El phishing es hoy la vía más habitual por la que los delincuentes acceden a cuentas ajenas: no rompiendo contraseñas, sino con un mensaje que le lleva a usted mismo a escribir la contraseña. Un correo idéntico al de su banco, un supuesto SMS de una empresa de paquetería, una llamada que dice venir de su entidad. La palabra «phishing» viene del inglés fishing (pescar): el estafador lanza un mensaje como un cebo y espera a que alguien pique.
La buena noticia: el phishing se reconoce. Hay un puñado de patrones que se repiten siempre, y un orden claro para comprobar un mensaje sospechoso. Quien entiende esos patrones deja de caer, incluso cuando el mensaje parece del todo creíble a primera vista.
Por qué funciona tan a menudo
Los mensajes de phishing ya no se parecen al tópico. Los correos mal traducidos de supuestos príncipes todavía existen, pero son la excepción. Los mensajes realmente peligrosos son discretos: el logotipo del banco verdadero, un castellano correcto, un motivo plausible. A veces incluso con su nombre correcto, porque hay datos de filtraciones antiguas en circulación.
Lo que une a todos los mensajes de phishing no es su aspecto, sino su mecanismo. Generan una presión breve y urgente, y le piden iniciar sesión en algún sitio o introducir datos. El truco está justo en ese momento de clic rápido, no en el diseño del mensaje.
Siempre aparecen tres palancas. Miedo: su cuenta está bloqueada, hay un cargo sospechoso, su paquete se devolverá. Curiosidad: ha recibido un paquete, le corresponde un reembolso, alguien le ha enviado dinero. Autoridad: el correo parece venir de Hacienda, de la policía, del banco. Quien reacciona con uno de esos tres sentimientos —y basta con unos segundos— hace clic.
Por eso la regla más importante no es técnica, sino una actitud: no decidir bajo presión. Ante un mensaje alarmante, casi siempre se gana parándose un momento, dejando el teléfono y comprobando con calma.
Los canales típicos
El phishing llega hoy por cuatro vías, y cada una tiene sus señales.
Correo electrónico. Sigue siendo lo más frecuente: un mensaje que parece de su banco, de Correos, de PayPal o de Amazon, con una petición de inicio de sesión o un enlace para «confirmar» sus datos.
SMS. Ha crecido mucho, a menudo disfrazado de aviso de paquetería: «Su paquete no se ha podido entregar, confirme aquí su dirección», con un enlace que parece de una empresa conocida pero lleva a una página falsa. Esta variante tiene nombre propio: smishing (phishing por SMS).
Llamadas. La forma más personal. Alguien dice llamar del banco, de Microsoft o de la policía, por un cargo sospechoso, un virus en su ordenador o una investigación en la que debe «colaborar». El objetivo suele ser que dicte un código, instale un programa o transfiera dinero a una «cuenta segura». Se llama vishing (de voice, voz).
Mensajes por WhatsApp. La variante más reciente. Un mensaje de un número desconocido que parece de un hijo o una hija: «Hola mamá, se me ha roto el móvil, este es mi número nuevo. ¿Puedes hacerme una transferencia?». Afecta especialmente a personas mayores y causa un daño considerable.
En los cuatro casos la lógica es la misma: alguien desconocido le aborda, pide datos o dinero y mete prisa. Quien conoce la lógica la reconoce venga por donde venga.
Las cinco preguntas para comprobarlo
En vez de una lista larga de señales, en la práctica funciona un procedimiento sencillo. Cinco preguntas, en este orden, ante cualquier mensaje que pida datos o dinero.
Primera: ¿esperaba este mensaje? Un aviso real no llega de la nada. Un banco en el que usted no tiene cuenta no le escribe. Un aviso de paquete llega cuando ha pedido algo, no cuando lleva semanas sin pedir nada. Si ya duda en esta primera pregunta, borre el mensaje.
Segunda: ¿quién es realmente el remitente? En el correo, mire la dirección completa, no solo el nombre que se muestra. Un mensaje puede poner «Servicio del banco» y venir en realidad de seguridad-verificacion@info-mail24.com. En los SMS, fíjese en el número: los remitentes legítimos usan su nombre (por ejemplo «CORREOS») o un número conocido, nunca un móvil extranjero.
Tercera: ¿adónde lleva de verdad el enlace? En el ordenador puede pasar el ratón por encima del enlace sin pulsar: la dirección de destino aparece abajo. En el móvil, mantenga el dedo sobre el enlace un momento hasta que salga una vista previa. No mire el principio de la dirección, sino la parte justo antes de la primera barra. En https://amazon.es.verificacion-clientes.com/login no es Amazon, sino verificacion-clientes.com. La parte de «amazon» es solo un disfraz.
Cuarta: ¿me están metiendo prisa? Las empresas de verdad le dan tiempo. «En 24 horas», «de lo contrario se bloqueará su cuenta», «último aviso» no son tonos serios. Un banco con un problema real llama o envía una carta; no le pone un plazo de una hora por correo.
Quinta: ¿me piden datos que nadie debería pedir? Ningún banco, ningún servicio en línea, ningún funcionario le pedirá jamás su contraseña. Ningún banco le pedirá por teléfono un código de un solo uso. Nadie necesita el PIN de su tarjeta para «devolverle» dinero. Esta pregunta sola desenmascara la mayoría de los fraudes.
Si una sola de estas preguntas le deja mala sensación: no pulse, no introduzca nada, no responda. Una petición seria aguanta perfectamente que la deje una hora sin tocar.
Así es el phishing de verdad: tres ejemplos
Tres ejemplos típicos, reconstruidos y anónimos, pero con patrones reales. Primero el correo, después por qué se reconoce el fraude.
Ejemplo 1: el correo falso de Correos
De: Correos Seguimiento <atencion-cliente@track-info24.net> ① Asunto: ⚠️ Importante: su envío está esperando ②
Estimado cliente, ③
Su envío con número CP123456789 no se ha podido entregar hoy porque los datos de dirección están incompletos.
Confirme sus datos correctos en un plazo de 24 horas ④, o el envío se devolverá al remitente.
🔗 Confirmar dirección ⑤
Qué resulta sospechoso aquí:
- ① El remitente no encaja. Los correos reales de Correos terminan en
@correos.es, nunca entrack-info24.neto parecidos. - ② Urgencia en el asunto. Las empresas de paquetería escriben de forma neutra. Símbolos como ⚠️ o palabras como «Importante» en el asunto son una presión clásica.
- ③ Saludo impersonal. «Estimado cliente» en vez de su nombre, cuando un envío real conocería su nombre del pedido.
- ④ Plazo con amenaza. Correos no devolvería un envío a las 24 horas por una dirección incompleta. El plazo busca que pulse deprisa.
- ⑤ Enlace oculto. El botón no lleva a
correos.es. En el móvil, mantenga el dedo sobre el botón y verá la dirección real en una vista previa.
Ejemplo 2: el correo falso de PayPal
De: PayPal Seguridad <servicio@paypal-seguridad-verificacion.es> ① Asunto: Actividad inusual en su cuenta ②
Buenos días,
hemos detectado una actividad inusual en su cuenta de PayPal ③ y la hemos limitado de forma preventiva.
Para reactivarla, confirme de inmediato su identidad ④ y revise sus datos:
🔗 Verificar cuenta ahora ⑤
Si no responde en 48 horas, tendremos que bloquear su cuenta de forma permanente.
Qué resulta sospechoso aquí:
- ① Dominio falso. PayPal de verdad usa
@paypal.como@paypal.es. Una dirección conpaypal-seguridad-verificacion.eses un dominio inventado que solo lleva «PayPal» en el nombre. - ② Amenaza vaga. «Actividad inusual» sin detalle es una fórmula típica. PayPal muestra los movimientos concretos en su aplicación, no los insinúa por correo.
- ③ Palanca de miedo. Si PayPal ve algo raro de verdad, lo verá usted en la app de PayPal, no en un correo con enlace.
- ④ «Confirmar identidad» por enlace. Una plataforma seria, como mucho, le pediría entrar por la app o la web oficial, nunca por un enlace del correo.
- ⑤ Botón en vez de dirección clara. Quien lo pulsa acaba en una pantalla de acceso falsa que envía sus claves a los atacantes.
Ejemplo 3: el correo falso de Amazon
De: Amazon Atención al Cliente <auto-confirm@amzn-pedido.com> ① Asunto: Su pedido ha sido enviado – Apple iPhone 15 Pro (1.299 €) ②
Hola,
gracias por su compra en Amazon. Su pedido acaba de enviarse:
- Apple iPhone 15 Pro 256 GB – 1.299,00 €
- Pago: tarjeta terminada en •••• 4521 ③
Si no ha realizado este pedido, pulse aquí para cancelarlo de inmediato: ④
🔗 Cancelar pedido ⑤
Qué resulta sospechoso aquí:
- ① Remitente inventado. Las confirmaciones reales vienen de
@amazon.es, no deamzn-pedido.com. La abreviatura «amzn» + dominio nuevo es una confusión buscada. - ② Pedido impactante. Una compra cara que usted no ha hecho dispara el reflejo de reaccionar con pánico y pulsar el enlace deprisa.
- ③ Datos vagos. Los últimos cuatro dígitos de la tarjeta a menudo no coinciden con los suyos; solo se nota si mira con atención.
- ④ Cebo «Cancelar». El verdadero mecanismo: no debe pulsar el pedido, sino el botón de cancelar, que lleva a una página de acceso falsa donde introduce sus claves de Amazon.
- ⑤ En vez de pulsar, abra la app de Amazon. Si recibe un correo así y duda, abra usted mismo la app o amazon.es. Allí verá todos sus pedidos reales al instante. Un pedido que no aparece en su cuenta, sencillamente no existe.
Una regla general para los tres ejemplos: cualquier correo que amenace con un plazo o anuncie un perjuicio y quiera llevarle a una página con un botón merece, como mínimo, un minuto de pausa. En la duda, abra usted mismo la cuenta, por la app oficial o la web que tenga guardada en favoritos, nunca por el enlace del mensaje.
Qué hacer si no está seguro
Si no sabe si un mensaje es real, hay una sola vía segura: contactar usted mismo con el remitente, pero no a través del mensaje. Busque la web oficial, el teléfono que aparece en el reverso de su tarjeta o en una factura antigua. Llame o entre por ahí. Si el mensaje era real, encontrará el mismo asunto. Si no lo era, no ha perdido nada.
Lo que no debe hacer en ningún caso: pulsar un botón del mensaje sospechoso ni llamar a un número indicado en él. Ambas cosas llevan al estafador.
Qué hacer si ya ha hecho clic
Pasa. Le pasa también a gente atenta. Si ha pulsado un enlace de phishing y ha introducido datos, no todo está perdido, pero ahora cuenta la rapidez.
Cambie de inmediato la contraseña de la cuenta afectada. No entre por el enlace del correo, sino por la web del proveedor que escriba usted mismo o tenga en favoritos.
Si usaba la misma contraseña en varios sitios, cámbiela en todos. Por eso son tan importantes un gestor de contraseñas y las claves únicas: limitan el daño a una sola cuenta. Más en Contraseñas seguras sin estrés.
Si ha dado datos bancarios o de pago, llame de inmediato a su banco. En España no hay un único número central: use el teléfono de su entidad (está en el reverso de la tarjeta o en su web oficial) y pida bloquear la tarjeta o la cuenta. Tenga a mano sus extractos las semanas siguientes.
Active la verificación en dos pasos si aún no la tenía. Aunque el atacante tenga la contraseña, sin el segundo factor no avanza.
Denúncielo. Ante la Policía Nacional o la Guardia Civil, y para orientación gratuita puede llamar a INCIBE (línea 017). No solo le ayuda a usted: dificulta nuevos intentos.
Si después del clic el aparato se comporta de forma rara, vea los pasos concretos en Hice clic en un enlace peligroso.
Lo más importante en una frase
El phishing fracasa ante un solo reflejo: pararse un momento antes de pulsar. Nadie que le pida confirmar algo «ahora mismo» tiene derecho a meterle prisa. Un banco de verdad espera una hora. Una empresa de paquetería de verdad espera un día. Quien no lo soporta, casi seguro que no es un remitente al que deba creer.
Preguntas frecuentes
¿Cómo sé si un SMS de paquetería es real? Las empresas reales conocen su nombre y suelen indicar el número de envío. No piden ni dinero ni datos. Si un SMS le pide pagar una pequeña tasa o confirmar su dirección en una página ajena, es falso.
¿Puede un banco o un organismo pedirme datos por correo de forma legítima? Como mucho le pedirán entrar en la web oficial. Nunca le pedirán por correo la contraseña, el PIN o un código de un solo uso. Quien lo hace no es un remitente real.
¿Y si conocen mi nombre completo o mi fecha de nacimiento? Esos datos circulan a menudo por filtraciones antiguas. No son prueba de autenticidad. Un mensaje de phishing con su nombre correcto sigue siendo phishing.
¿Están las personas mayores especialmente expuestas? Algunas tretas —como el falso hijo por WhatsApp o las llamadas de «Microsoft»— se dirigen a propósito a personas mayores. Se reconocen con los mismos patrones que cualquier otro phishing. Quien conoce las cinco preguntas está protegido a cualquier edad.
¿Un buen antivirus protege del phishing? Solo en parte. El antivirus detecta archivos dañinos, pero la mayoría del phishing no lleva ningún programa: le engaña para que escriba datos en una página ajena. La protección más eficaz no es técnica, sino estar atento.
Artículos relacionados: Contraseñas seguras sin estrés · Hice clic en un enlace peligroso