Recibes un correo de tu banco: «Actividad sospechosa detectada. Haz clic aquí para verificar tu cuenta.» El logo es idéntico, la dirección parece legítima, el tono es urgente. Todo parece real. Y precisamente eso es lo que hace peligroso al phishing: está diseñado para parecer real. En esta guía te enseño a leer las señales que delatan estos ataques en correo, SMS y llamadas, y qué hacer si ya has caído.
El phishing es una técnica de engaño que consiste en suplantar la identidad de una empresa, institución o persona de confianza para que la víctima entregue voluntariamente sus datos: contraseñas, números de tarjeta, acceso a cuentas o información personal. No es un virus que se instala solo: es ingeniería social pura. El atacante no hackea tu ordenador, te convence de que abras la puerta tú mismo. Según el informe de APWG (Anti-Phishing Working Group), los ataques de phishing superaron los 5 millones anuales en 2024, con el sector financiero como el más atacado. Y los ataques son cada vez más sofisticados: con herramientas de IA, los correos fraudulentos ya no tienen faltas de ortografía ni diseños chapuceros.
Las señales que delatan un phishing (incluso los buenos)
1. Urgencia artificial
«Tu cuenta será bloqueada en 24 horas.» «Confirma tu identidad inmediatamente.» «Se ha detectado un acceso no autorizado.» El phishing siempre quiere que actúes rápido, sin pensar. Las empresas legítimas raramente te dan un ultimátum por correo electrónico. Si recibes un mensaje urgente, respira, no hagas clic y ve directamente a la web oficial del servicio escribiendo la dirección en el navegador.
2. La dirección del remitente no cuadra
El nombre que aparece puede decir «Banco Santander» o «Amazon», pero la dirección real del correo es algo como soporte@banco-santander-verify.com o info@amaz0n-security.net. Pasa el ratón sobre el nombre del remitente (sin hacer clic) para ver la dirección completa. Si el dominio no es exactamente el oficial (santander.es, amazon.es), es falso.
3. Los enlaces llevan a otro sitio
Antes de hacer clic en cualquier enlace, pasa el ratón por encima y mira la URL que aparece abajo a la izquierda del navegador (en móvil, mantén pulsado el enlace sin abrir). Si el enlace dice «Accede a tu cuenta» pero apunta a http://seguridad-banco.xyz/login, es phishing. Las webs legítimas usan su dominio oficial y siempre HTTPS.
4. Piden datos que no deberían pedir
Tu banco nunca te pedirá por correo electrónico tu contraseña completa, tu PIN, tu número de tarjeta o tu CVV. Ni por correo, ni por SMS, ni por llamada. Si un mensaje te pide esos datos, es fraudulento. Punto.
5. El saludo es genérico
«Estimado cliente» o «Querido usuario» en lugar de tu nombre real. Las empresas con las que tienes cuenta suelen dirigirse a ti por tu nombre. No siempre es una señal definitiva (algunos phishing sofisticados ya personalizan), pero combinada con otras señales, es un indicador.
Los canales del phishing: no solo llega por correo
Smishing (SMS). «Tu paquete de Correos está retenido. Pulsa aquí para pagar tasas.» Los SMS de phishing explotan servicios de paquetería, bancos y administraciones públicas. No hagas clic en enlaces de SMS de remitentes desconocidos.
Vishing (llamada telefónica). Alguien te llama diciendo ser del banco, de Microsoft o de la policía. Te pide datos, acceso remoto a tu ordenador o que hagas una transferencia «de seguridad». Cuelga y llama tú al número oficial de la entidad.
Phishing en redes sociales. Mensajes directos en Instagram o Facebook con enlaces a «verifica tu cuenta» o «alguien compartió una foto tuya». Los ataques que combinan phishing con malware son cada vez más elaborados y pueden terminar con acceso completo a tu dispositivo.
Quishing (QR malicioso). Códigos QR en carteles, menús o correos que redirigen a webs falsas. Antes de escanear un QR de origen dudoso, verifica a dónde lleva. La mayoría de cámaras de móvil modernos muestran la URL antes de abrirla.
Qué hacer si has hecho clic (protocolo de emergencia)
Si ya has pulsado el enlace pero no has introducido datos: cierra la pestaña, borra el correo y ejecuta un análisis antivirus. Probablemente no ha pasado nada, pero conviene verificar.
Si has introducido tus credenciales: cambia la contraseña del servicio afectado inmediatamente desde otro dispositivo. Activa la verificación en dos pasos si no la tenías. Revisa movimientos bancarios si has dado datos financieros. Contacta al banco para bloquear tarjetas si es necesario. Si crees que la cosa va más allá de un solo correo, sigue el protocolo completo de qué hacer cuando te han hackeado paso a paso.
Si has descargado un archivo adjunto: no lo abras. Si ya lo abriste, desconecta el dispositivo de internet, ejecuta un análisis completo y, en caso de duda, consulta a un profesional o al INCIBE (017) en España. Recuerda que incluso una cookie de sesión robada puede dar acceso a tus cuentas, como explican en el análisis sobre el secuestro de cookies y lo que Chrome está haciendo para evitarlo.
Cómo protegerte de forma preventiva
Activa la verificación en dos pasos en todas tus cuentas importantes. Aunque alguien consiga tu contraseña mediante phishing, no podrá acceder sin el segundo factor. Mejor aún: si el servicio lo permite, activa passkeys como las que ya ofrecen Facebook, Google o Microsoft, que son resistentes al phishing por diseño porque están vinculadas al dominio legítimo.
Usa un gestor de contraseñas: los gestores solo autocompletan credenciales en el dominio correcto, así que si estás en una web falsa, el gestor no ofrecerá las credenciales, lo que te sirve como alerta. Mantén el navegador y el sistema operativo actualizados. Chrome, Firefox, Safari y Edge incluyen listas de sitios de phishing conocidos y te avisan antes de entrar. No confíes en un correo solo porque tiene buena apariencia: los ataques modernos copian logos, tipografías y estilos a la perfección.
Mi valoración
Tras dos décadas leyendo correos sospechosos cada semana, mi regla práctica es esta: cualquier mensaje que me genere una micro-emoción (miedo, urgencia, codicia) lo trato como phishing hasta que se demuestre lo contrario. Cierro el correo, abro el navegador, escribo el dominio del banco o servicio a mano y compruebo desde dentro de su panel si realmente hay algo pendiente. En el 99% de los casos, no hay nada. Esos 30 segundos extra son la mejor inversión de seguridad gratuita que puedes hacer.
Preguntas frecuentes
¿Los filtros de spam no deberían bloquear el phishing?
Los filtros atrapan una buena parte, pero no todos. Los ataques más sofisticados —especialmente los dirigidos (spear phishing)— están diseñados para evadir filtros. No dependas solo del filtro de spam.
¿Puedo identificar un phishing en el móvil?
Es más difícil porque las pantallas pequeñas ocultan las URLs completas y los remitentes. En móvil, mantén pulsado cualquier enlace antes de abrirlo para ver a dónde apunta. Sé especialmente cauteloso con SMS (smishing).
¿El phishing solo afecta a particulares?
No. El 90% de los ciberataques a empresas comienzan con un correo de phishing dirigido a un empleado. Las consecuencias van desde el robo de datos hasta ransomware que paraliza toda la organización.