Phishing: Cómo Reconocer una Estafa en 2026 (Guía Completa)
El phishing sigue siendo la técnica de fraude online más extendida y, paradójicamente, una de las más fáciles de detectar si sabes qué buscar. Según los últimos informes del INCIBE, en España se reciben miles de denuncias mensuales relacionadas con intentos de phishing dirigidos tanto a particulares como a empresas. La buena noticia es que casi todos los ataques comparten patrones reconocibles.
En esta guía vas a aprender a reconocer una estafa de phishing en segundos, identificar las señales de alerta más habituales y aplicar protocolos de verificación que utilizan los profesionales de la ciberseguridad.
¿Qué es el phishing y por qué deberías preocuparte?
El phishing es una técnica de ingeniería social en la que un atacante se hace pasar por una entidad de confianza (banco, empresa, organismo público) para conseguir que la víctima entregue voluntariamente datos sensibles: contraseñas, números de tarjeta, DNI o credenciales corporativas.
A diferencia de un virus tradicional, el phishing no ataca tu ordenador: te ataca a ti. Explota la prisa, el miedo, la curiosidad o la autoridad para que actúes sin pensar. Por eso los antivirus, por buenos que sean, no pueden detenerlo al 100%.
Cifras que ponen en contexto la amenaza
- Más del 90% de los ciberataques empiezan con un correo de phishing.
- El coste medio para una pyme española víctima de phishing supera los 35.000 euros.
- Un usuario medio recibe entre 5 y 15 intentos de phishing al mes entre email, SMS y mensajería.
- El tiempo medio entre que llega el correo y la víctima hace clic es inferior a 90 segundos.
Tipos de phishing que debes conocer
No todos los ataques llegan por email. Conocer las variantes te ayuda a bajar la guardia menos cuando te llega un mensaje sospechoso por canales "de confianza".
1. Phishing por email (clásico)
El más común. Suplanta a bancos, Hacienda, Correos, Amazon, Netflix o servicios de paquetería. Suele incluir un enlace que lleva a una web falsa idéntica a la original.
2. Smishing (SMS)
Mensajes de texto que avisan de paquetes pendientes, multas o problemas con tu cuenta bancaria. Es especialmente peligroso porque los SMS transmiten más urgencia y los enlaces acortados ocultan la URL real.
3. Vishing (llamadas)
Llamadas telefónicas en las que un supuesto técnico de Microsoft, agente bancario o policía te pide datos o que instales una aplicación de control remoto.
4. Spear phishing
Ataque dirigido y personalizado. El atacante ha investigado tu nombre, empresa y rol. Más difícil de detectar porque el mensaje encaja con tu contexto profesional.
5. Whaling
Variante del spear phishing dirigida a directivos o personal financiero. Suele buscar transferencias urgentes "autorizadas por el CEO".
6. Phishing por redes sociales
Mensajes directos en Instagram, LinkedIn o WhatsApp ofreciendo trabajo, premios o supuestas verificaciones de cuenta.
Las 10 señales de alerta para reconocer phishing
Esta es la parte clave del artículo. Cuando te llegue un mensaje sospechoso, repasa mentalmente esta lista. Si cumple dos o más señales, es phishing con altísima probabilidad.
1. Sensación de urgencia o amenaza
"Tu cuenta será bloqueada en 24 horas", "Última oportunidad", "Acción inmediata requerida". Las entidades legítimas casi nunca presionan así. La urgencia desactiva el pensamiento crítico, y eso es exactamente lo que busca el atacante.
2. Saludo genérico
"Estimado cliente", "Hola usuario". Tu banco real conoce tu nombre. Un saludo genérico es señal de envío masivo.
3. Errores ortográficos y traducciones extrañas
Aunque la IA ha mejorado los textos de phishing, todavía se cuelan frases mal construidas, tildes ausentes o vocabulario latinoamericano en correos supuestamente de empresas españolas.
4. Dirección del remitente extraña
Mira más allá del nombre que se muestra. Un correo de "Banco Santander" puede venir de noreply@santandr-secure.info. Las empresas legítimas usan su dominio oficial, no subdominios raros ni dominios .info, .xyz o .top.
5. Enlaces que no coinciden con el destino
Pasa el ratón por encima del enlace (sin hacer clic) y mira la URL real abajo a la izquierda. Si dice "bbva.es" pero apunta a "bbva.servicio-cliente.com", es phishing. Esa segunda parte después del último punto antes de la primera barra es lo que cuenta.
6. Adjuntos inesperados
Facturas en .zip, .exe, .scr o documentos Word que piden "habilitar macros" son sinónimo de malware en el 99% de los casos.
7. Solicitud de datos sensibles
Ningún banco, Hacienda ni organismo público te pedirá nunca tu contraseña completa, código PIN, CVV o códigos SMS por email o teléfono. Si te los piden, es estafa.
8. Ofertas demasiado buenas para ser ciertas
Has ganado un iPhone, te devuelven 327 euros de Hacienda, una herencia de un familiar lejano. Si no participaste, no ganaste.
9. Diseño "casi" perfecto pero con fallos
Logos pixelados, colores corporativos ligeramente distintos, pies de página incompletos o enlaces del menú que no funcionan en la web a la que te redirigen.
10. Canal incoherente
Tu banco no te escribe por WhatsApp. Hacienda no te manda SMS con enlaces. Correos no te pide pagar aduanas por un paquete que no esperabas. Cuando el canal no encaja con la entidad, sospecha.
Tabla comparativa: email legítimo vs phishing
| Elemento | Email legítimo | Phishing |
|---|---|---|
| Remitente | Dominio oficial (@bbva.es) | Dominios extraños o subdominios sospechosos |
| Saludo | Tu nombre completo | "Estimado cliente" o genérico |
| Tono | Informativo, neutro | Urgente, amenazante |
| Enlaces | Coinciden con el dominio oficial | Acortados o redirigen a dominios distintos |
| Datos solicitados | Ninguno sensible por email | Contraseñas, PIN, datos bancarios |
| Ortografía | Cuidada y profesional | Errores, traducciones raras |
| Adjuntos | PDF firmados o sin adjuntos | .zip, .exe, .scr, Word con macros |
Cómo verificar un mensaje sospechoso paso a paso
Si tienes dudas, sigue este protocolo antes de hacer clic en nada:
- No hagas clic en ningún enlace ni descargues adjuntos. Pasa el cursor por encima para ver la URL real.
- Comprueba el remitente completo. En móvil, pulsa sobre el nombre para desplegar la dirección real.
- Busca el mensaje en la app oficial. Si tu banco te avisa de algo, debería aparecer también dentro de su app o web tras iniciar sesión manualmente.
- Llama al teléfono oficial. Nunca al que aparece en el correo. Búscalo en la web oficial o en el reverso de tu tarjeta.
- Inspecciona los enlaces acortados. Servicios como Lunyb permiten previsualizar a dónde lleva un enlace antes de abrirlo, lo que reduce el riesgo cuando recibes URLs cortas en SMS o redes sociales.
- Comprueba el certificado HTTPS. Que tenga candado no significa que sea legítimo (los atacantes también usan HTTPS), pero su ausencia sí es señal grave.
- Consulta el dominio en herramientas como VirusTotal o Google Safe Browsing.
Ejemplos reales de phishing en España (2025-2026)
Caso 1: Falsa multa de la DGT
Email con asunto "Notificación de sanción pendiente" que enlaza a un dominio tipo dgt-notificaciones.com. La DGT real solo notifica multas por correo postal certificado o a través de la DEV (Dirección Electrónica Vial).
Caso 2: Paquete de Correos retenido
SMS que pide pagar 1,79 euros de aduanas con un enlace acortado. La web copia la imagen de Correos y captura los datos completos de la tarjeta. Correos nunca cobra aduanas por SMS.
Caso 3: Verificación de Netflix
"Tu método de pago ha fallado, actualiza tus datos". Lleva a una réplica perfecta del login de Netflix alojada en un dominio recién registrado. Tras introducir credenciales, te pide también la tarjeta "para verificación".
Caso 4: Falso soporte de Microsoft
Ventana emergente al navegar que dice "Tu PC está infectado, llama a este número". Al llamar, un supuesto técnico te pide instalar AnyDesk para "limpiar el equipo" y acaba accediendo a tu banca online.
Qué hacer si has caído en un phishing
Si has introducido datos en una web falsa o descargado un adjunto sospechoso, actúa rápido. Las primeras horas son críticas.
- Cambia inmediatamente la contraseña del servicio afectado y de cualquier otra cuenta donde uses la misma.
- Activa la verificación en dos pasos (2FA) en todas las cuentas importantes.
- Si has dado datos bancarios, llama a tu banco para bloquear la tarjeta y revisar movimientos.
- Pasa un antivirus actualizado si descargaste algún adjunto.
- Denuncia el incidente a través del INCIBE (017) y, si hay perjuicio económico, en la Policía Nacional o Guardia Civil.
- Notifica a tu empresa si era una cuenta corporativa: el departamento de IT debe revisar accesos.
- Reporta el correo como phishing en tu cliente de email para mejorar los filtros.
Cómo prevenir el phishing a largo plazo
Buenas prácticas básicas
- Activa 2FA con app autenticadora (no SMS) en banca, email y redes sociales.
- Usa un gestor de contraseñas: si la web del enlace es falsa, el gestor no autocompletará y te dará una pista.
- Mantén navegador, sistema y antivirus actualizados.
- No reutilices contraseñas entre servicios.
- Revisa periódicamente qué información tuya circula online: cuanto menos sepan de ti, más difícil será personalizar un ataque.
Buenas prácticas avanzadas
- Usa un alias de email para registros poco fiables (servicios como SimpleLogin o Apple Hide My Email).
- Configura DMARC, SPF y DKIM si gestionas dominios de empresa.
- Forma a tu equipo con simulacros periódicos de phishing.
- Limita la información personal y profesional pública en LinkedIn y redes sociales.
- Ten cuidado especial con redes WiFi públicas, donde los ataques de phishing pueden combinarse con interceptación de tráfico.
- Revisa periódicamente qué brokers de datos venden tu información, ya que muchos ataques personalizados parten de bases de datos compradas.
El papel de los enlaces acortados en el phishing
Los acortadores son una herramienta neutral: los usan tanto empresas legítimas como estafadores. El problema es que ocultan el destino real, lo que facilita ataques por SMS y redes sociales.
Para reducir el riesgo, conviene usar acortadores con previsualización, estadísticas y políticas antifraude. Plataformas como Lunyb o Bitly permiten ver el destino antes de visitar el enlace y bloquean dominios maliciosos conocidos. Si recibes un enlace corto de un remitente desconocido, copia la URL en un servicio de previsualización antes de abrirla.
Phishing y RGPD: tus derechos como víctima
Si has sido víctima de phishing y tus datos personales han quedado expuestos, el RGPD y la LOPDGDD te amparan. Puedes:
- Reclamar ante la AEPD (Agencia Española de Protección de Datos) si la empresa suplantada no protegió adecuadamente sus comunicaciones o tus datos.
- Ejercer el derecho de supresión en cualquier servicio que haya sido comprometido.
- Solicitar información sobre la brecha si fuiste notificado de una filtración previa relacionada.
Las empresas tienen 72 horas para notificar brechas de seguridad a la AEPD según el artículo 33 del RGPD.
Preguntas frecuentes
¿Cómo saber si un email es phishing en menos de 10 segundos?
Mira tres cosas: la dirección completa del remitente (no solo el nombre), si el saludo es genérico o personalizado y si el mensaje crea urgencia o amenaza. Si dos de estos tres elementos son sospechosos, no interactúes y verifica por canal oficial.
¿Es phishing si el enlace tiene candado HTTPS?
Sí, perfectamente puede serlo. El candado HTTPS solo indica que la conexión está cifrada, no que la web sea legítima. Hoy más del 80% de las webs de phishing usan HTTPS porque los certificados son gratuitos. Lo que importa es el dominio, no el candado.
¿Qué hago si he hecho clic en un enlace de phishing pero no he introducido datos?
El riesgo es bajo, pero no nulo. Cierra la pestaña, borra cookies y caché, pasa un antivirus actualizado y vigila durante días si notas comportamientos extraños en tu equipo. Si sospechas de descarga automática, considera un análisis profundo o restaurar el sistema.
¿Por qué recibo tantos intentos de phishing últimamente?
Probablemente tu email aparezca en alguna filtración pública (puedes comprobarlo en HaveIBeenPwned) o en bases de datos vendidas por brokers. Crear alias de correo para registros nuevos y limitar dónde compartes tu email principal reduce drásticamente el spam y el phishing.
¿Los antivirus detectan el phishing?
Detectan parte: bloquean dominios maliciosos conocidos y adjuntos con malware. Pero no detectan ataques nuevos ni los puramente sociales (donde solo te piden que llames a un número o respondas un email). La mejor defensa sigue siendo el criterio del usuario combinado con 2FA.
¿El phishing por WhatsApp es legal de denunciar?
Sí. Puedes reportar el contacto dentro de WhatsApp ("Reportar y bloquear"), denunciarlo en el INCIBE (017) y, si hubo perjuicio económico o suplantación de identidad, presentar denuncia formal en Policía Nacional o Guardia Civil. La AEPD también puede actuar si hubo tratamiento ilícito de tus datos.
Conclusión
Reconocer phishing no requiere conocimientos técnicos: requiere pausar dos segundos antes de hacer clic. Los atacantes apuestan por tu prisa, no por su sofisticación. Si interiorizas las diez señales de alerta de esta guía y aplicas el protocolo de verificación cuando algo te huele raro, evitarás la inmensa mayoría de estafas.
La regla de oro: ninguna entidad legítima te pedirá nunca datos sensibles por email, SMS o llamada, ni te presionará con plazos imposibles. Cuando dudes, cierra el mensaje y contacta tú con la entidad por su canal oficial. Esa pausa de 30 segundos es la diferencia entre estar seguro y perder el control de tus cuentas.
Protect your links with Lunyb
Create secure, trackable short links and QR codes in seconds.
Get Started FreeRelated Articles
Qué Sabe Google de Ti: Cómo Verificarlo Paso a Paso (Guía 2026)
Google guarda búsquedas, ubicaciones, vídeos vistos, contactos e incluso intereses inferidos sobre ti. Te enseño paso a paso cómo verificar todo lo que sabe Google de ti en 2026, qué significa cada dato y cómo borrarlo o limitar su recogida.
WiFi Público: ¿Es Realmente Peligroso en 2026? Guía Completa
El WiFi público sigue siendo peligroso en 2026, aunque menos que antes gracias a HTTPS. Descubre los riesgos reales, los mitos desterrados y las 10 medidas concretas para protegerte cuando te conectas a redes abiertas en cafeterías, hoteles o aeropuertos.
Robo de Datos: Cómo Reaccionar Rápidamente y Proteger tu Identidad
El robo de datos personales puede provocar graves daños económicos y reputacionales si no actúas a tiempo. En esta guía te explicamos los 7 pasos urgentes para reaccionar, tus derechos bajo el RGPD y cómo denunciar ante la AEPD para proteger tu identidad.
Cómo Saber si tu Teléfono Está Hackeado: 10 Señales Clave
Aprende a identificar si tu teléfono está hackeado con estas 10 señales clave: desde batería que se agota rápido hasta cargos sospechosos. Te explicamos qué hacer paso a paso y cómo prevenir futuros ataques según la AEPD y el RGPD.