En el marco del Mes Europeo de la Ciberseguridad, impulsado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la empresa Palo Alto Networks ha identificado cinco percepciones equivocadas que siguen comprometiendo la protección digital de usuarios y organizaciones.
Estas creencias, lejos de ser triviales, facilitan ataques basados en técnicas avanzadas de ingeniería social, con especial protagonismo de los códigos QR, las redirecciones encadenadas y los enlaces acortados.
La campaña de concienciación promovida por ENISA se desarrolla cada mes de octubre y se ha convertido en una referencia institucional en Europa. Su objetivo principal es visibilizar los riesgos emergentes en el ecosistema digital y fomentar una cultura de prevención en todos los niveles de la sociedad digital. En este contexto, Palo Alto Networks ha señalado cómo determinados mitos siguen dificultando la adopción de buenas prácticas en ciberseguridad y elevando la exposición ante amenazas crecientes.
1. La mera visualización de un sitio web sospechoso puede bastar para una infección
Uno de los errores más frecuentes es pensar que visitar una página sin interactuar con ella es inofensivo. Según la firma, este tipo de sitios puede ejecutar ataques automatizados conocidos como drive-by downloads, además de realizar identificaciones de dispositivos mediante fingerprinting o explotar vulnerabilidades zero-day en navegadores a través de scripts maliciosos. Estas técnicas permiten extraer datos o iniciar descargas sin intervención del usuario.
Incluso si se cierra la pestaña de forma inmediata, los procesos de rastreo o instalación pueden haber comenzado segundos antes. El ataque se produce en segundo plano y puede comprometer tanto ordenadores como dispositivos móviles, sobre todo si no están debidamente actualizados o protegidos.
2. Los códigos QR en espacios públicos no garantizan fiabilidad
La expansión del phishing mediante códigos QR ha derivado en un nuevo vector de ataque. En ciudades como Madrid, se han detectado campañas de manipulación de carteles urbanos con mensajes engañosos diseñados para incitar al escaneo del código. En un ejemplo reciente, un cartel con el mensaje “David, me engañaste” dirigía a los usuarios a una página fraudulenta a través de una cadena de redirecciones legítimas.
El problema se agrava porque las cámaras de los teléfonos móviles ofrecen una vista previa limitada, lo que impide verificar el destino del enlace. Además, muchos ataques se camuflan tras servicios conocidos mediante dominios o subdominios diseñados para simular entornos auténticos de pago, reservas o login.
3. La apariencia del diseño ya no es un indicador fiable de autenticidad
El argumento de que el diseño visual de una página permite distinguir si es legítima o no ha perdido validez. Las técnicas actuales de suplantación incluyen el uso de dominios casi idénticos y múltiples redirecciones que terminan en réplicas exactas de servicios conocidos. Según un análisis de Unit 42, la división de inteligencia de amenazas de Palo Alto Networks, algunos actores incluso incorporan verificadores humanos como Cloudflare Turnstile para bloquear herramientas automáticas y mostrar el contenido malicioso únicamente a usuarios reales.
Estas tácticas buscan eludir los sistemas automatizados de detección, al tiempo que generan una falsa sensación de seguridad visual en el usuario final, que introduce datos personales en formularios sin advertir la manipulación.
4. Cerrar la página no revierte los efectos del ataque
Otra idea extendida es que abandonar rápidamente una web potencialmente peligrosa elimina el riesgo. Sin embargo, los ciberataques suelen ejecutarse de forma inmediata al cargar la página. Los scripts maliciosos pueden haber recogido información como dirección IP, datos del navegador o ubicación, además de ejecutar códigos que instalan malware sin que el usuario lo advierta.
Además, los kits de phishing más sofisticados son capaces de redirigir a páginas legítimas o mostrar errores 404 cuando detectan que están siendo monitorizados, lo que complica su detección por parte de los sistemas de seguridad y dificulta el análisis posterior del incidente.
5. La seguridad de los móviles personales y corporativos no es equivalente
El último mito desmontado por Palo Alto Networks apunta a la falsa equiparación entre el nivel de seguridad de los móviles personales y los dispositivos corporativos. En términos generales, los terminales privados carecen de herramientas avanzadas de protección, como soluciones EDR (detección y respuesta de endpoints), filtrado DNS, contenedores de aplicaciones o políticas activas de actualización de parches.
A esto se suma un uso más extendido para actividades cotidianas —como pagos, escaneos, reservas o navegación en redes sociales— que amplía el margen de ataque. Según datos de Unit 42, el phishing vía SMS, QR o enlaces acortados ha ganado protagonismo en campañas dirigidas a usuarios en España y Estados Unidos, con afectación en sectores como sanidad, educación, energía y banca.
Recomendaciones para mitigar los riesgos cotidianos
Ante este panorama, Palo Alto Networks ha difundido una serie de recomendaciones orientadas a reducir la exposición a este tipo de amenazas:
- Mantener siempre actualizados los navegadores y sistemas operativos, aplicando los parches de seguridad disponibles.
- Evitar escanear códigos QR o pulsar enlaces no verificados. Siempre que sea posible, acceder manualmente al servicio desde el navegador o mediante búsquedas.
- Revisar cuidadosamente la URL antes de introducir datos. Es recomendable contrastarla con fuentes de análisis como VirusTotal o la herramienta Test a Site de Palo Alto Networks.
- Tener presente que cerrar una página potencialmente maliciosa no garantiza la anulación de procesos que ya se hayan iniciado.
- No proporcionar información sensible si se ha accedido a la web a través de un enlace recibido por SMS, correo electrónico o QR, aunque el diseño parezca auténtico.
Nuevas formas de fraude, mayor sofisticación técnica
El análisis de Palo Alto Networks evidencia un cambio de enfoque en las tácticas de ingeniería social empleadas por los atacantes, que priorizan métodos no invasivos a nivel visual pero altamente eficaces en términos técnicos. La explotación de elementos cotidianos —como códigos QR o enlaces en redes sociales— representa un desafío para los modelos tradicionales de concienciación, que aún dependen en exceso del criterio subjetivo del usuario.
Esta evolución obliga a revisar los protocolos de formación en ciberseguridad, tanto en entornos corporativos como en el ámbito individual, priorizando la anticipación técnica frente a la intuición visual o la experiencia previa.
