Sign in

Phishing IA

Phishing IA

Phishing con IA en el campus

Imagina que es lunes, 8:15, haces cola para el café y te llega un correo al móvil: «Tu acceso a biblioteca caduca hoy. Renueva en 30 minutos». Incluye un QR perfecto para escanear «rápido». Te tienta porque vas con prisa, y además el logo es idéntico al de la Universidad. En ese instante —justo ahí— se decide si la semana empieza con normalidad… o con un quebradero de cabeza. El phishing ha evolucionado y, con ayuda de la inteligencia artificial (IA), los mensajes fraudulentos suenan y parecen más auténticos que nunca. Pero también nosotros podemos evolucionar: con pequeñas decisiones, anclajes mentales sencillos y algún hábito nuevo, blindas tu día a día en Comillas sin convertirte en técnico.

¿Por qué el phishing ha cambiado?

Si antes detectábamos los fraudes por faltas de ortografía o logos cutres, hoy los delincuentes usan modelos de IA para imitar tonos, estilos y hasta firmas de correo. A esto se suman variantes como el QRishing (códigos QR hacia webs trampa), la fatiga de MFA (bombardeo de notificaciones de aprobación de inicio de sesión) o las llamadas deepfake (voces clonadas que piden códigos). La novedad no elimina lo esencial: casi todos estos ataques intentan que hagas clic, descargues o confirmes datos bajo presión de tiempo. En la Universidad, estos ganchos suelen citar el campus virtual, el correo, un envío de paquetería, la wifi o la matrícula. Reconocer el guion es la mitad de la defensa: urgencia + beneficio/amenaza + enlace/adjunto. Ese patrón cambia poco desde hace años.

Señales que siguen delatando un fraude

Con IA o sin ella, hay pistas que funcionan como faros en la niebla:

Remitente y dominio. Un carácter cambiado (por ejemplo, comíllas.com en lugar de comillas.edu) delata suplantación. Fíjate también en firmas extrañas o ausentes cuando no deberían faltar. Si te llega «desde la banca» y tú no eres cliente, desconfía.

Urgencia forzada. «Última oportunidad», «caduca en 15 minutos», «evita el bloqueo», son palancas clásicas para saltarse tu pensamiento crítico. Si el tono te acelera, desacelera tú.

Adjuntos inesperados o “macro” activas. Evita abrir archivos .docm, .xlsm, .pptm o ejecutables. Si tienes que verificar, descarga sin ejecutar y pide apoyo al servicio de STIC.

Enlaces camuflados. Pasa el cursor por encima (o mantén pulsado en móvil) para ver la dirección real antes de tocar. Dominios largos con subdominios raros suelen ser un indicador.

Botón para reportar. En Outlook existe «Report Message»/«Informar» para señalar phishing; usarlo entrena los filtros y corta el flujo de correos parecidos. Si mordiste el anzuelo, avisa a STIC cuanto antes.

Microdecisiones que te protegen

Piensa en estas acciones como un cinturón de seguridad digital. No son heroicas, solo constantes:

Respira y verifica por canal alternativo. ¿Te dice «biblioteca» que renueves? En lugar de tocar el enlace, abre tú mismo el campus virtual o escribe la dirección oficial. Si «un profesor» te pide un favor urgente por correo, contesta por Teams o llama.

Escanea QR con mirada crítica. Los QR no son malos, pero no te dicen a dónde te llevan hasta que ya es tarde. Comprueba el dominio que abre el QR y, si es sensible (pago, credenciales), busca la ruta oficial.

Desconfía de códigos por teléfono. Ningún servicio serio te pedirá que dicte o reenvíes códigos de verificación de un solo uso. Esa frase puedes grabarla como ancla: «Si me piden un código, cuelgo y verifico».

MFA bien usada: tu red de seguridad

La autenticación multifactor (MFA) añade una segunda llave a tus cuentas. Aunque un atacante robe tu contraseña, no podrá pasar si no tiene tu segunda prueba. En Comillas, donde conviven alumnado, PDI y PAS con servicios diversos, activar MFA en el correo y en plataformas críticas es una de las medidas con más impacto. Prioriza aplicaciones de autenticación (o llaves físicas) frente a SMS, y jamás aceptes notificaciones de acceso que no hayas iniciado tú. Si te “bombardean”, rechaza todas y cambia la contraseña: puede ser un intento de fatiga MFA.

¿Y las passkeys? Si el servicio lo permite, las claves FIDO2 (huella/rostro + dispositivo) reducen el riesgo de phishing porque no comparten «contraseñas» con la web atacante. Son una buena meta a medio plazo, especialmente para cuentas personales críticas. Como mensaje guía: «2FA hoy, passkeys cuando sea posible».

Correo universitario y campus virtual: hábitos que funcionan

La seguridad empieza por un acceso sano. Evita reutilizar contraseñas entre tu correo @…edu y tus redes sociales o tiendas online. Un gestor de contraseñas te ahorra memorizar y genera claves robustas y únicas; tu «llave maestra» debe ser larga y solo tuya. Activa 2FA en todo lo que te deje (correo, almacenamiento en la nube, banca, redes).

Si detectas algo raro, informa a STIC desde la intranet o a través de los recursos públicos. Encontrarás guías claras y actualizadas en la web del Servicio de Tecnologías de la Información y las Comunicaciones: STIC y Recursos, guías y manuales.

Móviles y redes: el phishing también vive ahí

Los atacantes no se limitan al correo: entran por SMS, WhatsApp o mensajes directos de redes sociales. Si un “compañero” te pide dinero o códigos por chat, verifica su identidad con una videollamada o un audio con una pregunta que solo esa persona pueda responder. En redes, revisa tu privacidad, limita quién puede escribirte y desinstala aplicaciones de terceros que ya no uses. Recuerda que «inicios de sesión con tu red social» en otras webs comparten datos y pueden encadenar accesos.

En el día a día del campus, evita introducir credenciales en wifi públicas no seguras. Mejor tu conexión móvil o, si tu actividad lo requiere, usa VPN. Mantén desactivados Bluetooth y wifi cuando no los uses, y actualiza con regularidad; muchas trampas explotan fallos ya corregidos.

Si teletrabajas de forma puntual o usas tu propio dispositivo (BYOD), aplica los mínimos: bloqueo automático y biométrico, aplicaciones de fuentes oficiales, nada de «recordar contraseña» en móviles, y cifrado de datos. Ante pérdida o robo, informa, bloquea y (si se puede) borra en remoto.

Backups y metadatos: mitigación de daños colaterales

El objetivo del phishing no siempre es tu contraseña: a veces busca infiltrarse y cifrar tus archivos (ransomware). Por eso, las copias de seguridad marcan la diferencia. La estrategia «3-2-1» es fácil de recordar: tres copias de lo importante, en dos soportes diferentes, con una fuera del equipo (o fuera de línea). Desconecta el disco de copia cuando termines para que, si hay infección, la copia no caiga con el resto. Y de vez en cuando, prueba que sabes restaurar.

Compartimos documentos a diario: TFG/TFM, CVs, informes. Muchos incluyen metadatos (autor, fechas, ubicación) que quizá no quieres enseñar o que pueden usarse para suplantarte. Antes de enviar, elimina metadatos desde las propiedades del archivo o con las funciones del propio sistema. Es un gesto de segundos que evita filtraciones innecesarias.}

Una metáfora útil: semáforos en tu navegación

Para anclar hábitos, imagina tres luces:

Verde: entras escribiendo la dirección tú mismo, el sitio usa MFA y tus contraseñas viven en un gestor. Ámbar: un QR en un cartel te lleva a una web de pago: paras, verificas dominio y buscas la ruta oficial. Rojo: alguien te pide un código por teléfono o te presiona para decidir en 2 minutos: cuelga, verifica y reporta. Mantener este semáforo mental reduce el impulso y te devuelve el control.

Visualízate aplicándolo mañana

Imagina que mañana, al abrir el correo, algo «suena raro». Respiras, pasas el cursor sobre el enlace, ves un dominio extraño y lo reportas. Abres el campus virtual por tu cuenta, todo funciona. Por la tarde, un SMS dice «paquete retenido, paga 2€»: lo ignoras, porque sabes que los transportistas no funcionan así y porque no reutilizas contraseñas. Por la noche, tu gestor te recuerda que falta activar 2FA en una red social: lo haces en 30 segundos. Observa la sensación: menos ruido, menos prisa, más claridad. Ese es el objetivo.

Para terminar

La seguridad en Comillas es un juego de equipo: alumnado, PDI y PAS compartimos el mismo espacio digital. Con hábitos simples y la ayuda del STIC, podemos mantener el aprendizaje y la investigación a salvo, sin complicarnos la vida. Si algo te inquieta, mejor preguntar que lamentar: el equipo de STIC está para eso.

Acciones clave para esta semana

  • Comprueba que tienes activado la doble autenticación en tus servicios críticos; prioriza app autenticadora gratuita de Microsoft sobre SMS.
  • Instala y aprende a usar un gestor de contraseñas; crea una frase larga como clave maestra y no la compartas.
  • Antes de abrir enlaces o adjuntos, verifica remitente y extensión; desconfía de .docm/.xlsm/.pptm y reporta correos sospechosos con el botón de Outlook.
  • Configura una copia de seguridad 3-2-1 de tus archivos importantes y comprueba que puedes restaurar. Desconecta el soporte al terminar.
  • Mantén el móvil y el portátil actualizados, descarga apps solo de tiendas oficiales y desactiva «recordar contraseña» en el móvil.
  • Evita wifis públicas para trámites sensibles; si no hay alternativa, usa VPN o tu conexión móvil.
  • Elimina metadatos antes de compartir TFG/TFM, CVs o informes (Propiedades > Detalles > Quitar propiedades).
  • Revisa la privacidad de tus redes sociales y revoca permisos a apps de terceros que ya no uses.
  • Si recibes notificaciones de inicio de sesión que no has pedido, no aceptes ninguna, cambia la contraseña y avisa a STIC.
  • Ante un posible ransomware, no pagues ni apagues el equipo sin más; desconéctalo de la red y contacta con STIC.