Tabla periódica financiera

Ciberseguridad · elemento 60

Phishing

Verifica antes de hacer clic

En una frase

El phishing es el intento de engañarte para que des datos sensibles —contraseñas, códigos, número de tarjeta o acceso a la cuenta— haciéndose pasar por tu banco, una empresa o una administración. La defensa principal es simple: párate y verifica por tu cuenta antes de hacer clic o responder.

Qué significa

El phishing es una técnica de ingeniería social: no busca romper una contraseña por fuerza bruta, sino convencerte para que la des tú.

Puede llegar por distintos canales:

CanalNombre habitual
Correo electrónicoPhishing
SMSSmishing
Llamada telefónicaVishing
WhatsApp o mensajeríaSuplantación o fraude por mensajería
Redes socialesPerfiles o anuncios falsos
BuscadoresWebs falsas posicionadas como si fueran oficiales

El mensaje suele imitar a una entidad de confianza: banco, Hacienda, Seguridad Social, Correos, una empresa de paquetería, una plataforma de compraventa o un servicio de inversión.

Normalmente busca una de estas cosas:

  • Que hagas clic en un enlace falso.
  • Que introduzcas usuario y contraseña.
  • Que des el número de tarjeta.
  • Que facilites un código de verificación.
  • Que instales una app o programa.
  • Que hagas una transferencia.
  • Que autorices una operación pensando que la estás anulando.

Señales de alerta

SeñalEjemplo
Urgencia"Tu cuenta quedará bloqueada hoy"
Miedo"Hemos detectado una operación sospechosa"
Premio o devolución"Tienes una devolución pendiente"
Enlace extrañoEl texto parece oficial, pero el dominio no cuadra
Petición de códigosTe piden OTP, 2FA o claves de firma
Remitente sospechosoLa dirección no es el dominio oficial
Archivos inesperadosFacturas, multas o avisos que no esperabas
Llamada muy convincenteDicen ser del banco y ya tienen algunos datos tuyos
Prisa por actuarQuieren que decidas antes de pensar

El problema es que cada vez tienen mejor aspecto. Con IA, plantillas reales y datos filtrados, muchos mensajes ya no tienen faltas evidentes. Por eso la defensa va más allá de "mirar si parece falso": la defensa es verificar por un canal independiente.

Por qué es importante

Importa porque es una de las puertas de entrada más habituales al fraude financiero.

Un ataque puede empezar con un SMS que parece del banco, una llamada que suplanta el número de la entidad, un WhatsApp sobre una entrega pendiente o un anuncio de inversión con una cara conocida.

El phishing funciona porque juega con emociones muy humanas: miedo a perder dinero, urgencia, aversión a la pérdida, curiosidad o confianza en una marca conocida.

También es peligroso porque el correo electrónico y el móvil son la puerta de entrada a muchos servicios. Si alguien consigue acceder a tu correo, puede intentar recuperar contraseñas de otras cuentas. Si consigue un código de un solo uso, puede autorizar operaciones en ese momento.

La regla de oro: verifica por tu cuenta

Ante cualquier mensaje que pida una acción urgente relacionada con dinero:

  1. No hagas clic en el enlace.
  2. No respondas al mensaje.
  3. No des códigos ni contraseñas.
  4. No llames al número que aparece en el mensaje.
  5. Entra tú mismo en la app o web oficial.
  6. Si hace falta, llama al número oficial de la entidad, por ejemplo el de detrás de la tarjeta.

Si el problema es real, lo verás entrando por tu cuenta. Si solo existe dentro del mensaje, probablemente era la estafa.

Estafas financieras habituales

EstafaCómo funciona
SMS falso del banco"Tarjeta bloqueada" u "operación sospechosa" con enlace a web falsa
Llamada del "departamento de seguridad"Te piden códigos para "anular" una operación que ellos mismos están intentando hacer
Devolución de HaciendaPrometen una devolución y piden tarjeta o datos bancarios
Paquete pendienteTe hacen pagar una pequeña cantidad para obtener datos de tarjeta
Soporte técnico falsoDicen que tienes un virus y piden acceso remoto
Inversión milagrosaPrometen rendimientos altos y rápidos con una falsa entidad
Falso familiar por WhatsApp"Soy tu hijo, he cambiado de número, necesito dinero"
Falso Bizum o compraventaTe hacen aceptar una solicitud pensando que cobras, pero en realidad pagas

Cómo aplicarlo hoy

  1. Activa alertas de movimientos en el banco. Te permiten detectar cargos extraños enseguida.
  2. Guarda en el móvil el teléfono oficial de tu banco o consúltalo siempre desde la app o la tarjeta.
  3. Entra al banco solo desde la app oficial o escribiendo tú la dirección. No desde enlaces recibidos.
  4. Activa el doble factor de autenticación en las cuentas importantes.
  5. Usa un gestor de contraseñas. Si el gestor no rellena la contraseña en una página que parece de tu banco, puede ser una web falsa.
  6. Desconfía de cualquier mensaje que te haga actuar con prisa. La prisa es parte del ataque.

Si ya has picado

Actúa rápido:

  1. Llama inmediatamente al banco por el número oficial.
  2. Bloquea tarjetas o cuentas si hace falta.
  3. Cambia la contraseña del servicio afectado.
  4. Cambia también la del correo si has introducido datos o tienes dudas.
  5. Revoca sesiones abiertas y dispositivos desconocidos.
  6. Guarda capturas, SMS, correos y números de teléfono.
  7. Contacta con INCIBE en el 017.
  8. Denuncia si hay pérdida económica o suplantación.

En fraudes con tarjeta o banca digital, el tiempo importa: cuanto antes avises a la entidad, más opciones tienes de limitar el daño.

Errores comunes

  • Hacer clic porque "parecía del banco".
  • Dar códigos 2FA u OTP por teléfono.
  • Pensar que una llamada es segura porque sale el número del banco (se puede falsear).
  • Entrar en la banca desde un enlace de un SMS.
  • Confiar en un mensaje porque no tiene faltas de ortografía.
  • Actuar deprisa porque el mensaje da miedo.
  • No avisar al banco inmediatamente cuando sospechas que has picado.
  • Pensar "a mí no me pasará". Las estafas funcionan precisamente porque están diseñadas para pillarte en un mal momento.

Vinculado con

Recursos

📚 OSI — Fraudes bancarios, phishing, smishing y vishing. Guía oficial (INCIBE) con ejemplos reales. INCIBE define el smishing como el envío de SMS fraudulentos que suplantan a entidades legítimas para robar información o hacer cargos económicos.

📚 INCIBE — Línea de ayuda 017. Teléfono gratuito y confidencial para dudas e incidentes de ciberseguridad.

📚 Banco de España — Consejos de seguridad y fraudes. Recuerda que estas estafas a menudo buscan datos bancarios, claves de un solo uso u OTP, y que ninguna entidad los pide por canales no seguros.

📚 CNMV — Advertencias sobre chiringuitos financieros. Lista de entidades no autorizadas y alertas de estafas de inversión.


Ante la prisa por hacer clic, párate y verifica por tu cuenta.


← Volver a la tabla