Ciberseguridad · elemento 60
Phishing
Verifica antes de hacer clic
En una frase
El phishing es el intento de engañarte para que des datos sensibles —contraseñas, códigos, número de tarjeta o acceso a la cuenta— haciéndose pasar por tu banco, una empresa o una administración. La defensa principal es simple: párate y verifica por tu cuenta antes de hacer clic o responder.
Qué significa
El phishing es una técnica de ingeniería social: no busca romper una contraseña por fuerza bruta, sino convencerte para que la des tú.
Puede llegar por distintos canales:
| Canal | Nombre habitual |
|---|---|
| Correo electrónico | Phishing |
| SMS | Smishing |
| Llamada telefónica | Vishing |
| WhatsApp o mensajería | Suplantación o fraude por mensajería |
| Redes sociales | Perfiles o anuncios falsos |
| Buscadores | Webs falsas posicionadas como si fueran oficiales |
El mensaje suele imitar a una entidad de confianza: banco, Hacienda, Seguridad Social, Correos, una empresa de paquetería, una plataforma de compraventa o un servicio de inversión.
Normalmente busca una de estas cosas:
- Que hagas clic en un enlace falso.
- Que introduzcas usuario y contraseña.
- Que des el número de tarjeta.
- Que facilites un código de verificación.
- Que instales una app o programa.
- Que hagas una transferencia.
- Que autorices una operación pensando que la estás anulando.
Señales de alerta
| Señal | Ejemplo |
|---|---|
| Urgencia | "Tu cuenta quedará bloqueada hoy" |
| Miedo | "Hemos detectado una operación sospechosa" |
| Premio o devolución | "Tienes una devolución pendiente" |
| Enlace extraño | El texto parece oficial, pero el dominio no cuadra |
| Petición de códigos | Te piden OTP, 2FA o claves de firma |
| Remitente sospechoso | La dirección no es el dominio oficial |
| Archivos inesperados | Facturas, multas o avisos que no esperabas |
| Llamada muy convincente | Dicen ser del banco y ya tienen algunos datos tuyos |
| Prisa por actuar | Quieren que decidas antes de pensar |
El problema es que cada vez tienen mejor aspecto. Con IA, plantillas reales y datos filtrados, muchos mensajes ya no tienen faltas evidentes. Por eso la defensa va más allá de "mirar si parece falso": la defensa es verificar por un canal independiente.
Por qué es importante
Importa porque es una de las puertas de entrada más habituales al fraude financiero.
Un ataque puede empezar con un SMS que parece del banco, una llamada que suplanta el número de la entidad, un WhatsApp sobre una entrega pendiente o un anuncio de inversión con una cara conocida.
El phishing funciona porque juega con emociones muy humanas: miedo a perder dinero, urgencia, aversión a la pérdida, curiosidad o confianza en una marca conocida.
También es peligroso porque el correo electrónico y el móvil son la puerta de entrada a muchos servicios. Si alguien consigue acceder a tu correo, puede intentar recuperar contraseñas de otras cuentas. Si consigue un código de un solo uso, puede autorizar operaciones en ese momento.
La regla de oro: verifica por tu cuenta
Ante cualquier mensaje que pida una acción urgente relacionada con dinero:
- No hagas clic en el enlace.
- No respondas al mensaje.
- No des códigos ni contraseñas.
- No llames al número que aparece en el mensaje.
- Entra tú mismo en la app o web oficial.
- Si hace falta, llama al número oficial de la entidad, por ejemplo el de detrás de la tarjeta.
Si el problema es real, lo verás entrando por tu cuenta. Si solo existe dentro del mensaje, probablemente era la estafa.
Estafas financieras habituales
| Estafa | Cómo funciona |
|---|---|
| SMS falso del banco | "Tarjeta bloqueada" u "operación sospechosa" con enlace a web falsa |
| Llamada del "departamento de seguridad" | Te piden códigos para "anular" una operación que ellos mismos están intentando hacer |
| Devolución de Hacienda | Prometen una devolución y piden tarjeta o datos bancarios |
| Paquete pendiente | Te hacen pagar una pequeña cantidad para obtener datos de tarjeta |
| Soporte técnico falso | Dicen que tienes un virus y piden acceso remoto |
| Inversión milagrosa | Prometen rendimientos altos y rápidos con una falsa entidad |
| Falso familiar por WhatsApp | "Soy tu hijo, he cambiado de número, necesito dinero" |
| Falso Bizum o compraventa | Te hacen aceptar una solicitud pensando que cobras, pero en realidad pagas |
Cómo aplicarlo hoy
- Activa alertas de movimientos en el banco. Te permiten detectar cargos extraños enseguida.
- Guarda en el móvil el teléfono oficial de tu banco o consúltalo siempre desde la app o la tarjeta.
- Entra al banco solo desde la app oficial o escribiendo tú la dirección. No desde enlaces recibidos.
- Activa el doble factor de autenticación en las cuentas importantes.
- Usa un gestor de contraseñas. Si el gestor no rellena la contraseña en una página que parece de tu banco, puede ser una web falsa.
- Desconfía de cualquier mensaje que te haga actuar con prisa. La prisa es parte del ataque.
Si ya has picado
Actúa rápido:
- Llama inmediatamente al banco por el número oficial.
- Bloquea tarjetas o cuentas si hace falta.
- Cambia la contraseña del servicio afectado.
- Cambia también la del correo si has introducido datos o tienes dudas.
- Revoca sesiones abiertas y dispositivos desconocidos.
- Guarda capturas, SMS, correos y números de teléfono.
- Contacta con INCIBE en el 017.
- Denuncia si hay pérdida económica o suplantación.
En fraudes con tarjeta o banca digital, el tiempo importa: cuanto antes avises a la entidad, más opciones tienes de limitar el daño.
Errores comunes
- Hacer clic porque "parecía del banco".
- Dar códigos 2FA u OTP por teléfono.
- Pensar que una llamada es segura porque sale el número del banco (se puede falsear).
- Entrar en la banca desde un enlace de un SMS.
- Confiar en un mensaje porque no tiene faltas de ortografía.
- Actuar deprisa porque el mensaje da miedo.
- No avisar al banco inmediatamente cuando sospechas que has picado.
- Pensar "a mí no me pasará". Las estafas funcionan precisamente porque están diseñadas para pillarte en un mal momento.
Vinculado con
- 2FA — Doble factor activo
- Gestor de contraseñas
- Copia de seguridad 3-2-1
- Descuento hiperbólico
- Las pérdidas pesan más
Recursos
📚 OSI — Fraudes bancarios, phishing, smishing y vishing. Guía oficial (INCIBE) con ejemplos reales. INCIBE define el smishing como el envío de SMS fraudulentos que suplantan a entidades legítimas para robar información o hacer cargos económicos.
📚 INCIBE — Línea de ayuda 017. Teléfono gratuito y confidencial para dudas e incidentes de ciberseguridad.
📚 Banco de España — Consejos de seguridad y fraudes. Recuerda que estas estafas a menudo buscan datos bancarios, claves de un solo uso u OTP, y que ninguna entidad los pide por canales no seguros.
📚 CNMV — Advertencias sobre chiringuitos financieros. Lista de entidades no autorizadas y alertas de estafas de inversión.
Ante la prisa por hacer clic, párate y verifica por tu cuenta.
← Volver a la tabla