Ciberseguridad

¿Qué es el Phishing? Guía Completa para Identificarlo y Protegerte

Actualizado: Diciembre 2025 | Tiempo de lectura: 15 minutos

Contenido

El phishing es una de las amenazas de ciberseguridad más comunes y peligrosas de la actualidad. Cada día, millones de personas reciben correos electrónicos, mensajes de texto o llamadas fraudulentas diseñadas para robar sus datos personales, contraseñas y dinero. En esta guía aprenderás exactamente qué es el phishing, cómo reconocerlo y, lo más importante, cómo protegerte.

1. ¿Qué es el Phishing?

El phishing (pronunciado "fishing", como "pesca" en inglés) es un tipo de fraude cibernético donde los atacantes se hacen pasar por entidades legítimas (bancos, empresas, servicios online) para engañar a las víctimas y conseguir que revelen información confidencial.

Origen del nombre: El término "phishing" combina "fishing" (pescar) con "ph" de "phreaking" (hackeo telefónico de los años 70). La idea es que los atacantes "pescan" víctimas usando "anzuelos" digitales.

¿Qué buscan los atacantes?

  • Credenciales de acceso: Usuarios y contraseñas de email, redes sociales, banca online
  • Datos bancarios: Números de tarjeta, PIN, códigos de seguridad
  • Información personal: DNI, fecha de nacimiento, dirección
  • Dinero directo: Transferencias bancarias o pagos
  • Acceso a sistemas: Para instalar malware o realizar ataques más sofisticados

2. Estadísticas Alarmantes

3.4B Emails de phishing enviados cada día
83% Empresas sufrieron phishing en 2024
36% De brechas empiezan con phishing
$4.9M Coste medio por brecha

El phishing sigue siendo el método de ataque más efectivo porque explota la confianza humana, no fallos técnicos. Incluso con los mejores sistemas de seguridad, un empleado que haga clic en el enlace equivocado puede comprometer toda una organización.

3. Cómo Funciona un Ataque de Phishing

Un ataque de phishing típico sigue estos pasos:

Paso 1: Preparación

El atacante crea una réplica convincente de un sitio web legítimo (banco, red social, servicio) y prepara mensajes que imitan las comunicaciones oficiales.

Paso 2: Distribución

Se envían miles o millones de mensajes (email, SMS, WhatsApp) a potenciales víctimas. Los mensajes suelen incluir:

  • Un sentido de urgencia ("Tu cuenta será bloqueada")
  • Una amenaza ("Actividad sospechosa detectada")
  • Un incentivo ("Has ganado un premio")
  • Un enlace a la página falsa

Paso 3: Engaño

La víctima hace clic en el enlace y llega a la página falsa, que parece idéntica a la real. Introduce sus datos creyendo que está en el sitio legítimo.

Paso 4: Robo

Los datos introducidos se envían directamente al atacante, quien puede:

  • Acceder a las cuentas de la víctima
  • Realizar compras o transferencias
  • Vender los datos en el mercado negro
  • Usar la información para más ataques

4. Tipos de Phishing

📧 Email Phishing

El tipo más común. Correos masivos que imitan a empresas conocidas (bancos, Amazon, PayPal, Netflix). Suelen ser genéricos ("Estimado cliente") porque se envían a millones de personas.

Ejemplo: "Su cuenta de Netflix ha sido suspendida. Haga clic aquí para verificar su información de pago."

🎯 Spear Phishing

Ataques dirigidos a personas específicas, con información personalizada obtenida de redes sociales o bases de datos filtradas. Mucho más difícil de detectar.

Ejemplo: "Hola María, soy Juan del departamento de IT. He visto tu mensaje sobre el problema con la impresora. Necesito que verifiques tus credenciales aquí."

🐋 Whaling (Caza de ballenas)

Spear phishing dirigido a ejecutivos y directivos de alto nivel. Los atacantes investigan a fondo a la víctima y crean ataques muy sofisticados con grandes recompensas potenciales.

Ejemplo: Un correo que parece venir del CEO pidiendo una transferencia urgente a un proveedor.

📱 Smishing (SMS Phishing)

Phishing por mensajes de texto. Muy efectivo porque los SMS tienen tasas de apertura del 98% y las personas confían más en ellos que en emails.

Ejemplo: "BBVA: Hemos detectado actividad sospechosa en su cuenta. Verifique su identidad en: [enlace malicioso]"

📞 Vishing (Voice Phishing)

Phishing por llamada telefónica. Los atacantes se hacen pasar por técnicos de soporte, empleados de banco o funcionarios del gobierno.

Ejemplo: Llamada de "Microsoft" alertando sobre virus en tu ordenador y pidiendo acceso remoto.

🔍 Clone Phishing

El atacante intercepta un email legítimo y crea una copia casi idéntica, pero con enlaces maliciosos. Muy difícil de detectar porque replica comunicaciones reales.

💉 Pharming

Más técnico: el atacante manipula los servidores DNS para redirigir a las víctimas a sitios falsos aunque escriban la URL correcta. No requiere que la víctima haga clic en nada.

5. Cómo Identificar un Intento de Phishing

Lista de Verificación Anti-Phishing

  • El remitente tiene un email sospechoso ([email protected] en vez de @banco.es)
  • El mensaje crea urgencia o miedo ("actúa ahora o perderás tu cuenta")
  • Hay errores gramaticales u ortográficos
  • El saludo es genérico ("Estimado cliente" en vez de tu nombre)
  • Te piden información que la empresa ya debería tener
  • El enlace no coincide con el dominio oficial (pasa el ratón sin hacer clic)
  • Hay archivos adjuntos inesperados
  • La oferta parece demasiado buena para ser verdad
  • Te presionan para que actúes sin pensar

Señales de Alerta en URLs

URL Sospechosa Por qué es Phishing
santander-es.com Dominio falso (el real es santander.es)
amaz0n.com Letra sustituida por número
paypal.com.sitio-falso.com El dominio real es sitio-falso.com
bancosantander.login.net Subdominio engañoso
http://banco.com (sin HTTPS) Los bancos siempre usan HTTPS

6. Ejemplos Reales de Phishing

Ejemplo 1: Email de Banco Falso

De: [email protected]
Asunto: ⚠️ URGENTE: Actividad sospechosa en su cuenta

Estimado cliente,

Hemos detectado actividad inusual en su cuenta de BBVA. Por su seguridad, su cuenta ha sido temporalmente bloqueada.

Para restaurar el acceso, debe verificar su identidad en las próximas 24 horas o su cuenta será suspendida permanentemente.

Verificar mi cuenta ahora

Atentamente,
Departamento de Seguridad BBVA

Señales de phishing:

  • Email de dominio falso (bbva-alertas.com no es de BBVA)
  • Urgencia y amenaza de bloqueo
  • Saludo genérico "Estimado cliente"
  • Plazo corto para actuar (24 horas)

Ejemplo 2: SMS de Correos (Smishing)

De: +34 612 345 678

CORREOS: Su paquete no pudo ser entregado. Pague los 2,99€ de tasas aduaneras para recibir su envío: correos-pago.com/es

Señales de phishing:

  • Correos no cobra tasas por SMS
  • El dominio no es correos.es
  • Cantidad pequeña para que parezca legítima
  • No menciona número de seguimiento real

Ejemplo 3: Email de Microsoft Falso

De: [email protected]
Asunto: Tu contraseña de Microsoft 365 expirará hoy

Hola,

Tu contraseña de Microsoft 365 expirará en 2 horas. Si no la actualizas, perderás acceso a:

  • Outlook
  • OneDrive
  • Teams

Mantener mi contraseña actual

Señales de phishing:

  • Microsoft no envía emails desde microsoft-support.net
  • Las contraseñas de Microsoft no "expiran" de esta forma
  • El botón "Mantener mi contraseña" es inusual
  • Urgencia artificial de 2 horas

7. Cómo Protegerte del Phishing

7.1 Verificación de Emails

  • Revisa siempre el remitente: Haz clic en el nombre para ver la dirección real
  • Pasa el ratón sobre los enlaces: Sin hacer clic, verifica que la URL sea legítima
  • No confíes en la urgencia: Las empresas reales dan tiempo para actuar
  • Contacta directamente: Ante la duda, llama al banco o empresa por su número oficial

7.2 Medidas Técnicas

  • Activa la autenticación de dos factores (2FA) en todas tus cuentas importantes
  • Usa un gestor de contraseñas: No rellenarán formularios en sitios falsos
  • Mantén el software actualizado: Navegadores, antivirus, sistema operativo
  • Instala un filtro anti-phishing: La mayoría de antivirus lo incluyen
  • Usa navegadores con protección: Chrome, Firefox y Edge alertan sobre sitios peligrosos

7.3 Buenas Prácticas

Regla de Oro: Nunca introduzcas datos sensibles siguiendo un enlace de email o SMS. Abre una nueva pestaña y escribe la dirección manualmente o usa tus favoritos guardados.
  • Desconfía de ofertas demasiado buenas
  • Nunca compartas contraseñas por email o teléfono
  • Verifica certificados SSL (candado verde) en sitios de pago
  • Educa a familiares y compañeros sobre phishing
  • Reporta intentos de phishing a la empresa suplantada

7.4 Herramientas Útiles

Herramienta Función Precio
uBlock Origin Bloquea anuncios y sitios maliciosos Gratis
Bitwarden Gestor de contraseñas Gratis
VirusTotal Analiza URLs y archivos sospechosos Gratis
Google Safe Browsing Integrado en Chrome Gratis
Microsoft Defender SmartScreen Protección anti-phishing en Edge Gratis

8. ¿Qué Hacer si Eres Víctima de Phishing?

Actúa rápido: El tiempo es crucial para minimizar daños. Sigue estos pasos inmediatamente.

Si introdujiste credenciales:

  1. Cambia la contraseña inmediatamente desde el sitio oficial
  2. Cambia la contraseña en otros sitios donde uses la misma
  3. Activa 2FA si no lo tenías
  4. Revisa la actividad reciente de la cuenta
  5. Cierra sesiones en todos los dispositivos

Si diste datos bancarios:

  1. Contacta con tu banco inmediatamente
  2. Bloquea las tarjetas afectadas
  3. Revisa movimientos recientes
  4. Solicita nuevas tarjetas
  5. Considera activar alertas de movimientos

En todos los casos:

  • Documenta todo: capturas de pantalla, emails, fechas
  • Denuncia ante la Policía Nacional o Guardia Civil
  • Reporta el phishing a la empresa suplantada
  • Reporta el email como spam/phishing en tu cliente de correo
  • Considera un servicio de monitorización de identidad

Dónde Denunciar en España

  • INCIBE: incibe.es (Instituto Nacional de Ciberseguridad)
  • Policía Nacional: policia.es (Brigada de Investigación Tecnológica)
  • Guardia Civil: gdt.guardiacivil.es (Grupo de Delitos Telemáticos)
  • OSI: osi.es (Oficina de Seguridad del Internauta)

9. Preguntas Frecuentes

¿Por qué recibo tantos emails de phishing?

Tu dirección de email probablemente está en listas públicas o fue filtrada en alguna brecha de datos. Puedes comprobar si tu email ha sido comprometido en haveibeenpwned.com. Los atacantes también usan técnicas automatizadas para generar combinaciones de emails.

¿Puede el phishing infectar mi ordenador?

El phishing tradicional necesita que tú introduzcas datos. Sin embargo, algunos ataques combinan phishing con malware: al hacer clic en un enlace o abrir un adjunto, pueden instalar software malicioso. Por eso es importante no hacer clic en enlaces sospechosos y tener un antivirus actualizado.

¿Mi banco me pediría datos por email?

Nunca. Los bancos no solicitan contraseñas, PINs o números de tarjeta completos por email, SMS o teléfono. Si recibes este tipo de comunicación, es phishing. Contacta directamente con tu banco usando el número de su web oficial.

¿El candado verde garantiza que el sitio es seguro?

No completamente. El candado (HTTPS) solo significa que la conexión está cifrada, no que el sitio sea legítimo. Los atacantes también pueden obtener certificados SSL para sus sitios falsos. Siempre verifica que el dominio sea correcto.

¿Qué es el "typosquatting"?

Es una técnica donde los atacantes registran dominios con errores tipográficos comunes (amazn.com, gogle.com, paypa1.com). Aprovechan que las personas escriben rápido y no se fijan en pequeños errores. Por eso es mejor usar marcadores o buscar en Google la empresa.

¿El 2FA me protege completamente del phishing?

Reduce enormemente el riesgo, pero no al 100%. Existen ataques avanzados de phishing en tiempo real que capturan y usan los códigos 2FA antes de que expiren. Aun así, el 2FA bloquea la mayoría de ataques y es fundamental tenerlo activado.

Artículos Relacionados

Cómo Proteger mi PC de Hackers

Guía completa de seguridad para blindar tu ordenador.

Cómo Eliminar un Virus

Pasos para limpiar tu PC de malware y virus.

¿Qué es una VPN?

Cómo una VPN protege tu privacidad online.

Mejores Gestores de Contraseñas

Protege tus credenciales con estas herramientas.