CH-CIB-03 · Apoyo 1

Laboratorio de Phishing

Aprende a identificar correos maliciosos · Análisis interactivo

Tu misión, clara. Inspecciona. Identifica. Reporta.
Alineación: AGE-GIR-DIN-005 Política General · PV-CIB-01 Phishing Masivo · ForceGen 2.0
🔍 Instrucciones: Haz clic en los elementos subrayados o destacados de cada correo para descubrir por qué son sospechosos. Cada correo tiene entre 3 y 5 indicadores de alerta. Encuéntralos todos para completar el análisis.

1 Actualización urgente de credenciales

Puntos clave — Correo 1

  • Verifica siempre el dominio completo del remitente, no solo el nombre visible: un carácter cambiado puede hacer pasar un dominio falso por legítimo.
  • Colpensiones nunca notifica incidentes de seguridad ni suspensiones de cuentas por correo electrónico sin proceso formal previo.
  • La presión de tiempo y las amenazas son las señales más claras de phishing: un proceso real da plazos razonables y tiene canales oficiales de comunicación.

2 Citación de la Contraloría General

Puntos clave — Correo 2

  • Las entidades de control del Estado (Contraloría, DIAN, SFC) NUNCA envían citaciones oficiales por correo electrónico — siempre llegan por correo certificado físico o notificación judicial formal.
  • Los dominios fraudulentos insertan el nombre oficial como parte del subdominio o directorio para engañar a primera vista: lee siempre el dominio raíz (la parte antes de .com/.co/.xyz).
  • Adjuntos PDF o documentos de entidades no solicitados son vectores clásicos de entrega de malware — reporta sin abrir.

3 Actualización de nómina — Recursos Humanos

Puntos clave — Correo 3

  • Ningún área de Colpensiones solicitará tu cuenta bancaria, número de cédula o cualquier dato personal sensible por correo electrónico — esa información ya existe en los sistemas internos.
  • Los dominios corporativos de Colpensiones terminan en @colpensiones.gov.co — cualquier variación (.com, -beneficios.com, .co) es una señal de alerta inmediata.
  • Frases como "completamente seguros" o "proceso obligatorio" sin respaldo en el sistema interno son técnicas de manipulación psicológica para reducir la desconfianza.

4 Correo generado por IA — El más peligroso

Puntos clave — Correo 4 (fraude del CEO / BEC)

  • El fraude BEC (Business Email Compromise) es el más costoso a nivel mundial. La IA puede generar correos indistinguibles de comunicación real, con contexto específico y tono correcto.
  • Ninguna transferencia financiera debe procesarse basándose únicamente en un correo — sin importar quién parece ser el remitente. El protocolo siempre exige verificación por canal alternativo.
  • La solicitud de secretismo o confidencialidad ("no comentes con nadie") es la señal más definitiva de fraude: los procesos legítimos son transparentes y documentados en los sistemas internos.