La mayoría de los “hackeos” que sufre la gente normal no son cosa de un genio informático tecleando en la oscuridad. Son mucho más simples: alguien te engaña para que le des tú mismo tu contraseña o el dato de tu tarjeta. A esa técnica se la llama phishing, y es, con enorme diferencia, la forma más común de estafa y robo de cuentas en internet.
Un SMS que dice que tienes un paquete retenido, un correo de “tu banco” avisando de un movimiento sospechoso, un mensaje de Hacienda con una devolución pendiente… Todos tienen el mismo objetivo: que hagas clic, entres en una web falsa idéntica a la real y teclees tus datos, que van directos al estafador.
La buena noticia es que el phishing se basa en el engaño, no en la magia, así que con un poco de ojo se detecta casi siempre. En esta guía verás qué es y qué variantes tiene, cómo reconocerlo y qué hacer para no picar (y qué hacer si ya has picado).
Qué es el phishing y sus variantes
El phishing (juego de palabras con fishing, “pescar”) consiste en suplantar a una entidad de confianza —tu banco, una empresa de mensajería, una red social, la administración— para que “piques” y entregues información: contraseñas, números de tarjeta, códigos de verificación o datos personales.
El esquema es casi siempre el mismo:
- Recibes un mensaje que parece legítimo y que suele meterte prisa o miedo (“tu cuenta será bloqueada”, “paquete retenido”, “movimiento no autorizado”).
- Te invita a hacer clic en un enlace que lleva a una web clonada, idéntica a la real.
- Introduces tus datos en esa web falsa y… se los estás dando al estafador.
Las variantes que debes conocer
El phishing ha ido mutando a todos los canales por los que nos comunicamos:
- Phishing por correo electrónico: el clásico. Un email que imita a una empresa conocida.
- Smishing (por SMS): el mismo truco por mensaje de texto. Muy usado con el cuento del “paquete” o de la “multa”.
- Vishing (por llamada de voz): te llaman haciéndose pasar por tu banco o soporte técnico para sacarte datos o que instales algo.
- Quishing (con códigos QR): un QR falso (en un cartel, un email o un falso parquímetro) que te lleva a la web fraudulenta.
- Spear phishing (dirigido): un ataque personalizado contra ti o tu empresa, usando datos reales tuyos para resultar mucho más creíble. Es el más peligroso.
Las señales que delatan un intento de phishing
Casi todos los mensajes fraudulentos comparten pistas que los delatan. Si aprendes a mirarlas, los cazarás al vuelo:
- Sensación de urgencia o amenaza. “Actúa en 24 horas o perderás tu cuenta.” Las empresas serias no te presionan así.
- El remitente no cuadra. El nombre puede parecer real, pero si miras la dirección de correo completa verás dominios raros (
@seguridad-banco-alertas.comen vez del dominio oficial del banco). - Enlaces que no llevan a donde dicen. Antes de pulsar, pasa el ratón por encima del enlace (o mantén pulsado en el móvil) para ver la dirección real. Si no coincide con la web oficial, es una trampa.
- Te piden datos que nadie legítimo pide. Ningún banco te va a pedir por email o SMS tu contraseña completa, el PIN o un código de verificación. Jamás.
- Faltas de ortografía o traducciones raras, saludos genéricos (“Estimado cliente”) y logotipos de baja calidad.
- Adjuntos inesperados (facturas, “documentos”) que en realidad contienen malware.
La prueba definitiva: verifica por tu cuenta
Ante la más mínima duda, no uses el enlace ni el teléfono del mensaje. Haz esto:
- Si “tu banco” te escribe, entra tú mismo en su web o app tecleando la dirección o desde tus favoritos, nunca desde el enlace del correo.
- Si te llaman, cuelga y llama tú al teléfono oficial que aparece en su web o en el reverso de tu tarjeta.
- Si dudas de un SMS de una empresa de paquetería, comprueba el pedido en la web oficial de esa tienda o mensajería.
Este simple gesto de “verificar por el canal oficial” desmonta prácticamente cualquier intento de phishing.
Cómo protegerte (y qué hacer si ya has picado)
Además del sentido común, hay varias medidas que reducen muchísimo el riesgo y, sobre todo, limitan el daño si algún día caes:
- Activa la verificación en dos pasos en tus cuentas importantes. Es tu mejor red de seguridad: aunque le des tu contraseña a un estafador, no podrá entrar sin el segundo factor. Te contamos cómo en nuestra guía de la verificación en dos pasos (2FA).
- Usa un gestor de contraseñas. Además de crear claves únicas para cada web, tiene un efecto anti-phishing muy útil: solo rellena tus datos en la web auténtica. Si estás en una web clonada, el gestor no reconocerá la dirección y no autocompletará, lo que es una señal clarísima de que algo va mal. Aquí tienes cómo elegir uno en nuestra guía de gestores de contraseñas.
- Mantén el sistema y el navegador actualizados, y ten cuidado con los adjuntos.
- Nunca compartas códigos de verificación que te lleguen por SMS o por la app, ni siquiera con quien dice ser “soporte técnico”.
Si crees que has picado
Que no cunda el pánico, pero actúa rápido:
- Cambia de inmediato la contraseña de la cuenta afectada (y de cualquier otra donde usaras la misma).
- Si diste datos de tu tarjeta o banco, llama a tu banco para bloquearla y vigila los movimientos.
- Activa la verificación en dos pasos si no la tenías.
- Revisa si han entrado a tu correo o han cambiado datos de contacto o recuperación.
- Guarda las pruebas (el mensaje, la web) y, si ha habido fraude, denúncialo. En España puedes reportarlo a la Policía y contactar con el INCIBE (Instituto Nacional de Ciberseguridad), que tiene una línea de ayuda gratuita.
En resumen: el phishing juega con las prisas y la confianza. Ve despacio, verifica siempre por el canal oficial y ten activada la verificación en dos pasos. Con esos tres hábitos, esquivarás la inmensa mayoría de las estafas online.










