Saltar al contingut principal

Com protegir-te dels atacs de phishing

El phishing és la causa número 1 del robatori de comptes. Com funciona el phishing modern, senyals d'alerta i defenses que realment aturen els atacs.

Última actualització: 14 d’abril del 2026

Resum

  • El phishing és la causa número 1 de robatori de comptes: els atacants t'enganyen perquè introdueixis les teves credencials en un lloc fals.
  • Els kits moderns de phishing clonen les pàgines d'inici de sessió píxel per píxel i redirigeixen els teus codis 2FA en temps real.
  • Les claus de seguretat de maquinari (YubiKey, FIDO2) són l'única defensa dissenyada per ser immune al phishing.
  • Els gestors de contrasenyes et protegeixen negant-se a emplenar automàticament en dominis incorrectes.
  • Comprova el domini exacte abans d'introduir credencials i no iniciïs sessió mai des d'un enllaç d'un correu electrònic.

Què és el phishing?

El phishing és un atac d'enginyeria social en el qual un atacant crea una còpia convincent d'un lloc web legítim — sovint píxel per píxel — i enganya la víctima perquè hi introdueixi les seves credencials. En el moment en què la víctima envia el formulari, l'atacant captura el nom d'usuari, la contrasenya i qualsevol segon factor, i els utilitza per prendre el control del compte real en qüestió de segons.

La paraula prové de la metàfora de "pescar" víctimes amb esquer (habitualment un correu electrònic). L'ortografia va canviar per emfatitzar que els atacants sovint utilitzen números de telefon (phishing per SMS, o "smishing") i infraestructures d'aparença professional.

Per què el phishing continua sent l'amenaça número 1

La majoria de les violacions de comptes a gran escala avui dia no impliquen pirateig, trencament de contrasenyes ni elusió del xifratge. Impliquen una persona que escriu una contrasenya en un lloc fals. El phishing és:

  • Barat — un atacant pot enviar milions de correus electrònics pel cost d'un VPS i un domini falsificat
  • Difícil de filtrar — els kits moderns roten dominis, utilitzen allotjament legítim i s'adapten als filtres en temps real
  • Eficaç — fins i tot els usuaris conscienciats en seguretat cauen en intents dirigits ben elaborats (spear phishing)
  • Escalable — un sol phishing exitós sovint proporciona accés a dotzenes de serveis connectats mitjançant la reutilització de contrasenyes

L'informe Verizon Data Breach Investigations Report de 2024 va constatar que el phishing va ser el vector d'accés inicial en més del 36% de totes les violacions de dades — més que qualsevol altra causa individual.

Com funciona el phishing modern

El phishing ha evolucionat molt més enllà dels correus del "príncep nigerià" dels anys 2000. Un atac de phishing modern inclou típicament:

1. Un esquer convincent

Habitualment un correu electrònic, un missatge de text o un missatge de xat que crea urgència ("El teu compte serà suspès"), autoritat ("Equip de seguretat de Microsoft") o curiositat ("Algú t'ha etiquetat en una foto"). El spear-phishing va més lluny amb detalls personals extrets de LinkedIn, bases de dades de filtracions o correspondència prèvia.

2. Un lloc fals perfecte píxel per píxel

Els atacants utilitzen kits de phishing disponibles al mercat que clonen l'HTML, el CSS i el JavaScript del lloc objectiu. Molts kits es venen com a servei (phishing-as-a-service), amb panells de control funcionals i suport al client.

3. Un proxy en temps real per al 2FA

La part perillosa: els kits moderns no es limiten a capturar la teva contrasenya. Actuen com a proxy de tipus home al mig que reenvía tot el que escrius — inclòs el teu codi TOTP — al lloc real en qüestió de segons, eludint la majoria del 2FA. Aquesta tècnica s'anomena adversari al mig (AiTM) i s'utilitza en eines com Evilginx2 i Modlishka.

4. Robatori de testimonis de sessió

Un cop t'autentiques a través del proxy, l'atacant captura el teu testimoni de sessió (cookie) i pot utilitzar-lo per romandre connectat fins i tot després que canviïs la teva contrasenya. Per això, la resposta al phishing sempre inclou la revocació de les sessions actives, no només la rotació de contrasenyes.

Què atura realment el phishing

Claus de seguretat de maquinari (FIDO2 / WebAuthn)

Aquesta és l'única categoria de defensa que és immune al phishing per disseny. Quan inicies sessió amb una clau FIDO2, la clau verifica criptogràficament el domini exacte del lloc que sol·licita l'autenticació. Un lloc fals — per molt visualment perfecte que sigui — té un domini diferent, de manera que la clau es nega a respondre. La intercanvi criptogràfica simplement no es completa.

Google va imposar famosament les YubiKeys a tots els seus més de 85.000 empleats el 2017 i va informar de zero atacs de phishing reeixits als comptes de l'empresa en els anys posteriors.

Passkeys

Les passkeys són l'evolució orientada al consumidor de FIDO2. Utilitzen la mateixa criptografia associada al domini i estan integrades a iOS, Android, macOS i Windows. Si un lloc que utilitzes admet passkeys, activar-ne una fa que aquell compte sigui immune al phishing.

Gestors de contrasenyes

Un gestor de contrasenyes és la teva segona línia de defensa perquè només emplena automàticament les credencials en el domini exacte on es van desar. Si arribes a paypaI.com (I majúscula) en lloc de paypal.com, el teu gestor es nega silenciosament a emplenar el formulari. Aquesta negativa és un avís clar que alguna cosa no va bé.

Filtrat de correu electrònic i DNS

Els proveïdors de correu electrònic utilitzen DMARC, SPF i DKIM per detectar adreces de remitent falsificades. La majoria dels proveïdors moderns intercepten els intents obvis, però els atacs dirigits encara se'n surten. Activa els botons de "informar de phishing" al teu client de correu perquè ajudis a millorar els filtres.

Senyals d'alerta que cal vigilar

Quan reps un missatge que et demana que iniciïs sessió, que verifiquis alguna cosa o que actuïs amb urgència:

  • Urgència i amenaces — "El teu compte es tancarà en 24 hores"
  • Salutacions genèriques — "Estimat client" en lloc del teu nom
  • Dominis similars als legítimspaypaI.com, app1e.com, secure-microsoft-login.net
  • Fitxers adjunts inesperats — especialment fitxers .zip, .html o .pdf que et demanen que iniciïs sessió per veure'ls
  • Errors gramaticals o de format — les grans empreses revisen els seus correus electrònics
  • Discrepància d'enllaços — passa el cursor per sobre de l'enllaç i comprova si la destinació coincideix amb el text

Si alguna cosa et sembla sospitosa, tanca el correu electrònic. Navega manualment al lloc. Si hi ha un problema real, el veuràs quan iniciïs sessió mitjançant el teu flux de treball habitual.

Què fer si has caigut en un atac

Actua ràpidament — la velocitat és important perquè els atacants comencen a utilitzar les credencials en qüestió de minuts.

  1. Canvia la contrasenya immediatament des d'un dispositiu diferent (el teu telèfon, per exemple, si hi has caigut des del teu ordinador portàtil)
  2. Revoca totes les sessions actives a la configuració del compte — això expulsa qualsevol persona que estigui utilitzant testimonis de sessió robats
  3. Activa el 2FA si no estava activat, i utilitza una clau de maquinari o una passkey si és possible
  4. Comprova si hi ha activitat no autoritzada — correus enviats, inicis de sessió recents, canvis de facturació, noves regles de reenviament
  5. Notifica l'entitat afectada si es tracta d'un compte financer o de feina
  6. Comprova altres comptes que utilissin la mateixa contrasenya — fins i tot si estàs segur que no reutilitzes contrasenyes, comprova-ho

La conclusió

El phishing prospera perquè eludeix la tecnologia i es dirigeix als humans. Les millors defenses combinen tres capes: gestors de contrasenyes (es neguen a emplenar automàticament en dominis incorrectes), 2FA resistent al phishing (claus de maquinari o passkeys associades al domini real) i escepticisme saludable (no iniciïs sessió mai des d'un enllaç de correu electrònic).

Activa les tres en el teu compte més important — el correu electrònic — primer. A partir d'aquí, la resta de la teva vida digital es torna significativament més segura.

Com protegir-te del phishing

Una llista de comprovació pràctica i ordenada per reforçar els teus comptes contra els atacs de phishing.

  1. Utilitza un gestor de contrasenyes:Instal·la un gestor de contrasenyes de confiança (1Password, Bitwarden, Proton Pass) i deixa que empleni les credencials automàticament. Es negarà a emplenar en dominis similars als legítims, cosa que et proporciona un detector de phishing integrat.
  2. Activa el 2FA resistent al phishing:Afegeix una clau de maquinari FIDO2 (YubiKey, Google Titan) o una passkey als teus comptes més importants — primer el correu electrònic, després la banca, l'emmagatzematge al núvol i el gestor de contrasenyes. Aquests són els únics mètodes 2FA que realment aturen el phishing modern.
  3. No iniciïs sessió mai des d'enllaços de correu electrònic:Quan rebis un correu electrònic que et demani que iniciïs sessió, tanca el correu i navega manualment al lloc mitjançant un marcador o escrivint l'URL. L'enllaç del correu pot ser un clon perfecte; el marcador del teu navegador no ho és.
  4. Comprova el domini exacte abans d'escriure:Abans d'introduir qualsevol contrasenya, mira l'URL complet a la barra d'adreces. Verifica que hi hagi https, l'ortografia correcta i que no hi hagi subdominis addicionals com paypal.com.secure-login.net.
  5. Informa i continua:Informa del intent de phishing al teu proveïdor de correu electrònic (la majoria tenen un botó "Informar de phishing"). Després continua amb el teu dia — el phishing només és perillós si hi caus, i la conscienciació és la major part de la batalla.

Preguntes freqüents