Phishing: te hacen creer que el mensaje es de tu banco, Correos, Hacienda, la empresa… para que cliques, descargues o metas contraseñas y datos en una web o app falsa. Sigue siendo una de las vías más rentables del cibercrimen; el APWG registra millones de sitios/ataques de phishing al mes y en 2026 el texto ya puede salir perfecto gracias a la IA — no basta con buscar faltas de ortografía.
Aquí: cadena del ataque, tipos (email, SMS, voz, QR, dirigido…), señales que pocas guías unen con DMARC/SPF/DKIM y passkeys, ejemplos España, qué hacer si ya diste datos, denuncia INCIBE/OSI, herramientas y un test interactivo.
2026: mensajes bien redactados y personalizados (datos filtrados, LinkedIn, IA). La defensa es canal y dominio (abrir tú la web oficial), 2FA fuerte, gestor de contraseñas y palabra de seguridad en familia para llamadas urgentes.
✅ Regla rápida: urgencia + enlace + pide credenciales o tarjeta → casi siempre phishing. Cierra el mensaje y entra en el servicio tecleando tú la URL o desde la app oficial.
📑 Tabla de contenidos
🎣 ¿Qué es el phishing?
Ingeniería social aplicada a lo digital: suplantan a alguien de confianza para que entregues contraseñas, códigos 2FA, tarjetas o archivos. El canal puede ser correo, SMS (smishing), llamada (vishing), QR (quishing), redes o mensajería laboral.
⚙️ Cómo funciona (cadena típica)
- Suplantación: remitente o diseño copiado; el correo puede parecer de tu banco aunque el dominio real sea otro (spoofing; en origen se mitiga con SPF, DKIM, DMARC — si fallan, el mensaje puede colarse).
- Gancho: urgencia, miedo, premio o autoridad (“tu jefe” pide un pago).
- Trampa: enlace a web clonada o adjunto malicioso. HTTPS solo cifra; no prueba quién es el dueño del sitio.
- Robo: capturan lo que tecleas; a veces te redirigen al sitio real para que no sospeches.
¿Por qué un correo puede parecer “de tu banco”? El nombre que ves es libre; lo que importa es el dominio real y la autenticación del mensaje. SPF lista qué servidores pueden enviar correo usando ese dominio. DKIM añade una firma criptográfica al mensaje. DMARC une ambos y dice a Gmail, Outlook, etc. si deben rechazar o marcar envíos que no pasen las comprobaciones. Con DMARC bien endurecido, mucho spoofing masivo ni siquiera entra en bandeja; con políticas flojas o dominios mal configurados, el atacante sigue teniendo margen. Eso no te obliga a ser experto en correo: te obliga a no basarte en la etiqueta del remitente y a abrir el servicio por un canal que tú elijas.
📋 Tipos y canales (referencia rápida)
| Tipo | Canal | Qué es / ejemplo |
|---|---|---|
| Masivo | Miles de “tu cuenta caduca”; buscan volumen. | |
| Spear | Email / Teams | Te nombran proyecto o compañeros (OSINT previo). |
| Whaling / BEC | “CEO” pide transferencia urgente o cambio de cuenta proveedor (Business Email Compromise). | |
| Smishing | SMS / WhatsApp | Paquete retenido, pago simbólico; enlace falso. |
| Vishing | Llamada | Piden códigos que “te van a enviar” o acceso remoto. |
| Quishing | QR físico | Pegatina sobre QR de parking o menú. |
| Clone / SEO | Email / buscador | Reenvío adulterado o anuncio que imita banco en Google. |
| Pharming | DNS / router | Redirigen aunque escribas bien el dominio (menos frecuente en hogar). |
🔎 Señales y URLs
- Remitente: dominio completo, no solo el nombre mostrado.
- Enlace: en PC, pasar el ratón sin clic; desconfiar de acortadores y dominios “casi” iguales (typosquatting:
arnazon.es, sustitución 0/O, guiones extra). - Urgencia extrema y amenaza de cierre en horas.
- Piden contraseña, PIN, CVV o 2FA por correo/SMS — casi nunca es legítimo.
- Adjuntos inesperados (.exe, macros).
Los buscadores y la publicidad también entran en juego: campañas que imitan “soporte Microsoft” o una entidad bancaria pueden aparecer arriba del todo. Si necesitas ayuda, entra desde la URL que ya conoces o desde la app, no desde el anuncio.
Dominio reconocible del servicio; si hay duda, entra tú en la web oficial.
⚡ Contraseñas únicas
Una credencial filtrada no debe abrir el resto de cuentas.
🛡️ Generar contraseñas seguras📱 Muy frecuente en España
- “Correos” / paquete: SMS con pago simbólico o “tasas” para liberar un envío; la web clonada captura tarjeta o datos. El seguimiento real está en la app de Correos o en la tienda que hizo el envío.
- Hacienda / devolución: enlaces para “cobrar” o “regularizar”; la AEAT usa canales oficiales (web, sede electrónica, notificaciones en su sistema), no correos genéricos que pidan login y tarjeta.
- DGT / multa: mensajes con plazo muy corto y enlace; las multas reales se consultan en la DGT o sede electrónica, no en dominios ajenos.
🤖 IA, voz y quishing
El texto puede ser perfecto. Hay voz clonada con pocos segundos de audio público y QR pegados en parking o menús. En chatbots y asistentes aparece el phishing conversacional: te piden que pegues un código, un enlace o “verifiques” la cuenta en una ventana que ellos abren. Defensa: palabra de seguridad en familia, colgar y llamar al número oficial, no dar códigos por teléfono a quien te ha llamado, y contexto sobre deepfakes.
🛡️ Protección (passkeys, DMARC…)
- Banca e impuestos: URL escrita o app oficial, no el enlace del mensaje.
- 2FA por app o llave; SMS es peor si te engañan para el código.
- Gestor: no rellena en dominios falsos.
- Passkeys / FIDO2 donde exista: menos reutilización en clones que una contraseña copiada a mano.
- Empresas: DMARC (y formación) reduce suplantación del dominio; pagos sensibles con doble verificación por otro canal (llamada interna, otro mail, procedimiento acordado). En BEC el daño suele ser una transferencia mal dirigida: no basta el filtro antispam; hace falta cultura de “¿confirmamos este IBAN por el canal habitual?”.
- Navegador actualizado; adjuntos no pedidos → no abrir.
2FA no es magia: si te roban la sesión o te convencen de leer el código en voz alta, cae igual. Prefiere app TOTP o llave FIDO frente a SMS cuando el servicio lo permita (menos exposición a SIM swap o a ingeniería sobre el operador). Si te bombardean notificaciones de aprobación, no pulses “sí” sin saber qué es: es MFA fatigue.
🚨 Si ya diste datos o hiciste clic
- Corta la red en ese equipo si hubo descarga o pantalla extraña.
- Banco o tarjeta: teléfono del dorso de la tarjeta o web oficial; bloqueo y fraude.
- Correo u otra cuenta: desde otro dispositivo, cambia contraseña (genera una fuerte), cierra sesiones y revisa reenvíos o reglas.
- Misma clave en más sitios: cámbiala también ahí.
- Guarda evidencias (capturas, cabeceras del correo) y denuncia (sección siguiente).
🛠️ Verificación y capas técnicas
| Recurso | Para qué sirve |
|---|---|
| Safe Browsing / SmartScreen | Aviso al abrir URLs listadas; mantén navegador actualizado. |
| VirusTotal / urlscan.io | Comprobar URL o archivo antes de abrir; ver captura del sitio sin entrar. |
| Gestor + passkey / FIDO2 | Menos autorrelleno en clones; la llave está ligada al dominio real. |
| uBlock Origin | Bloquea muchos dominios maliciosos y rastreo; capa extra pasiva. |
📣 Denunciar en España
- Correo/SMS/web sospechosos: «Reportar phishing» en el cliente; reenvío a [email protected] (INCIBE-CERT).
- Orientación ciudadana: OSI.es e INCIBE; teléfono de información 017 (no sustituye a emergencias).
- Pérdida económica o delito: Policía Nacional / Guardia Civil con pruebas; en emergencia 091 / 062.
🧠 Quiz: cinco escenarios
Cinco situaciones típicas. Marca phishing o legítimo; al final verás el resultado y qué señal lo delataba.
Cinco escenarios: phishing o legítimo
Elige en cada uno; al final verás la puntuación y la explicación.
Escenario 1 de 5
respuestas correctas de 5
❓ Preguntas frecuentes
Pulsa una pregunta para desplegar la respuesta.
¿Es peligroso solo abrir el correo o el SMS?
En la práctica, no: leer el texto no «hackea» el móvil. El riesgo es hacer clic, abrir adjuntos o contestar con datos.
¿El antivirus evita el phishing?
Bloquea malware y a veces URLs conocidas, pero el phishing «puro» te pide datos en una web: ahí cuenta el gestor de contraseñas, el 2FA y no confiar en enlaces.
¿Cómo denuncio en España?
«Reportar phishing» en el correo; reenvío a [email protected]. Con daño económico, denuncia ante fuerzas de seguridad con capturas. Ver también la sección Denunciar en España.
¿Pulso «darme de baja» en un correo raro?
No si sospechas fraude: confirmas que el correo existe y puede aumentar el spam. Marca como spam o phishing.
¿El móvil es más seguro que el PC?
No necesariamente: smishing, URLs recortadas en pantalla pequeña y apps falsas son vectores fuertes. Mismas reglas: URL oficial, gestor, 2FA.
¿Qué es el quishing?
Phishing por código QR (pegatina sobre el legítimo, menú falso, parking). Comprueba que el QR no esté tapando otro y, si dudas, entra por web o app oficial sin escanear.
📝 En resumen
El phishing explota la prisa y la confianza; con texto generado por IA las señales «de ortografía» ya no bastan. No actúes desde el enlace del mensaje, usa gestor + 2FA o passkeys, y en empresa refuerza el dominio con DMARC y doble confirmación en pagos.