El phishing es una de las técnicas de fraude digital más extendidas. Consiste en engañar al usuario para que revele contraseñas, datos bancarios u otra información sensible, haciéndole creer que está interactuando con una entidad legítima. En España, los organismos de referencia como el INCIBE y la Guardia Civil registran miles de denuncias anuales relacionadas con esta modalidad.
Qué es exactamente el phishing
El término engloba varias variantes según el canal utilizado:
- Phishing por correo electrónico — El más común. El atacante envía un mensaje que imita la apariencia de un banco, empresa de paquetería, administración pública o red social.
- Smishing — Phishing por SMS. Los mensajes fraudulentos suelen incluir un enlace corto y una excusa urgente: un paquete retenido, un cobro pendiente o una alerta de seguridad.
- Vishing — Phishing por llamada telefónica. El interlocutor se presenta como empleado de un banco o técnico de soporte e intenta obtener datos directamente por voz.
- Spear phishing — Variante personalizada que utiliza datos reales del destinatario (nombre, empresa, cargo) para resultar más convincente.
Señales de alerta en correos electrónicos
Identificar un correo de phishing requiere revisar varios elementos de forma sistemática. No basta con mirar si el diseño parece correcto; los atacantes reproducen fielmente la imagen corporativa de entidades conocidas.
El remitente real frente al nombre visible
El nombre que aparece junto al correo («Banco Santander», «Correos España», «Agencia Tributaria») puede ser cualquier texto que el atacante decida poner. Lo relevante es la dirección real del remitente, que en muchos clientes de correo se muestra al pasar el cursor sobre el nombre o al hacer clic en él.
Señales sospechosas en la dirección:
- Dominio diferente al oficial: correos-notificacion.com en lugar de correos.es
- Subdominios que incluyen el nombre real pero en posición secundaria: correos.es.entrega-paquete.net
- Caracteres similares: la letra «o» sustituida por el número «0», la «l» por «1»
- Dominios con extensiones inusuales para el contexto español: .ru, .cn, .xyz
El tono y el contenido del mensaje
Los mensajes de phishing suelen construirse sobre una situación urgente que requiere acción inmediata: «Su cuenta será bloqueada en 24 horas», «Confirme sus datos para no perder el acceso», «Su paquete no pudo entregarse». La urgencia es un mecanismo para reducir el tiempo de reflexión del destinatario.
Solicitar credenciales, números de tarjeta o datos del DNI por correo o SMS es una práctica que las entidades legítimas no realizan. Los bancos españoles y la Agencia Tributaria no solicitan contraseñas ni datos completos de tarjeta por estos canales.
Los enlaces y los archivos adjuntos
Antes de hacer clic en cualquier enlace de un correo sospechoso, es posible ver la URL real situando el cursor encima (sin hacer clic) y observando la barra de estado del navegador o el tooltip que aparece. Si la dirección no corresponde al dominio oficial de la entidad, no debe seguirse.
Los archivos adjuntos en correos no solicitados también son un vector de riesgo. Formatos como .exe, .zip, .docm o .xlsm pueden contener código malicioso. Incluso archivos PDF pueden incluir scripts en determinadas versiones de lectores.
El phishing que suplanta a entidades españolas
Las suplantaciones más frecuentes en el contexto español, según los avisos publicados por la OSI, incluyen:
- Entidades bancarias: CaixaBank, Banco Santander, BBVA, ING, Sabadell
- Organismos públicos: Agencia Tributaria, Seguridad Social, DGT
- Empresas de paquetería: Correos, MRW, FedEx, DHL
- Plataformas de comercio electrónico: Amazon, eBay
- Empresas de suministros: eléctricas, telefónicas
La OSI publica avisos de fraude activos en osi.es/es/actualidad/avisos, donde es posible consultar campañas de phishing en circulación en cada momento.
Qué hacer si se ha hecho clic en un enlace fraudulento
Si se interactuó con un enlace de phishing o se introdujeron datos en un formulario falso, los pasos a seguir dependen del tipo de información comprometida:
Si se introdujo la contraseña de una cuenta
- Cambiar la contraseña de esa cuenta de inmediato, desde un dispositivo diferente si es posible
- Cambiar también la contraseña de cualquier otra cuenta donde se usara la misma clave
- Revisar los accesos recientes desde la configuración de seguridad de la cuenta
- Activar la verificación en dos pasos si no estaba habilitada
Si se proporcionaron datos bancarios
- Contactar con el banco de inmediato para bloquear la tarjeta o la cuenta si es necesario
- Revisar los movimientos recientes en busca de transacciones no reconocidas
- Interponer una denuncia ante la Policía Nacional o la Guardia Civil, y opcionalmente informar al INCIBE a través de incibe.es
El INCIBE dispone de un canal de reporte de fraudes en incibe.es/linea-de-ayuda-en-ciberseguridad (teléfono 017), donde se puede notificar la recepción de correos o SMS fraudulentos y obtener orientación sobre los pasos a seguir.
Smishing: SMS fraudulentos
El smishing sigue un patrón similar al phishing por correo, pero el canal SMS añade un elemento que incrementa la eficacia del engaño: muchos usuarios asocian los SMS a comunicaciones más directas y menos susceptibles de fraude que el correo electrónico.
Los mensajes de smishing suelen ser breves e incluyen un enlace acortado que oculta la URL real. Frases habituales:
- «Su paquete de Correos está pendiente de un pago de 1,99 €. Confirme en: [enlace]»
- «Su cuenta bancaria ha sido bloqueada. Acceda aquí para reactivarla: [enlace]»
- «La DGT ha detectado una infracción a su nombre. Consulte los detalles: [enlace]»
Ante este tipo de mensajes, la recomendación es no seguir ningún enlace. Si existe duda sobre si la comunicación es legítima, lo más seguro es acceder directamente al servicio correspondiente escribiendo la URL conocida en el navegador o llamando al número oficial de atención al cliente.