Ocurre rápido: un enlace en un correo parece el de su banco y, antes de pensarlo, ya ha pulsado. O un mensaje de WhatsApp promete un paquete y toca el enlace antes de preguntarse si había pedido algo.
¿Y ahora? La buena noticia primero: un clic, por sí solo, casi nunca causa daño. Lo que ocurra depende de lo que hiciera después.
Paso 1: pararse un momento. ¿Qué ha pasado en realidad?
Antes de actuar, conviene situar el caso. Hay tres escenarios, y cada uno pide una reacción distinta.
Escenario A: he pulsado, y nada más. Se abrió una página, quizá mostró algo, y usted la cerró enseguida. No escribió contraseñas, no descargó nada, no dio ningún permiso.
Escenario B: he introducido datos en la página que se abrió. Nombre, contraseña, PIN, número de tarjeta, un código… algo que normalmente solo pondría en páginas reales.
Escenario C: mi aparato se comporta de forma rara. El móvil o el ordenador muestra mensajes que antes no había, se han instalado programas desconocidos o el navegador abre páginas extrañas.
Qué hacer en el escenario A
Un clic sin más acción es, en la inmensa mayoría de los casos, inofensivo. Abrir una página —sin descargar, instalar ni escribir nada— rara vez deja un daño real.
Aun así ayuda: cierre el navegador o la app para que no quede conexión con la página. Si aparecieron ventanas o avisos, ciérrelos sin pulsar dentro (arriba, con la X, nunca con un botón del propio aviso).
En el móvil, si pulsó un enlace de un mensaje desconocido y no sabe qué se abrió, cierre la app y reinicie el teléfono: eso corta todas las conexiones abiertas. Si todo se ve normal, lo más probable es que no haya pasado nada.
Qué hacer en el escenario B
Aquí importa actuar deprisa.
Cambie la contraseña de inmediato, por la vía real, no por la página sospechosa. Escriba usted mismo la dirección de su banco, su correo o el servicio afectado en el navegador y cambie ahí la contraseña.
Llame a su banco si introdujo datos bancarios, y pida bloquear la tarjeta o la cuenta de forma preventiva. En España no hay un número central único: use el teléfono de su entidad, que figura en el reverso de la tarjeta o en su web oficial.
Bloquee la tarjeta si dio datos de la tarjeta. El número de atención está en el reverso o en su último extracto.
Vigile sus movimientos las próximas semanas, por si aparecen cargos desconocidos.
Si introdujo los datos de su cuenta de correo, cambie esa contraseña la primera: quien accede a su correo puede restablecer contraseñas en todos los demás servicios.
Qué hacer en el escenario C
Si tras el clic el aparato va raro —ventanas emergentes, iconos desconocidos, lentitud, mensajes extraños—, puede haber programas dañinos. Es más raro que A o B, pero ocurre, sobre todo si se descargó e instaló algo.
En el móvil: desinstale las apps desconocidas. Si sigue raro, restablézcalo a los valores de fábrica (antes guarde sus fotos y datos importantes).
En el ordenador: pase un análisis completo con el sistema de seguridad de Windows (Windows Defender). Si no basta, un técnico de confianza o un familiar pueden ayudar.
Qué ayuda después
Repase cómo se reconoce el phishing. El susto es un buen momento para entender cómo se detecta un enlace sospechoso, para que la próxima vez salten antes las alarmas: Reconocer el phishing.
Revise sus contraseñas. Si escribió una contraseña en una página falsa y la usa también en otros servicios, cámbiela en todos. Cada cuenta debería tener su propia clave: Contraseñas seguras sin estrés.
Sin sentimiento de culpa. Los enlaces fraudulentos están hoy tan bien hechos que caen hasta usuarios con experiencia. Ese es el objetivo de los atacantes, no una debilidad suya.
Preguntas frecuentes
No introduje nada, pero el móvil cargó algo un momento. ¿Estoy infectado? Probablemente no. Las páginas cargan datos al abrirse; es normal. El software dañino no suele instalarse por el mero hecho de abrir una página. Si el móvil va con normalidad, está bien.
¿Cuánto tiempo debo vigilar mis movimientos? Entre cuatro y ocho semanas. La mayoría de los daños se ven muy pronto. Si tras dos meses no hubo nada raro, es buena señal.
Respondí a un mensaje que se hacía pasar por mi banco. ¿Y ahora? Llame directamente a su banco e infórmele. Si llegó a comunicar claves o códigos, pida bloquear la cuenta de inmediato por el teléfono oficial de su entidad.
Mi nieto pulsó un enlace en mi móvil. ¿Qué hago? Lo mismo de arriba, según el escenario. Mantenga la calma y valore qué pasó de verdad. En la mayoría de los casos es un clic inofensivo sin consecuencias.
Artículos relacionados: Reconocer el phishing · Contraseñas seguras sin estrés