Saltar al contenido

Qué es el phishing: cómo detectar y evitar la suplantación de identidad

¿Qué es el phishing? A día de hoy el phishing es uno de los métodos más usados por los ciberdelincuentes a nivel mundial y puede ser usado para conseguir cualquier tipo de información, desde datos bancarios hasta las credenciales de inicio de sesión de nuestras redes sociales o correo electrónico. Además de ser una de las técnicas más peligrosas, efectivas y fáciles de hacer, no requieren muchos conocimientos técnicos. Por esto es importante saber cómo lo hacen y estar alerta a este tipo de ataques. Arrancamos esta guía para que cualquiera pueda entenderlo y protegerse desde ya.

¿Qué es el phishing?

En palabras simples, no es más que el delito de engañar a las personas para que compartan información confidencial —como contraseñas y números de tarjetas de créditousando métodos de ingeniería social. El objetivo del atacante es que tú mismo le entregues tus datos, creyendo que estás interactuando con alguien de confianza (tu banco, una red social, un servicio de mensajería, una tienda, etc.).

Lo crítico aquí es la apariencia de legitimidad: los mensajes y páginas falsas imitan logotipos, tonos y formatos de marcas reales. Y como “es una de las más peligrosas, efectivas y fáciles de hacer”, se ha convertido en la puerta de entrada más común para el robo de cuentas, extorsiones y fraudes económicos.

Su fuerza está en la suplantación y en crear urgencia (“actividad sospechosa”, “bloquearemos tu cuenta”) para nublar el juicio, que no pensemos, y entregar nuestros datos sin pensar.

Qué es el phishing y otras estafas

Cómo funciona y por qué resulta tan efectivo

Cómo funciona normalmente:

  1. Señuelo: recibes un email/SMS/WhatsApp/llamada o ves un código QR con un mensaje alarmista.
  2. Engaño: el enlace lleva a una web clonada casi idéntica a la oficial; o el estafador te pide datos por voz.
  3. Exfiltración: al introducir credenciales o descargar un archivo, el atacante roba acceso y puede vaciar cuentas, tomar control de perfiles o vender tus datos.

Detalles claves que conviene interiorizar:

  • No entres por enlaces de correos o mensajes; abre la app o la web oficial tecleando la URL.
  • El candado/HTTPS ayuda, pero no basta: existen webs de phishing con certificado válido; lo crítico es el dominio exacto (ojo a typos y subdominios raros).
  • El phishing no es solo email: también smishing (SMS/WhatsApp), vishing (llamadas) y quishing (códigos QR).
  • Si ya hiciste clic: sal, cambia contraseñas, activa MFA y revisa actividad cuanto antes.

¿Por qué funciona tan bien?

  • Emoción y urgencia: el miedo a perder la cuenta o el dinero hace que la gente “haga clic” antes de pensar.
  • Imitación convincente: hoy los atacantes copian diseños y dominios con sutilezas (typos) que engañan a simple vista.
  • Barrera técnica baja: es efectivo “ya que no requieren muchos conocimientos técnicos”; hay kits de phishing listos para usar.
  • Hábitos cotidianos: vivimos entre notificaciones; un correo más pasa desapercibido hasta que ya es tarde.

El atacante se hace pasar por tu banco, te dice que “la seguridad de tu cuenta fue vulnerada y debes ejecutar alguna acción dando clic a un enlace”. En ese momento te asustas y haces clic. Entras a una copia casi exacta del sitio web legítimo donde te piden usuario y contraseña. Cuando introduces las credenciales, la información llega al estafador, que entra a tu cuenta y puede robar dinero o resetear tus accesos.

Con esta base clara —qué es, cómo opera y por qué es tan eficaz—, en la siguiente sección entraremos en las señales y la verificación rápida para detectar un intento de phishing antes de caer.

Señales claras de un phishing y verificación rápida

Cuando recibo un correo o mensaje sospechoso, aplico un chequeo exprés. A día de hoy el phishing es uno de los métodos más usados y, precisamente porque “es una de las más peligrosas, efectivas y fáciles de hacer”, conviene revisar en frío antes de hacer clic.

Checklist express: remitente, dominio, y URL – ¿Qué es el phishing?

  1. Remitente real vs. “parecido”
  • Quién envía: “tenemos que fijarnos en quién nos está enviando el correo”.
  • Dominio corporativo: “las empresas serias tienen sus propios dominios para sus direcciones de correo electrónico”. Una red social “nunca usará @gmail.com, @blog.com” u otros dominios genéricos para avisos sensibles.
  • Typosquatting: “debemos estar alerta a que el dominio esté bien escrito”. Los estafadores registran dominios similares: facebook-support.com, faceb00k.com, fácebook.com (caracteres raros). Si ves algo así, bandera roja.
  1. No pulses enlaces del correo
  • Si el mensaje te mete prisa (cierre de cuenta, cobro, seguridad), “lo más recomendable es no abrir ningún tipo de enlace que te llegue por correo electrónico”.
  • Plan seguro: “simplemente abrir la app o web oficial desde tu marcador o escribiendo la dirección a mano” y revisar desde ahí.
  1. Inspección de la URL (si ya hiciste clic)
  • Comprueba el enlace del sitio web: que el dominio sea exactamente el oficial (no subdominios engañosos tipo banco.tu-seguridad.example.com).
  • HTTPS/candado: “debemos verificar que el sitio tenga httpssi usa http sal de este sitio inmediatamente”. El candado no garantiza legitimidad, pero la ausencia de HTTPS es motivo para salir al instante.
  • Ortografía exacta: “si el sitio web… tiene su enlace mal escrito o con caracteres raros es una señal para que salgas huyendo”.
  1. Lenguaje y tono
  • Urgencia artificial (“actúe ahora”), miedo, premios improbables, errores de traducción o saludos genéricos (“Estimado usuario”) son señales típicas.
  1. Adjuntos y formularios
  • Desconfía de archivos adjuntos inesperados (sobre todo .html, .htm, .exe, .zip) y de formularios que piden contraseñas, PIN o códigos de un solo uso.

Si el aviso es crítico (banco, redes, pagos) y llegó por un canal no verificado, no interactúes desde ese mensaje: entra por tu app oficial y compruébalo allí.

¿Qué es un ejemplo de phishing? (caso práctico)

Supongamos que acabamos de entrar a nuestro correo electrónico y nos encontramos con un correo recibido que aparentemente es de Facebook que nos dice que hubo fallos de seguridad graves en nuestra cuenta y que debemos tomar acciones urgentes.” Desde ese momento ya podemos verificar si es un ataque de phishing:

  1. Remitente: ¿viene de un dominio oficial de Facebook o ves algo como facebook-security@outlook.com? “Si vamos a alguno de estos dominios en el remitente del email… es una clara bandera roja.”
  2. Enlace: el botón dice “Revisar seguridad”. “Lo más recomendable es no abrir… ningún tipo de enlace que te llegue por correo electrónico.” En vez de eso, “abrir la app de Facebook y revisar desde ahí.”
  3. Si ya entraste: revisa la barra del navegador. “Debemos fijarnos en que el sitio web esté usando httpssi usa http sal de este sitio inmediatamente.” Confirma que sea exactamente facebook.com y no variantes con “caracteres raros”.
  4. Formulario: te pide usuario, contraseña y, quizá, tarjeta. “Una vez que la persona ingresa sus credenciales, la información llega al estafador y puede usarla para suplantar su identidad o robar dinero.”

Este mismo guion se repite con bancos, tiendas, juegos o servicios: “el phising es utilizado también en redes sociales, juegos y cualquier otro sitio web que requiera un inicio de sesión.”

Tipos de phishing en 2025

La familia de ataques es amplia, pero comparten el mismo principio: “el atacante envía a su víctima un mensaje… suplantando la identidad de una persona u organización de confianza” para llevarla a una “copia casi exacta del sitio web legítimo… donde se le pide que ingrese sus credenciales”. A día de hoy el phising es uno de los métodos más usados, no solo por correo: “el phising es utilizado también en redes sociales, juegos y cualquier otro sitio web que requiera un inicio de sesión.”

¿Qué es el phishing? ¿Cuáles son los 4 tipos de phishing?

Estos son los cuatro más citados en guías generales son:

Aunque existen muchas variantes, los cuatro más comunes hoy son: email phishing, smishing (SMS/WhatsApp), vishing (llamadas) y quishing (códigos QR). Todos explotan la ingeniería social (urgencia, miedo, suplantación) para que reveles datos o hagas clic donde no debes.

1) Email phishing (clásico)

Correos que imitan a bancos, redes sociales o paquetería e incluyen enlaces a webs clonadas o adjuntos maliciosos. Señales: remitente/dominio sospechoso, urgencias (“bloquearemos tu cuenta”), enlaces acortados. Recomendación: no entres desde el correo; abre la app o web oficial tecleando la URL.

2) Smishing (por SMS/WhatsApp)

Mensajes de texto que suplantan a tu banco, Correos o un servicio de pago y te empujan a pulsar un enlace o a “verificar” datos. Es el mismo engaño del email, pero por móvil; cada vez más común en España.

3) Vishing (por voz/llamadas)

Llamadas de “soporte” o “tu banco” que piden códigos de un solo uso o instalar apps de control remoto. Con IA, algunos delincuentes imitan voces de familiares para crear urgencias creíbles. Duda siempre y cuelga para volver a llamar al canal oficial.

4) Quishing (códigos QR)

Se pegan QR falsos en menús, parquímetros o carteles; al escanear, te llevan a sitios que roban credenciales o instalan malware. Comprueba que el QR no esté manipulado/pegado encima y revisa la URL real antes de introducir datos. Mejor entra desde la app oficial del servicio.

5) Phishing impulsado por IA

Mensajes sin faltas, tono calcado al de la marca, incluso voz sintética para vishing.
Defensa: vuelve al procedimiento (remitente/URL exacta, canal oficial, no compartir códigos), usa listas de bloqueo y filtros actualizados.

6) Redes sociales, juegos y marketplaces

Comentarios o mensajes directos con premios, verificación de cuenta o “colaboraciones”. En juegos y marketplaces buscan cuentas y datos de pago.
Defensa: nunca sigas enlaces recibidos por DM; entra a la configuración de seguridad desde la app y revisa sesiones activas.

7) Clone phishing y enlaces de “confirmación”

Reenvían un correo legítimo clonado, cambiando solo el enlace por uno malicioso.
Defensa: compara el enlace con el original (dominio exacto) y evita descargar adjuntos “actualizados”.

¿Qué es un ejemplo de phishing? (uno real y uno simulado)

Ejemplo real (España): “tu paquete retenido, paga 1,99 €”
Circulan correos/SMS que se hacen pasar por paqueteras (SEUR, Correos) y piden 1,99 € para liberar un envío. El enlace lleva a una web falsa donde capturan tu tarjeta o credenciales. Señales: importe pequeño para bajar la guardia, urgencia, dominio que no es el oficial. VerificaRTVE y el propio INCIBE lo han desmentido y advertido repetidas veces.

Ejemplo simulado paso a paso (banco):

  1. Recibes un email con asunto “Actividad sospechosa en tu cuenta”.
  2. El remitente parece real, pero el dominio es un typo (mi-banco.com.seguridad-login.net).
  3. Un botón “Verificar ahora” te envía a una web clonada del banco (tiene candado, pero no es el dominio oficial).
  4. Al introducir usuario y contraseña, el atacante las recibe en tiempo real y puede entrar en tu banca online.
    Consejo: no uses enlaces del mensaje; abre la app o teclea la URL oficial. Guías de Microsoft e INCIBE explican esta mecánica.

Otro muy común: “multa de la DGT, último aviso” (SMS)
Mensajes que suplantan a la DGT con un enlace para “pagar la sanción”. La DGT no notifica multas por SMS; se usan canales oficiales/sede electrónica. INCIBE ha catalogado campañas así y medios verificadores lo han desmentido.

Si te llega algo así:

  • No hagas clic ni descargues adjuntos; abre la app o la web oficial.
  • Reenvía/consulta el caso a INCIBE 017 (teléfono gratis y confidencial) o por WhatsApp/Telegram si lo prefieres.
  • Si metiste datos: cambia contraseñas, activa MFA, contacta con tu banco y monitoriza movimientos.

¿Qué hacer si ya caíste? ¿Qué es el phishing?

Si ya hiciste clic o entregaste datos, actúa con calma pero de inmediato. Recuerda: “una vez que la persona ingresa sus credenciales, la información llega al estafador y puede usarla para suplantar su identidad o robar dinero de la cuenta.” Vamos a cortar acceso, limitar daños y avisar por los canales correctos.

1) Contén el incidente y cambia credenciales (sin usar enlaces del correo)

  • Entra desde la app o la web oficial del servicio afectado (“lo más recomendable es no abrir ningún tipo de enlace que te llegue por correo electrónico”; “abrir la app… y revisar desde ahí”).
  • Cierra sesión en todos los dispositivos desde el panel de seguridad.
  • Cambia la contraseña por una única y larga con tu gestor de contraseñas.
  • Si reutilizabas esa clave en otros servicios, cámbiala también allí.
  • Antes de iniciar sesión, verifica el dominio exacto y que usa HTTPS (“debemos verificar que el sitio tenga https”… “si usa http sal de este sitio inmediatamente”).

2) Activa MFA resistente al phishing y blinda la recuperación

  • Configura passkeys o llaves FIDO2 y, si no es posible, app autenticadora (evita SMS).
  • Revoca códigos de recuperación antiguos y genera nuevos.
  • Revisa correo/telefono de recuperación y elimina opciones obsoletas.
  • Habilita alertas de inicio de sesión y revisa sesiones/dispositivos abiertos.

3) Protege banca y métodos de pago

  • Si diste datos de tarjeta o hiciste pagos, contacta a tu banco por su canal oficial (teléfono de la tarjeta o app) para bloquear/cancelar tarjeta y vigilar cargos.
  • Activa avisos de transacciones y considera una reclamación/contracargo si procede.
  • Para servicios tipo PayPal/marketplaces, cambia clave, activa MFA y revisa autorizaciones de terceros.

4) Revisa el dispositivo y elimina posibles cargas

  • Si descargaste/abriste adjuntos (.html, .zip, ejecutables) o instalaste algo, pasa un análisis completo con tu antivirus/antimalware y desinstala apps sospechosas.
  • En móvil: revisa permisos (Accesibilidad/Administrador), elimina perfiles desconocidos y actualiza el sistema.
  • Mantén navegador y extensiones al día; borra extensiones que no uses.

5) Reporta y deja rastro para ayudar a otros

  • Reporta el correo/mensaje dentro del propio servicio (Gmail/Outlook/Red social → “Reportar phishing”).
  • Informa a tu empresa (si aplica) y a la autoridad competente de tu país (p. ej., el CERT u organismo de ciberseguridad) con capturas/encabezados.
  • Si la cuenta es social (Facebook, Instagram, etc.), usa su centro de ayuda para recuperación y revisión de actividad.
  • Guarda evidencia (fechas, URL, correos) por si necesitas denuncia.

Entra siempre por el canal oficial (app/web escrita a mano) y nunca desde el mensaje que te llegó. Verifica dominio exacto y HTTPS antes de cualquier cambio.

Reduce tu exposición: borra tus datos personales de empresas (RGPD)

Eliminar datos que ya no necesitas en manos de terceros reduce tu “superficie de ataque”: los estafadores aprovechan información filtrada o expuesta para personalizar sus cebos. Ojo: no existe riesgo cero ni se puede borrar la huella digital por completo, pero sí minimizarla con buenos hábitos y ejerciendo tus derechos.

Qué dice el RGPD

Tienes derecho de supresión (“derecho al olvido”, art. 17 RGPD) cuando, por ejemplo, los datos ya no son necesarios, retiras el consentimiento, te opones al marketing directo, el tratamiento es ilícito o deben suprimirse por obligación legal. Existen excepciones (p. ej., cumplimiento de obligaciones legales, ejercicio/defensa de reclamaciones, interés público).

Paso a paso para borrar tus datos

  1. Haz tu lista de empresas/servicios donde tengas cuenta o hayas dejado datos (tiendas, comparadores, newsletters, operadoras, redes…).
  2. Solicita la supresión al responsable del tratamiento (DPO/privacidad) indicando:
    • Que ejercitas tu derecho de supresión (art. 17 RGPD).
    • Qué datos/cuentas quieres borrar y en qué canales (CRM, newsletters, apps, copias y encargados).
    • Que borren también datos para marketing directo y dejen constancia en sus encargados.
  3. Usa un modelo: borra tus datos de las empresas para evitar ataques de phishing en un futuro.
  4. Guarda prueba de envío (acuse/email). Si presentaste la solicitud por medios electrónicos, deberían responder por la misma vía cuando sea posible.

Cuando preparo solicitudes para clientes, pido confirmación de borrado por escrito y el alcance (sistemas, backups, proveedores) para evitar respuestas vagas.

O si quieres ahorrarte todo esto, simplemente usa nuestro servicio por 10€, lo puedes usar en cuantas empresas lo quieras, y ya no te volverán a molestar.


Preguntas frecuentes – ¿Qué es el phishing?

¿Cómo denuncio o reporto un phishing en España?

Primero, guarda pruebas (capturas, URL) y no pagues. Llama al 017 de INCIBE (gratuito y confidencial) o escribe por WhatsApp 900 116 117 o Telegram @INCIBE017; te orientarán y te dirán cómo denunciar ante Policía/Guardia Civil si procede.

¿La DGT notifica multas por SMS?

No. La DGT notifica por carta certificada o vía Sede/DEV (Dirección Electrónica Vial). Los SMS con enlaces de pago son smishing. Revisa multas solo en dgt.es o en la DEV.

He recibido un SMS de “multa DGT, último aviso”, ¿qué hago?

Ignóralo, no pulses el enlace y verifica tu expediente en la Sede DGT. INCIBE ha alertado de campañas que suplantan a DGT por SMS y correo.

¿Qué hago con un QR “dudoso”?

Trátalo como un enlace desconocido: no inicies sesión ni metas tarjeta tras escanearlo. Usa un lector que muestre la URL completa antes de abrirla y confirma dominio exacto. Si el QR está pegado encima de otro o viene en un cartel improvisado, desconfía. Para banca/redes, abre la app oficial; “lo más recomendable es no abrir ningún tipo de enlace que te llegue por correo electrónico”, y aplica lo mismo a QR.

Ya di datos bancarios en una web falsa, ¿y ahora?

Contacta de inmediato con tu banco para bloquear medios de pago y vigilar movimientos; cambia contraseñas y reporta el fraude. INCIBE explica cómo proceder y dónde denunciar.

¿Puedo reducir el phishing borrando mis datos de empresas?

Sí: ejercer el derecho de supresión (art. 17 RGPD) reduce la “superficie de ataque” y el uso indebido de tus datos. Aquí tienes el modelo listo: borra tus datos de las empresas para evitar ataques de phishing en un futuro

Checklist imprimible anti-phishing – ¿Qué es el phishing?

Aquí te dejo una tabla que te ayudará a verificar si has caído o no en una estafa. Compártela, a más de uno hemos ayudado con esta tabla y evitado disgustos mayores. Muchos de nosotros lo imprimimos y lo ponemos en la oficina:

SecciónTareaCasilla
Antes de hacer clic¿El remitente usa un dominio corporativo real (no @gmail/@outlook)?
Antes de hacer clic¿El dominio está bien escrito y es exactamente el oficial? (ojo con faceb00k.com)
Antes de hacer clic¿El mensaje usa urgencia/miedo o pide datos/códigos?
Antes de hacer clicNO hago clic en enlaces del mensaje: abro la app o escribo la URL oficial.
Antes de hacer clicSi ya abrí el enlace: ¿la página tiene HTTPS y dominio exacto? Si veo http o raros → salgo.
Antes de hacer clic¿Hay adjuntos inesperados (.html, .zip, ejecutables)? No los abro.
Antes de hacer clic¿Hay QR? Solo si confío en el origen y veo la URL completa antes de abrir.
Al iniciar sesiónEl gestor de contraseñas autocompleta (señal de dominio correcto).
Al iniciar sesiónTengo MFA resistente (passkeys/llaves FIDO2 o app; evito SMS).
Al iniciar sesiónActivadas alertas de inicio de sesión y reviso sesiones/dispositivos activos.
Si ya caíEntro por canal oficial (app/web a mano) y cambio contraseña; cierro sesiones.
Si ya caíActivo/refuerzo MFA y renuevo códigos de recuperación.
Si ya caíSi hay tarjeta/pago: contacto al banco por su número oficial y bloqueo.
Si ya caíAnalizo el dispositivo (antivirus, borro apps/extensiones raras, actualizo).
Si ya caíReporte: marco como phishing y aviso a la entidad/autoridad competente.

Por si te apetece conocer más: