Cómo prevenir el phishing con el método SLAM y buenas prácticas

Inicio >> Guías y Tutoriales >> Cómo prevenir el phishing con el método SLAM y buenas prácticas

En los últimos años, el correo electrónico, los SMS y las plataformas online se han convertido en el escenario perfecto para que los ciberdelincuentes intenten colarnos todo tipo de engaños. El phishing y el smishing siguen siendo la puerta de entrada de muchos ataques graves, desde robos de credenciales hasta infecciones de malware o ransomware que pueden dejar una empresa completamente paralizada.

Ante este panorama, no basta con instalar un antivirus y cruzar los dedos. La clave está en combinar tecnología, buenas prácticas y formación de las personas. Y aquí encaja a la perfección el método SLAM, una técnica muy sencilla de recordar que ayuda a revisar cada correo sospechoso fijándonos en cuatro puntos críticos: Remitente, Enlaces, Adjuntos y Mensaje.

Qué es el método SLAM y por qué es tan eficaz contra el phishing

El método SLAM es un acrónimo que describe una mini lista de comprobación para analizar cualquier correo electrónico o mensaje que no tengamos del todo claro. Sus siglas corresponden a:

• S – Sender (Remitente)
• L – Links (Enlaces)
• A – Attachments (Adjuntos)
• M – Message (Mensaje)

La idea es muy simple: antes de hacer clic, descargar algo o contestar, hay que repasar mentalmente estos cuatro elementos. Este pequeño hábito reduce muchísimo las posibilidades de caer en una estafa de phishing o smishing, tanto a nivel personal como en una organización.

S de Sender: analizando al remitente con lupa

Lo primero que hay que revisar es quién nos escribe. Los atacantes suelen manipular la dirección de correo para que parezca provenir de una empresa legítima, de un banco, de una plataforma de comercio electrónico o incluso de un compañero de trabajo. Juegan con dominios muy parecidos o subdominios enrevesados para intentar colar el engaño.

Es habitual ver direcciones del estilo «@secure.bankofamerica.com» o «@emcom.nombredetuempresa.com» que, a primera vista, suenan oficiales pero en realidad no son dominios corporativos reales. También se da el caso de correos enviados desde servicios de correo gratuitos haciéndose pasar por organismos oficiales, bancos o universidades.

Ante la duda, hay que comprobar con calma el dominio completo, la ortografía y si encaja con lo que realmente utiliza la organización legítima. Si el remitente afirma ser tu banco, tu operador de telecomunicaciones o tu proveedor de SaaS, pero el dominio no coincide exactamente con el oficial, toca desconfiar y no interactuar directamente con ese correo.

L de Links: pasar el ratón por encima antes de hacer clic

El segundo paso del método SLAM se centra en los enlaces que aparecen dentro del mensaje. Buena parte de los ataques de phishing redirigen a una web falsa que imita a la original con el objetivo de robar credenciales, datos personales o incluso datos bancarios.

La regla básica es clara: nunca hay que pulsar un enlace sin antes pasar el ratón por encima (hover) para ver la URL real. Si el texto dice «Iniciar sesión en tu banco» pero la dirección apunta a un dominio extraño, acortadores sospechosos o URLs que no reconoces, lo sensato es no entrar.

Además, los atacantes suelen registrar dominios parecidos a los de marcas conocidas, cambiando una letra o utilizando extensiones poco habituales. Pequeños cambios como «myb4nk.com» o dominios «-security.com» añadidos al final son un clásico. En móviles es más incómodo comprobar la URL completa, pero sigue siendo imprescindible antes de tocar nada.

A de Attachments: sospechar de cualquier archivo inesperado

Los adjuntos son otro de los grandes vectores de ataque. Un simple documento ofimático, PDF o archivo comprimido puede llevar dentro macros maliciosas o código capaz de desplegar malware, ransomware o herramientas de acceso remoto en tu equipo o en la red de tu empresa.

El enfoque SLAM nos recuerda que no debemos abrir adjuntos que no esperábamos recibir, especialmente si provienen de remitentes desconocidos o si el contexto no encaja. Si el correo intenta presionarte para que abras el archivo con urgencia (facturas, supuestas multas, ofertas laborales, etc.), la sospecha debe ser aún mayor.

Incluso cuando conoces al remitente, conviene extremar las precauciones si el adjunto resulta raro. En entornos corporativos es buena práctica escanear los archivos con el antivirus de la organización y, si hace falta, confirmar por otro canal (teléfono, chat interno) que efectivamente te han enviado ese documento.

M de Message: leyendo el contenido con espíritu crítico

Por último, hay que analizar el texto del propio correo. Muchos mensajes de phishing comparten patrones: mala redacción, errores de ortografía, traducciones pobres o expresiones raras que no casarían con la comunicación habitual de una empresa seria.

Además de estos fallos formales, la urgencia es otro truco clásico: amenazas de bloqueo de cuenta, cargos inminentes, ofertas que caducan en minutos o supuestas sanciones si no haces clic ahora mismo. Esta presión pretende que actúes rápido, sin pensar demasiado.

Conviene preguntarse siempre: ¿tiene sentido lo que me están pidiendo? ¿Esta empresa suele comunicarse así conmigo?. Si el mensaje pide datos confidenciales, credenciales, números de tarjeta o transferencias, es casi seguro que se trata de un intento de fraude.

Phishing, smishing y slamming: otros riesgos que no hay que perder de vista

El phishing por correo electrónico no es el único frente abierto. Los atacantes se han adaptado a nuevas formas de comunicación, como los SMS, la mensajería instantánea o incluso las llamadas telefónicas comerciales, para seguir explotando el error humano y la ingeniería social.

También existen prácticas fraudulentas en sectores regulados como las telecomunicaciones o la energía, donde se llega a cambiar de operador a un usuario sin su consentimiento real. Este fenómeno se conoce como slamming y, aunque no es phishing en sentido estricto, comparte la misma base: engañar al usuario para obtener una ventaja económica.

Slamming: cuando te cambian de compañía sin permiso

En el ámbito de las telecomunicaciones y los suministros, el término slamming se refiere al traspaso de una línea o contrato de una compañía a otra sin el consentimiento claro del titular. Suele producirse tras una llamada telefónica o un correo con una «oferta» en la que el cliente no deja constancia inequívoca de que quiere cambiar, pero el operador interpreta o fuerza la contratación.

La víctima suele darse cuenta cuando deja de recibir servicio de su compañía habitual, recibe facturas de un operador desconocido o cuando su proveedor original le llama para hacerle una contraoferta al detectar que aparece como cliente de la competencia.

Detrás suele haber procesos comerciales muy agresivos, aprovechando vacíos o relajaciones regulatorias. En su día, ciertos cambios normativos impidieron a los operadores verificar una a una todas las preasignaciones, lo que abrió la puerta a más abusos, primero en telefonía y más tarde también en gas y electricidad.

Consejos básicos para no ser víctima de slamming

Para minimizar el riesgo de que te cambien de compañía sin querer, es importante extremar las precauciones con tus datos y con las supuestas promociones. Algunos hábitos sencillos pueden salvarte de muchos dolores de cabeza:

• Limitar la aparición de tus datos en guías telefónicas o listados públicos para dificultar la venta directa agresiva.
• En sorteos, encuestas o formularios en la calle, no autorizar el uso comercial de tus datos y aportar solo la información imprescindible.
• Leer siempre la letra pequeña de cualquier contrato, aunque sea de un servicio aparentemente menor, y revisar las casillas de cesión de datos.
• No facilitar datos personales sensibles ni número de cuenta si no piensas contratar nada, ya que pueden usarse como base para solicitar el cambio.
• Desconfiar de llamadas en las que alguien se hace pasar por tu operador actual y pide respuestas tipo “sí” que luego puedan grabarse como prueba.

Si sospechas que han tramitado un cambio sin tu permiso, es fundamental reclamar cuanto antes por escrito ante la autoridad competente. En muchos casos, se puede anular la contratación irregular, así como las facturas y cuotas generadas indebidamente.

Smishing: el phishing por SMS que se aprovecha de la confianza en el móvil

El smishing, por su parte, es una variante de phishing vía SMS o mensajería móvil. El atacante envía mensajes que fingen proceder de bancos, empresas de mensajería, grandes tiendas online u organismos oficiales, incluyendo enlaces o números de teléfono fraudulentos.

Se ven casos de todo tipo: supuestos avisos de la Agencia Tributaria, problemas con entregas de FedEx o mensajerías similares, falsos premios de Amazon o alertas de actividad sospechosa en cuentas bancarias. El objetivo suele ser que la víctima haga clic en un enlace, visite una web impostora o llame a un número de tarificación especial.

Estos mensajes tiran de psicología básica: premios inesperados, miedo a perder un paquete, urgencia por un problema bancario o preocupación por un familiar en apuros. En pantallas pequeñas y con lenguaje coloquial, muchas personas bajan la guardia y no revisan bien la URL ni el remitente.

Una vez en la web fraudulenta, se solicita iniciar sesión, introducir datos personales o descargar algún tipo de aplicación. Todo ello puede acabar en robo de credenciales, instalación de malware o directamente en una estafa económica.

Ejemplos habituales de mensajes de smishing

Los patrones más comunes de estos ataques son bastante repetitivos. Suelen girar en torno a entidades muy conocidas y situaciones cotidianas, por ejemplo:

• Estafas bancarias: mensajes tipo «Hemos detectado actividad inusual, verifique sus transacciones aquí» seguidos de un enlace malicioso.
• Entrega de paquetes: avisos de empresas de mensajería indicando que no han podido entregar tu pedido y que reprogramas la entrega a través de un enlace sospechoso.
• Verificación de cuenta: supuestos intentos de inicio de sesión desde ubicaciones raras que te piden asegurar la cuenta urgentemente.
• Premios y concursos: mensajes que afirman que eres el ganador de un sorteo y te piden registrarte en una página para recibir el premio.
• Emergencias familiares: textos que hablan de un accidente de un familiar y te instan a llamar a números de tarificación especial para obtener más detalles.

En todos estos casos, la ingeniería social y el juego con las emociones (miedo, codicia, urgencia) son el núcleo del engaño. Saber reconocer esos patrones es medio trabajo hecho.

Buenas prácticas de ciberseguridad para empleados y equipos remotos

La realidad es tozuda: el error humano está detrás de la inmensa mayoría de las brechas de seguridad. Da igual que tengamos firewalls, antivirus y sistemas avanzados si la persona que está al otro lado del teclado pulsa en el enlace equivocado.

Por eso, además del método SLAM, es esencial implantar unas buenas prácticas de ciberseguridad claras para todos los empleados, especialmente cuando hay trabajo remoto, uso de dispositivos personales y acceso desde redes domésticas o públicas.

Seguridad en la red doméstica y en los dispositivos

Cuando se trabaja desde casa, la red del salón o la de la cafetería pasan a ser, de facto, una extensión de la red corporativa. Si el router, el Wi-Fi o los dispositivos están desprotegidos, el ataque puede empezar en casa y acabar en la empresa.

Algunos pasos básicos para endurecer este entorno son:

• Cambiar la contraseña por defecto del router por una clave robusta y personal, y usar cifrado WPA2 o WPA3 en la red Wi-Fi.
• Actualizar periódicamente el firmware del router para corregir vulnerabilidades conocidas.
• Configurar una red de invitados para visitas, separando así los equipos de trabajo de otros dispositivos menos controlados.
• Desactivar la conexión automática a redes Wi-Fi o Bluetooth desconocidas, evitando que el dispositivo se conecte sin que te des cuenta.
• Bloquear siempre la pantalla al dejar desatado el equipo, sobre todo si estás en lugares públicos como aeropuertos o cafeterías.

Además, conviene tener en marcha alguna solución de localización remota, tipo «Buscar mi dispositivo», que permita localizar, bloquear o borrar el equipo en caso de pérdida o robo y evitar un intento no autorizado de restablecer el dispositivo a sus ajustes de fábrica. Esto reduce enormemente el impacto de un incidente físico.

Contraseñas, gestores de credenciales y autenticación multifactor

Las credenciales siguen siendo uno de los puntos más débiles de cualquier sistema. Contraseñas recicladas, fáciles de adivinar o compartidas entre varias plataformas son un caramelo para los atacantes, especialmente si obtienen una de ellas a través de phishing.

Las recomendaciones aquí son claras:

• Usar contraseñas largas, complejas y diferentes para cada servicio, preferiblemente en forma de frases de contraseña más fáciles de recordar.
• Apoyarse en gestores de contraseñas fiables (tipo LastPass, 1Password, Dashlane o Bitwarden) para generar y almacenar credenciales seguras.
• Activar siempre la autenticación multifactor (MFA) en cuentas críticas, de forma que una contraseña robada por sí sola no permita el acceso.
• Revisar periódicamente la fortaleza de las contraseñas y cambiarlas si se detecta alguna filtración o se sospecha de compromiso.

Un buen gestor no solo simplifica la vida al usuario, sino que facilita compartir credenciales corporativas de forma controlada y cifrada, reduciendo fugas por malas prácticas como enviarlas por correo o mensajería.

Uso de VPN, cifrado y protección de endpoints

Cuando se accede a sistemas corporativos desde fuera de la oficina, la conexión debe ir siempre cifrada. Esto se consigue utilizando redes privadas virtuales (VPN) fiables, que crean un túnel seguro entre el dispositivo y la red de la empresa.

Además, es importante que todos los endpoints (portátiles, móviles, tablets) cuenten con soluciones de seguridad actualizadas:

• Antivirus y antimalware capaces de detectar infecciones, ransomware o aplicaciones maliciosas.
• Firewalls activos que controlen las conexiones entrantes y salientes.
• Sistemas de detección basados en comportamiento que alerten si el dispositivo comienza a actuar de forma sospechosa.
• Cifrado de disco y de datos sensibles para que la información no sea legible si el equipo cae en manos de terceros.

En organizaciones con muchos usuarios remotos, las soluciones de gestión de dispositivos móviles (MDM) permiten aplicar políticas de seguridad de forma centralizada, separar datos personales y corporativos y, llegado el caso, borrar la información de trabajo de forma remota.

Concienciación, formación continua y simulaciones de phishing

Ninguna tecnología sustituye a un usuario bien formado. La concienciación en ciberseguridad debe ser un proceso continuo, no un curso aislado una vez al año. Esto incluye enseñar a detectar correos maliciosos, comprender el método SLAM, distinguir webs seguras y reconocer técnicas de ingeniería social.

Muchas empresas están apostando por campañas de phishing simulado: envían correos falsos internos para medir el nivel de atención de los empleados y, en función de los resultados, refuerzan la formación de los más vulnerables.

Para que estas iniciativas sean efectivas, las políticas de seguridad deben estar bien explicadas, ser realistas y contar con el apoyo de la dirección. También es crucial crear una cultura en la que preguntar no dé vergüenza: si alguien duda de un correo, debe sentirse cómodo consultando al equipo de TI.

Por último, la empresa debería contar con un plan de respuesta ante incidentes muy claro, que indique qué hacer si un empleado abre un enlace malicioso, pierde un dispositivo o detecta actividad rara en una cuenta: a quién avisar, cómo contener el daño y cómo documentar lo ocurrido.

Cómo aplicar el método SLAM en el día a día

Integrar SLAM en la rutina no es complicado, pero requiere convertirlo en un reflejo automático antes de interactuar con cualquier mensaje sospechoso. La clave está en que no se vea como una carga, sino como una pequeña pausa de seguridad.

Un flujo razonable sería este:

• Revisa el remitente (Sender) y valida que el dominio es el correcto y esperable para ese tipo de comunicación.
• Examina los enlaces (Links), pasando el ratón por encima o manteniendo pulsado en el móvil para ver la URL completa y comprobar que es legítima.
• Cuestiona los adjuntos (Attachments) y no abras nada que no esperases recibir, sobre todo si proviene de direcciones poco habituales.
• Lee el mensaje (Message) con calma y busca errores, prisas exageradas o peticiones de datos sensibles.

Si en cualquiera de estos pasos algo no encaja, el siguiente movimiento es siempre el mismo: no interactuar con el contenido, marcarlo como sospechoso y, si es un entorno de empresa, reportarlo al departamento de TI o al contacto de seguridad. De esta forma se reduce el impacto y se ayuda a proteger al resto de compañeros.

Combinando el método SLAM con buenas prácticas generales —contraseñas fuertes, MFA, uso de VPN, formación continua y un plan de respuesta ante incidentes—, tanto personas como organizaciones pueden rebajar drásticamente las probabilidades de sufrir un incidente grave por culpa de un correo o SMS malicioso, manteniendo a raya a unos atacantes que cada vez afinan más sus técnicas, pero que siguen dependiendo, en última instancia, de que alguien se fíe de lo que no debería.