malicioso o llevarle a páginas falsas.
  2. Verifique el remitente por canales oficiales.
    Contacte con el departamento correspondiente por medio de teléfono interno o intranet; nunca respondiendo al correo sospechoso.
  3. Reporte el correo al equipo de seguridad o al servicio de TI.
    Aprenda cómo hacerlo consultando el Boletín nº 94: Reporte posibles casos de phishing.
  4. Elimine el mensaje tras reportarlo.
    No lo mantenga en su bandeja de entrada para evitar errores futuros.
  5. Mantenga sus sistemas actualizados sólo desde fuentes oficiales.
    Nunca instale actualizaciones que lleguen por correo electrónico.

 

Recomendaciones para estas fechas

 

En Navidad, los ciberdelincuentes aprovechan la confianza y el aumento de comunicaciones para lanzar ataques más sofisticados. Por eso, es importante extremar las precauciones. Si recibe felicitaciones corporativas que incluyen enlaces o archivos adjuntos, desconfíe: pueden ser el anzuelo perfecto para instalar software malicioso o robar credenciales.

 

Recuerde que nunca debe introducir sus datos de acceso en páginas a las que llegue desde un correo electrónico. Las plataformas oficiales no solicitan credenciales por este medio.

 

Además, refuerce la seguridad de sus cuentas activando la autenticación multifactor (MFA). Esta medida añade una capa adicional que dificulta el acceso no autorizado, incluso si su contraseña se ve comprometida. Si quiere saber más sobre cómo crear contraseñas seguras y por qué el doble factor es esencial, consulte el Boletín nº 69: ¿Cómo es de segura su contraseña?

 

La seguridad es responsabilidad de todos. Manténgase alerta y reporte cualquier mensaje sospechoso: su acción puede evitar un incidente grave.