Cómo Enseñar a los Niños a Reconocer el Phishing y Sitios Falsos
Tabla de contenido
General 12 min de lectura

Cómo Enseñar a los Niños a Reconocer el Phishing y Sitios Falsos

El phishing es el ataque cibernético más común que enfrentan los niños. Esta guía enseña a los papás cómo explicarlo según la edad y construir habilidades duraderas de reconocimiento.

Tu hijo de 11 años recibe un correo que se ve exactamente como si viniera de Roblox: el logo, el esquema de colores, incluso el nombre del remitente. Dice que su cuenta será eliminada a menos que inicie sesión a través del enlace proporcionado en 48 horas. El correo incluso incluye su nombre de usuario. Hacen clic en el enlace y ven lo que parece la página de inicio de sesión de Roblox. Escriben sus credenciales. Al día siguiente, la cuenta desaparece. El Grupo de Trabajo Anti-Phishing (APWG) registró más de 5 millones de ataques de phishing en 2023—un récord histórico—y los niños son desproporcionadamente el blanco porque carecen de la experiencia para reconocer las sutiles señales de engaño. La buena noticia: el phishing tiene señales reveladoras, y son enseñables.

Puntos Clave

  • El phishing funciona creando una imitación convincente de una fuente confiable—la señal reveladora casi siempre está en la URL, la dirección del remitente o el marco de urgencia
  • Los niños de 9 a 12 años son el grupo de mayor riesgo para el phishing relacionado con gaming; los adolescentes enfrentan más phishing por correo y SMS dirigido a cuentas financieras
  • La habilidad más efectiva para enseñar es “verifica antes de hacer clic”—específicamente, cómo leer una URL y verificar una dirección de remitente
  • Las empresas reales nunca piden contraseñas, información de pago o credenciales de inicio de sesión por correo electrónico o chat
  • Un ejercicio de “prueba de phishing” en casa (usando correos de spam reales juntos) es más efectivo que cualquier explicación basada en reglas

Qué Es el Phishing y Cómo Funciona

El phishing es un intento de robar credenciales, información financiera o datos personales haciéndose pasar por una fuente confiable. La palabra es un juego con “fishing” (pescar en inglés)—el atacante lanza el anzuelo y espera que alguien muerda. El anzuelo es generalmente un correo, mensaje de texto o mensaje directo que parece venir de una organización legítima: un banco, una plataforma de gaming, un servicio de streaming, una escuela o incluso un amigo.

Los ataques de phishing han evolucionado significativamente. Los correos de phishing modernos a menudo incluyen:

  • El nombre de usuario o nombre real del destinatario (obtenido de brechas anteriores o redes sociales)
  • Logos precisos y formato de marca copiado de comunicaciones reales
  • Direcciones de remitentes que parecen legítimas a primera vista (soporte@roblox-seguridad.com en lugar de soporte@roblox.com)
  • Certificados SSL (el candado verde) en el sitio web falso, que los niños y muchos adultos interpretan incorrectamente como indicador de seguridad

Las Cuatro Señales de un Intento de Phishing

Enséñale a tu hijo estas cuatro verificaciones como una secuencia—no una lista de reglas, sino un procedimiento a ejecutar antes de hacer clic en cualquier cosa inesperada.

Señal 1: Verifica la Dirección del Remitente (No Solo el Nombre)

Los clientes de correo muestran un nombre para mostrar (que puede ser cualquier cosa: “Soporte de Roblox”, “PayPal”, “Tu Banco”) y la dirección de correo real (que revela la verdad). Muéstrale a tu hijo cómo hacer clic en el nombre del remitente para revelar la dirección completa. Los correos legítimos de Roblox vienen de @roblox.com. Cualquier otra cosa—@roblox-seguridad.com, @roblox.net, @notificaciones-roblox.com—es falsa.

Ejercicio: Encuentra 3 correos en tu carpeta de spam juntos. Haz clic en el nombre de cada remitente y examina la dirección de correo real. Discute qué hace que cada uno sea sospechoso o legítimo.

Señal 2: Verifica la URL Antes de Hacer Clic

La habilidad más importante: antes de hacer clic en cualquier enlace, verifica hacia dónde va. En computadora de escritorio, pasar el cursor sobre un enlace muestra la URL de destino en la barra de estado del navegador. En el celular, mantener presionado un enlace muestra una vista previa del destino.

Enséñale la anatomía de una URL:

  • El dominio son las dos últimas partes antes de la primera barra simple: roblox.com/seguridad es legítimo; roblox-seguridad.com/roblox no lo es
  • Los sitios web legítimos terminan en el dominio esperado (.com, .org, .gob.mx para sitios gubernamentales de México)
  • Errores ortográficos como “rblox.com” o “paypa1.com” son indicadores de phishing
  • Una cadena sospechosa antes del dominio legítimo (roblox.com.sitio-hacker.net) significa que el dominio real es sitio-hacker.net, no roblox.com

Ejercicio: Visita un sitio web de gaming que use tu hijo. Examina la URL juntos e identifica el dominio real. Luego mira una URL sospechosa falsa que escribas en papel y pídele que identifique qué está mal con ella.

Señal 3: Reconoce el Patrón de Urgencia y Miedo

Las organizaciones legítimas no amenazan con eliminar tu cuenta en 48 horas por correo electrónico. Las organizaciones legítimas no envían correos diciendo que debes actuar AHORA o enfrentar consecuencias irreversibles. Cuando cualquier comunicación—correo, texto, mensaje en el juego—crea urgencia extrema o miedo, esa urgencia en sí misma es la señal de advertencia.

Enséñale la “regla de pausa”: cada vez que un mensaje digital te haga sentir que debes actuar de inmediato para evitar un resultado malo, haces una pausa. No haces clic en nada. Vas directamente al sitio oficial (escribiéndolo tú mismo) o le preguntas a un adulto.

Señal 4: Nunca Ingreses Credenciales Desde un Enlace

La regla más clara: nunca ingreses un nombre de usuario o contraseña en ninguna página a la que llegaste haciendo clic en un enlace de un correo electrónico, mensaje de texto o mensaje de chat. Siempre navega al sitio tú mismo escribiendo la URL.

Tabla de Escenarios de Phishing Comunes Contra Niños

PlataformaAnzuelo ComúnSeñales Rojas
Roblox”Tu cuenta violó los términos,” “Verifica para reclamar Robux gratis”Remitente no es @roblox.com, enlaces a dominios tipo roblox-algo
Fortnite/Epic”Tu cuenta está baneada,” “Reclama tus V-Bucks”Enlaces no a epicgames.com
Minecraft”Migración de cuenta requerida”No a microsoft.com ni minecraft.net
YouTube”Tu canal será eliminado”Remitente no @youtube.com
Gaming general”Ganaste un torneo,” “Tarjeta regalo gratis”Sin participación previa, referencia vaga a “torneo”
Escuela”Importante: cambia tu contraseña de cuenta”Dominio no escolar, pide contraseña por correo

Enfoques de Enseñanza Según la Edad

Edades 6–8: El Concepto de “Correo Trampa”

A esta edad, los niños pueden entender que algunos mensajes son “mensajes trampa” que intentan robar información. Enmarçalo concretamente: “Algunas personas malas envían correos falsos que parecen reales para intentar robar tu contraseña del juego. Son como alguien usando un disfraz para fingir ser de Roblox.” El mensaje clave: “Nunca hagas clic en enlaces de correos sin preguntarme primero.”

Edades 9–11: La Verificación de URL

Los niños de esta edad pueden aprender a leer URLs y verificar direcciones de remitentes. Conviértelo en un juego: “Veamos este correo y descubramos si es real o falso.” Practica con correos de spam en tu propia bandeja de entrada. Este grupo de edad encuentra phishing de gaming más frecuentemente, así que fundamenta los ejemplos en contextos de gaming.

Edades 12–15: Alfabetización Completa Sobre Phishing

Los adolescentes pueden entender el mecanismo completo. Revisa juntos un correo de phishing real o realista e identifica cada elemento del engaño: el logo clonado, la dirección de remitente manipulada, la URL falsa, el marco de urgencia y lo que habría sucedido si hubieran hecho clic. El Quiz de Phishing de Google (phishingquiz.withgoogle.com) permite a los adolescentes probar sus habilidades de identificación de phishing de forma interactiva.

Qué Hacer Cuando tu Hijo Encuentra un Intento de Phishing

  1. No hagas clic en nada. Cierra el correo/mensaje sin hacer clic.
  2. Toma una captura de pantalla y muéstrasela a un adulto. No se trata de meterse en problemas—se trata de aprender a identificarlos juntos.
  3. Reporta el intento de phishing. Reenvía correos sospechosos de gaming a phishing@roblox.com (para correos falsos de Roblox) o a abuse@epicgames.com (para correos falsos de Fortnite). Esto ayuda a las plataformas a proteger a otros niños.
  4. Si ya se ingresaron credenciales: Cambia la contraseña de inmediato en la plataforma real. Activa o verifica que 2FA esté activo.

Qué Vigilar Durante 3 Meses

  • Mes 1: Ten una “sesión de entrenamiento sobre phishing” usando tu carpeta de spam. Selecciona tres correos juntos y evalúa cada uno. Explica la verificación de dirección de remitente y la verificación de URL. Hazlo interactivo, no una conferencia.
  • Mes 2: Configura filtros de phishing si aún no lo has hecho. Gmail, Outlook y la mayoría de los servicios de correo tienen detección integrada de phishing, pero no es perfecta. Asegúrate de que la cuenta de correo de tu hijo tenga estos filtros activos.
  • Mes 3: Verifica si la dirección de correo de tu hijo aparece en alguna brecha de datos (usa haveibeenpwned.com). Si aparece, probablemente esté en listas de phishing y pueda recibir intentos más dirigidos. Aumenta la frecuencia de conversaciones en consecuencia.

Preguntas Frecuentes

¿Cuál es la diferencia entre phishing, smishing y vishing?

El phishing usa correo electrónico. El smishing usa mensajes de texto SMS (“Tu paquete está retrasado—haz clic aquí para reprogramar”). El vishing usa llamadas telefónicas (“Soy soporte de Microsoft—tu computadora tiene un virus”). Los tres usan tácticas de ingeniería social para robar información. Los principios de reconocimiento son los mismos: verifica la fuente de forma independiente, nunca proporciones credenciales cuando te contactan en lugar de contactarlos tú primero.

Mi hijo ya hizo clic en un enlace de phishing pero no ingresó información. ¿Está en riesgo?

Posiblemente. Hacer clic puede exponer tu dispositivo a descargas de malware drive-by (donde código malicioso se instala solo con visitar la página) y puede confirmar al phisher que la dirección de correo está activa. Ejecuta un análisis de malware en el dispositivo. Como precaución, cambia las contraseñas de las cuentas en las que recientemente iniciaron sesión en ese dispositivo.

¿Cómo puedo saber si un correo es realmente de la escuela?

Verifica el dominio del remitente. Los correos de la escuela deben venir de @[nombrescuela].edu.mx o @[nombrescuela].edu (dependiendo del país), no de direcciones genéricas de Gmail o Yahoo. Las escuelas no piden contraseñas por correo. Si recibes un correo urgente de “la escuela” a una dirección desconocida, llama a la escuela directamente antes de responder.

¿Hay herramientas que protejan automáticamente a los niños del phishing?

Sí. Los filtros de contenido a nivel DNS como OpenDNS FamilyShield o CleanBrowsing bloquean dominios de phishing conocidos antes de que carguen. Son gratuitos, requieren solo un cambio de configuración en el router y se aplican a todos los dispositivos en tu red doméstica. Son una capa técnica útil, pero no eliminan todo el phishing y no sustituyen enseñar habilidades de reconocimiento.

Sobre el autor

Ricky Flores es el fundador de HiWave Makers e ingeniero eléctrico con más de 15 años de experiencia desarrollando tecnología de consumo en Apple, Samsung y Texas Instruments. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo saturado de tecnología. Conoce más en hiwavemakers.com.

Fuentes

  1. Anti-Phishing Working Group (APWG). Phishing Activity Trends Report Q4 2023. apwg.org. https://docs.apwg.org/reports/apwg_trends_report_q4_2023.pdf
  2. Federal Bureau of Investigation (FBI). Phishing. fbi.gov. https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-scams-and-crimes/phishing
  3. Cybersecurity and Infrastructure Security Agency (CISA). Phishing Guidance. cisa.gov. https://www.cisa.gov/topics/cyber-threats-and-advisories/malware-phishing
  4. Federal Trade Commission. Cómo Reconocer y Reportar Mensajes de Texto Spam. consumer.ftc.gov. https://consumer.ftc.gov/articles/how-recognize-and-report-spam-text-messages
  5. Google. Phishing Quiz. phishingquiz.withgoogle.com. https://phishingquiz.withgoogle.com
  6. Kaspersky Lab. Phishing en América Latina: Tendencias 2024. kaspersky.com. https://latam.kaspersky.com/resource-center/definitions/what-is-phishing
  7. Proofpoint. 2024 State of the Phish Report. proofpoint.com. https://www.proofpoint.com/us/resources/threat-reports/state-of-phish
Ricky Flores
Escrito por Ricky Flores

Fundador de HiWave Makers e ingeniero eléctrico con más de 15 años trabajando en proyectos con Apple, Samsung, Texas Instruments y otras empresas Fortune 500. Escribe sobre cómo los niños aprenden a construir, pensar y crear en un mundo impulsado por la tecnología.

Artículos relacionados

El Aburrimiento Es una Habilidad: El Tiempo No Estructurado que Tus Hijos Necesitan
General

El Aburrimiento Es una Habilidad: El Tiempo No Estructurado que Tus Hijos Necesitan

10 min de lectura
El Algoritmo de TikTok Explicado para Papás: Mecánica, No Pánico
General

El Algoritmo de TikTok Explicado para Papás: Mecánica, No Pánico

9 min de lectura
El Algoritmo de YouTube para Niños: Cómo Funciona y Por Qué YouTube Kids No Es Suficiente
General

El Algoritmo de YouTube para Niños: Cómo Funciona y Por Qué YouTube Kids No Es Suficiente

9 min de lectura