Saltar al contingut principal

Com protegir-se dels atacs de phishing

El phishing continua sent la forma #1 com es roben comptes. Apreneu com funciona el phishing modern, les senyals d'alarma a vigilar i defenses pràctiques que realment aturen els atacs.

2026-04-14

TL;DR

  • El phishing és la causa #1 de la presa de control de comptes — els atacants us enganen perquè doneu credencials en un lloc fals.
  • Els kits de phishing moderns clonen pàgines d'inici de sessió pixel per pixel i retransmeten els vostres codis 2FA en temps real.
  • Les claus de seguretat de maquinari (YubiKey, FIDO2) són l'única defensa que és a prova de phishing per disseny.
  • Els gestors de contrasenyes us protegeixen negant-se a emplenar automàticament en el domini incorrecte.
  • Comproveu el domini exacte abans d'introduir credencials, i no inicieu sessió mai des d'un enllaç d'un correu electrònic.

Què és el phishing?

El phishing és un atac d'enginyeria social on un atacant crea una còpia convincent d'un lloc web legítim — sovint pixel per pixel — i enganya una víctima perquè hi introdueixi credencials. En el moment que la víctima envia el formulari, l'atacant captura el nom d'usuari, la contrasenya i qualsevol segon factor, després els utilitza per prendre el control del compte real en segons.

La paraula prové de la metàfora de "pescar" víctimes amb esquer (normalment un correu electrònic). L'ortografia va canviar per emfatitzar que els atacants sovint utilitzen números de telèfon (phishing per SMS, o "smishing") i infraestructura d'aspecte professional.

Per què el phishing continua sent l'amenaça #1

La majoria de violacions de comptes a gran escala avui no impliquen hacking, trencar contrasenyes o evitar l'encriptació. Impliquen un humà introduint una contrasenya en un lloc fals. El phishing és:

  • Barat — un atacant pot enviar milions de correus pel cost d'un VPS i un domini falsificat
  • Difícil de filtrar — els kits moderns roten dominis, utilitzen allotjament legítim i s'adapten als filtres en temps real
  • Efectiu — fins i tot usuaris conscients de la seguretat cauen en intents ben elaborats i dirigits (spear phishing)
  • Escalable — un sol phish reeixit sovint dona accés a dotzenes de serveis connectats a través de la reutilització de contrasenyes

L'Informe d'Investigacions de Violació de Dades de Verizon de 2024 va trobar que el phishing va ser el vector d'accés inicial en més del 36% de totes les violacions — més que qualsevol altra causa individual.

Com funciona el phishing modern

El phishing ha evolucionat molt més enllà dels correus del "príncep nigerià" dels anys 2000. Un atac de phishing modern típicament inclou:

1. Un esquer convincent

Normalment un correu electrònic, text o missatge de xat creant urgència ("El vostre compte serà suspès"), autoritat ("equip de seguretat Microsoft"), o curiositat ("Algú us ha etiquetat en una foto"). El spear-phishing va més enllà amb detalls personals extrets de LinkedIn, bases de dades de violacions o correspondència prèvia.

2. Un lloc fals pixel per pixel

Els atacants utilitzen kits de phishing prefabricats que clonen l'HTML, CSS i JavaScript del lloc objectiu. Molts kits es venen com a servei (phishing-as-a-service), amb panells de control funcionant i suport al client.

3. Un proxy en temps real per 2FA

La part perillosa: els kits moderns no només capturen la vostra contrasenya. Actuen com un proxy home-en-el-mig que retransmet tot el que escriviu — incloent el vostre codi TOTP — al lloc real en segons, evitant la majoria de 2FA. Aquesta tècnica s'anomena adversari-en-el-mig (AiTM) i s'utilitza en eines com Evilginx2 i Modlishka.

4. Robatori de tokens de sessió

Un cop us autentiqueu a través del proxy, l'atacant captura la vostra cookie de sessió i pot utilitzar-la per mantenir-se connectat fins i tot després que canvieu la vostra contrasenya. És per això que la resposta al phishing sempre inclou revocar sessions actives, no només rotació de contrasenyes.

El que realment atura el phishing

Claus de seguretat de maquinari (FIDO2 / WebAuthn)

Aquesta és l'única categoria de defensa que és a prova de phishing per disseny. Quan inicieu sessió amb una clau FIDO2, la vostra clau verifica criptogràficament el domini exacte del lloc que sol·licita autenticació. Un lloc fals — no importa com de visualment perfecte — té un domini diferent, així que la clau es nega a respondre. L'intercanvi criptogràfic simplement no es completa.

Google va obligar famosament les YubiKeys per a tots els 85.000+ empleats el 2017 i va reportar zero atacs de phishing reeixits en comptes de l'empresa en els anys següents.

Passkeys

Les passkeys són l'evolució amigable per al consumidor de FIDO2. Utilitzen la mateixa criptografia vinculada al domini i estan integrades a iOS, Android, macOS i Windows. Si un lloc que utilitzeu suporta passkeys, activar-ne una fa que aquell compte sigui a prova de phishing.

Gestors de contrasenyes

Un gestor de contrasenyes és la vostra segona línia de defensa perquè només emplena automàticament credencials en el domini exacte on es van desar. Si aterreu a paypaI.com (I majúscula) en lloc de paypal.com, el vostre gestor es nega silenciosament a emplenar el formulari. Aquesta negativa és un avís fort que alguna cosa està malament.

Filtrat de correu electrònic i DNS

Els proveïdors de correu electrònic utilitzen DMARC, SPF i DKIM per detectar adreces de remitent falsificades. La majoria de proveïdors moderns capturen els intents obvis, però els atacs dirigits encara s'escolen. Activeu els botons "informa phishing" al vostre client de correu perquè ajudeu els filtres a millorar.

Senyals d'alarma a vigilar

Quan rebeu un missatge que us demana que inicieu sessió, verifiqueu o actueu urgentment:

  • Urgència i amenaces — "El vostre compte es tancarà en 24 hores"
  • Salutacions genèriques — "Estimat client" en lloc del vostre nom
  • Dominis similarspaypaI.com, app1e.com, secure-microsoft-login.net
  • Adjunts inesperats — especialment fitxers .zip, .html o .pdf que us demanen iniciar sessió per veure'ls
  • Errors gramaticals o de format — les grans empreses revisen els seus correus
  • Desajust d'enllaços — passeu el cursor per sobre de l'enllaç i comproveu si la destinació coincideix amb el text

Si alguna cosa us sembla estranya, tanqueu el correu electrònic. Aneu al lloc manualment. Si hi ha un problema real, el veureu quan inicieu sessió a través del vostre flux de treball normal.

Què fer si heu caigut en un

Actueu ràpidament — la velocitat importa perquè els atacants comencen a utilitzar credencials en minuts.

  1. Canvieu la contrasenya immediatament en un dispositiu diferent (el vostre telèfon, per exemple, si hi heu caigut al portàtil)
  2. Revoqueu totes les sessions actives a la configuració del compte — això expulsa qualsevol que estigui utilitzant tokens de sessió robats
  3. Activeu 2FA si no estava ja activat, i utilitzeu una clau de maquinari o passkey si és possible
  4. Comproveu activitat no autoritzada — correus enviats, inicis de sessió recents, canvis de facturació, noves regles de reenviament
  5. Notifiqueu la institució afectada si és un compte financer o de treball
  6. Comproveu altres comptes que utilitzaven la mateixa contrasenya — fins i tot si esteu segurs que no reutilitzeu contrasenyes, comproveu-ho

La conclusió

El phishing prospera perquè evita la tecnologia i té com a objectiu els humans. Les millors defenses combinen tres capes: gestors de contrasenyes (es neguen a emplenar automàticament en dominis incorrectes), 2FA resistent al phishing (claus de maquinari o passkeys que es vinculen al domini real), i escepticisme sa (mai iniciar sessió des d'un enllaç de correu electrònic).

Activeu les tres al vostre compte més important — el vostre correu electrònic — primer. A partir d'aquí, la resta de la vostra vida digital es torna significativament més segura.

Com protegir-se del phishing

Una llista de verificació pràctica i ordenada per endurir els vostres comptes contra atacs de phishing.

  1. Utilitzeu un gestor de contrasenyes:Instal·leu un gestor de contrasenyes de confiança (1Password, Bitwarden, Proton Pass) i deixeu que empleni automàticament les credencials. Es negarà a emplenar automàticament en dominis similars, donant-vos un detector de phishing integrat.
  2. Activeu 2FA resistent al phishing:Afegiu una clau de maquinari FIDO2 (YubiKey, Google Titan) o passkey als vostres comptes més importants — primer el correu electrònic, després la banca, emmagatzematge al núvol i gestor de contrasenyes. Aquests són els únics mètodes 2FA que realment aturen el phishing modern.
  3. Mai inicieu sessió des d'enllaços de correu electrònic:Quan rebeu un correu electrònic que us demana que inicieu sessió, tanqueu el correu i aneu al lloc manualment a través d'un marcador o escrivint l'URL. L'enllaç del correu electrònic podria ser un clon perfecte; el marcador del vostre navegador no ho és.
  4. Comproveu el domini exacte abans d'escriure:Abans d'introduir qualsevol contrasenya, mireu l'URL completa a la barra d'adreces. Cerqueu https, l'ortografia correcta, i cap subdomini extra com paypal.com.secure-login.net.
  5. Informeu i continueu:Informeu de l'intent de phishing al vostre proveïdor de correu electrònic (la majoria tenen un botó "Informa phishing"). Després continueu amb el vostre dia — el phishing només és perillós si hi caueu, i la conscienciació és la major part de la batalla.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email