Blog

El phishing es un tipo de estafa en la que alguien se hace pasar por un banco, una empresa, un familiar o un servicio (Netflix, Microsoft, Correos, etc.) para que hagas algo que te perjudica: pulsar un enlace, instalar un archivo, pagar una “tasa” o entregar tus credenciales. No va de “ser tonto”: va de que el atacante te pille con prisa, con miedo o en piloto automático. Cuanto más claro tengas el patrón, más fácil es detectarlo.

Tipos de phishing que verás hoy

• Email phishing: el clásico correo “tu cuenta será suspendida”.
• Smishing: phishing por SMS o mensajería (WhatsApp/Telegram) con enlaces cortos.
• Vishing: llamada telefónica donde te piden códigos, datos o que instales algo.
• Phishing por redes: cuentas falsas que se hacen pasar por soporte técnico o sorteos.

12 señales de alerta (si ves 2–3 juntas, desconfía)

1. Urgencia exagerada: “último aviso”, “24 horas”, “bloqueo inmediato”.
2. Amenaza o miedo: “actividad sospechosa”, “denuncia”, “multa”.
3. Premio demasiado bueno: “has ganado”, “reembolso pendiente” sin contexto.
4. Remitente raro: el nombre parece real, pero el dominio no (o tiene letras cambiadas).
5. Enlaces que no coinciden: el texto dice una cosa y el enlace va a otra; en PC, pasa el ratón por encima para ver el destino.
6. Acortadores de URL sin motivo: no siempre es estafa, pero reduce visibilidad y se usa para engañar.
7. Adjuntos inesperados: “factura”, “albarán”, “multa” que no estabas esperando.
8. Petición de datos que la empresa no pediría: contraseña, PIN, códigos 2FA, foto del DNI “por seguridad”.
9. Errores de idioma: traducción mala, frases raras, mayúsculas raras.
10. Te piden saltarte el proceso normal: “haz el pago por este enlace”, “confirma por aquí en vez de tu app”.
11. Presión emocional: “soy tu hijo, he perdido el móvil”, “estoy en problemas”.
12. Inconsistencias: logos cutres, firmas genéricas, direcciones que no cuadran.

Cómo comprobar si un mensaje es real (en 60 segundos)

1. No uses el enlace del mensaje. Entra tú escribiendo la web oficial en el navegador o usando la app oficial.
2. Si es un “soporte”, busca el teléfono/correo en la web oficial, no en el mensaje.
3. Revisa el dominio con calma (especialmente letras parecidas: “rn” por “m”, guiones raros, subdominios engañosos).
4. Si te piden un código SMS/2FA, casi seguro es estafa: ese código suele ser la llave para entrar en tu cuenta.

Qué hacer si ya has hecho clic (pero no has metido nada)

• Cierra la pestaña y no descargues nada.
• Pasa un antivirus/antimalware y revisa extensiones del navegador (algunas campañas intentan colar extensiones).
• Cambia contraseñas si sospechas que te ha “robado sesión” (por ejemplo, si te pidió iniciar sesión).

Qué hacer si has metido usuario y contraseña

1. Cambia la contraseña inmediatamente desde la web/app oficial.
2. Cambia también la contraseña en otros servicios si la reutilizabas.
3. Activa 2FA (mejor app autenticadora que SMS cuando sea posible).
4. Cierra sesiones abiertas desde el panel de seguridad (muchos servicios lo permiten).
5. Si era banco, contacta por canal oficial, revisa movimientos y bloquea tarjetas si procede.

Prevención que realmente ayuda

• Usa un gestor de contraseñas: si el dominio es falso, no autocompleta, y eso te salva.
• Activa 2FA donde importe.
• Mantén el sistema y el navegador actualizados.
• En familia o en empresa pequeña: establece una regla simple, “nunca por enlace; siempre por la app o web escrita a mano”.

Otros artículos interesantes