🎣 Qué es el phishing y cómo evitar que te roben las contraseñas

hace 4 meses

Table of Contents

Phishing: cómo reconocer un correo falso antes de que el daño ya esté hecho

Cada día se envían millones de correos fraudulentos diseñados para robar contraseñas y datos bancarios, y los más peligrosos no van dirigidos a usuarios descuidados, sino a quienes creen que son demasiado precavidos para caer.

En esta plataforma editorial de ciberseguridad documentamos cómo este tipo de fraude es el principal vector de entrada para la mayoría de hackeos de cuentas, y cómo identificar sus señales puede evitar en segundos lo que después cuesta semanas reparar. Consulta la biblioteca técnica de ciberseguridad: recursos sobre suplantación, ingeniería social, DMARC/SPF/DKIM, AiTM y prevención de fraude online en 2026.

🔍 ¿Qué es el phishing y cómo evitarlo en 2026? El phishing es un fraude online en el que los ciberdelincuentes suplantan la identidad de bancos, empresas o servicios conocidos mediante correos, SMS o webs falsas para robar contraseñas y datos bancarios. Es el principal vector de entrada para infecciones de malware y el origen de la mayoría de hackeos de cuentas. Para protegerte: activa el 2FA en correo y banca, usa contraseñas únicas con un gestor, activa SmartScreen y nunca hagas clic en enlaces de mensajes urgentes — accede siempre directamente a la web oficial.

💡 Resumen rápido

🎣 Qué es el phishing y cómo evitar que te roben las contraseñas en 2026

El phishing es un fraude online en el que los ciberdelincuentes suplantan la identidad de bancos, empresas o servicios conocidos mediante correos, SMS o webs falsas para robar contraseñas y datos bancarios. Es el principal vector de entrada para infecciones de malware y el origen de la mayoría de hackeos de cuentas.

✅ 6 tipos en 2026: email, smishing, vishing, spear phishing, whaling y quishing
✅ Señales para detectarlo: urgencia, remitente sospechoso, enlace falso y solicitud de datos
✅ Cómo protegerte: 2FA, contraseñas únicas, SmartScreen y gestor de contraseñas
✅ Qué hacer si has caído: pasos urgentes, contacto con el banco y llamada al 017 INCIBE
✅ Ejemplos reales en 2026: SMS de mensajería, alertas bancarias y códigos QR falsos

📅 2026 · 🕐 9 minutos de lectura

💡 Definición rápida

Phishing: Técnica de fraude online basada en la suplantación de identidad de una entidad legítima (banco, empresa, organismo oficial) mediante correos, SMS o webs falsas para engañar a la víctima y robarle contraseñas, datos bancarios o información personal. Es el principal vector de entrada para la mayoría de hackeos de cuentas y el origen de numerosas infecciones por malware.

El phishing es un tipo de fraude online en el que los ciberdelincuentes suplantan la identidad de empresas o personas de confianza para engañar a los usuarios y robar datos como contraseñas o información bancaria.

Es una de las ciberamenazas más extendidas actualmente en internet y el principal vector de entrada para muchas infecciones por malware distribuido desde correos fraudulentos. Forma parte del ecosistema más amplio descrito en el panorama actualizado de estafas y fraudes digitales con IA en 2026, junto al fraude CEO (BEC), pig butchering, sextorsión, soporte técnico falso y romance scam.

📌 ¿Qué es el phishing?

🔍 ¿Qué es el phishing? Definición y cómo funciona

El phishing es una técnica de ciberataque basada en la suplantación de identidad de una entidad legítima para conseguir que la víctima entregue voluntariamente sus credenciales o datos bancarios. Sus características en 2026:

Origen del nombre: deriva del inglés fishing (pescar) — el atacante lanza el cebo y espera a que pique
Técnicas actuales: IA generativa, dominios homógrafos y certificados HTTPS legítimos
Variantes: email phishing, smishing (SMS), vishing (llamada), quishing (QR) y spear phishing (dirigido)
Técnica avanzada: AiTM (Adversary-in-the-Middle) captura también el token 2FA en tiempo real
Defensa más eficaz: passkeys FIDO2/WebAuthn — inmunes al phishing por verificación criptográfica del dominio

Es una de las técnicas de ciberataque más utilizadas para robar credenciales y acceder a cuentas personales o bancarias. Suele combinarse con spoofing de remitente, typosquatting de dominios y técnicas de adversary-in-the-middle (AiTM) que permiten interceptar incluso los códigos de autenticación de doble factor mediante kits como Evilginx2 o Modlishka.

Suele suplantar la identidad de:

🏦 Bancos: alertas falsas de seguridad o verificación de cuenta.
📱 Redes sociales: notificaciones de acceso sospechoso.
📦 Empresas de mensajería: paquete pendiente de entrega.
🏢 Organismos oficiales: multas, impuestos o notificaciones.
☁️ Servicios online: caducidad de cuenta o pago pendiente.
💼 Departamentos internos: RRHH, IT o dirección financiera en entornos corporativos.
🚚 Plataformas de comercio: Amazon, eBay, Wallapop con problemas falsos de pedido.

🎯 Top 10 de marcas más suplantadas en phishing en España 2026

Marca / Entidad	Tipo de phishing	Cebo más usado
Correos / SEUR / MRW	Smishing / Email	"Tu paquete está retenido, paga el reenvío"
BBVA / Santander / CaixaBank	Email / Smishing	"Bloqueo de cuenta por seguridad"
Agencia Tributaria (AEAT)	Email	"Devolución pendiente de tramitar"
Netflix / HBO / Disney+	Email	"Renovar suscripción caducada"
Amazon / AliExpress	Email / Smishing	"Pedido incompleto, confirma dirección"
Microsoft / Apple / Google	Email	"Inicio de sesión sospechoso, verifica"
DGT / Multas de tráfico	Smishing	"Sanción pendiente con descuento 50%"
Endesa / Iberdrola / Naturgy	Email / Vishing	"Factura pendiente, te cortamos la luz"
Sede Electrónica / Cl@ve	Email	"Notificación oficial pendiente"
Bizum / PayPal	Smishing / Email	"Recepción de transferencia, confirma"

Este fraude representa aproximadamente el 70% de todos los ataques de ingeniería social. Profundiza en el manual de ingeniería social aplicada al fraude online en 2026 para entender por qué este fraude nunca es solo un correo falso, sino el resultado de seis principios psicológicos que el atacante aplica con precisión quirúrgica en cada mensaje.

⚙️ ¿Cómo funciona el phishing?

🔍 ¿Cómo funciona el phishing paso a paso?

Un ataque de phishing se desarrolla en 5 pasos:

Recibes un correo, SMS o mensaje fraudulento que simula ser de una entidad de confianza
Haces clic en un enlace que parece legítimo (URL acortada o dominio homógrafo)
Accedes a una web que imita exactamente a la original con HTTPS y diseño copiado
Introduces tus credenciales o datos bancarios en el formulario falso
El atacante los captura en tiempo real y accede a tu cuenta en menos de 2 minutos

En ataques AiTM avanzados, el proxy también captura el token de sesión generado tras el 2FA, saltando la segunda capa de seguridad.

Recibes un correo, SMS o mensaje fraudulento.
Haces clic en un enlace que parece legítimo.
Accedes a una web que imita exactamente a la original.
Introduces tus credenciales o datos bancarios.
El atacante los captura y accede a tu cuenta.

🔁 Las 5 fases de un ataque de phishing moderno

Fase	Qué hace el atacante	Punto débil que explota
1. Reconocimiento	Recopila datos de redes sociales, brechas y RRHH público	Exposición de identidad digital
2. Cebo	Diseña email o SMS con plantillas legítimas robadas	Confianza visual en la marca
3. Entrega	Envía masivamente desde dominios spoofeados o nuevos	Filtros antispam permisivos
4. Captura	Web falsa con HTTPS y formulario idéntico al real	Falta de verificación de URL
5. Explotación	Acceso automatizado a la cuenta robada en minutos	Reutilización de contraseñas

🛒 ¿Qué son los Phishing Kits (PhaaS)? Los Phishing as a Service (PhaaS) son paquetes preensamblados que venden los grupos criminales en mercados de la dark web. Por entre 50 € y 500 € incluyen panel de control, plantillas idénticas a bancos, dashboard de credenciales capturadas en tiempo real, redirección post-captura para no levantar sospechas y bypass de Microsoft 365. Los más conocidos son Caffeine, EvilProxy, Tycoon 2FA y Greatness, todos con capacidad de capturar tokens de sesión 2FA mediante AiTM.

🚨 Señales para detectar phishing

🔍 ¿Cómo detectar un correo de phishing? Las 8 señales clave

Las 8 señales que delatan un correo o SMS fraudulento:

Urgencia extrema: "Tu cuenta será bloqueada en 24h" — presión para actuar sin pensar
Remitente sospechoso: dominio falso que imita al real (soporte@banco-seguro.net)
Enlace no coincide: URL diferente al pasar el ratón sobre el botón
Errores ortográficos: "Estimado cliente, su cuanta..." — traducción automática mal hecha
Sin HTTPS o dominio extraño: http:// o dominio diferente al oficial
Solicitan datos sensibles: PIN, contraseña completa, CVV — ningún servicio legítimo los pide por email
Saludo genérico: "Estimado usuario", "Hola cliente" — envío masivo sin datos personales
Dominio homógrafo: раypal.com con la "а" cirílica en lugar de latina

Señal de alerta	Ejemplo real	¿Qué indica?
Urgencia extrema	"Tu cuenta será bloqueada en 24h"	Presión para actuar sin pensar
Remitente sospechoso	soporte@banco-seguro.net	Dominio falso que imita al real
Enlace no coincide	URL diferente al pasar el ratón	Redirección a web falsa
Errores ortográficos	"Estimado cliente, su cuanta..."	Traducción automática mal hecha
Sin HTTPS	http:// en lugar de https://	Web sin certificado de seguridad
Solicitan datos sensibles	PIN, contraseña completa, CVV	Ningún servicio legítimo los pide
Saludo genérico	"Estimado usuario", "Hola cliente"	Envío masivo sin datos personales
Dominio homógrafo	раypal.com (la "a" es cirílica)	Suplantación visual del dominio real

📎 Tipos de adjuntos peligrosos que llegan en correos fraudulentos

Tipo	Extensión	Riesgo	Vector típico
Ejecutable	.exe, .scr, .com, .bat	🔴 Crítico	Ejecución directa de malware
Office con macros	.doc, .docm, .xls, .xlsm	🔴 Crítico	VBA macros con descarga de payload
Archivo comprimido	.zip, .rar, .7z, .iso, .img	🔴 Alto	Ofusca ejecutables, evade Mark of the Web
Script Windows	.vbs, .js, .ps1, .hta, .lnk	🔴 Alto	Ejecución directa por wscript / cscript
PDF con JavaScript	.pdf	🟠 Medio	Redirección a web fraudulenta, JS embebido
HTML smuggling	.html, .htm, .svg	🟠 Medio	Reconstrucción de payload en navegador
Instalador Windows	.msi, .msix, .appx	🟠 Medio	Pasa controles de firma básicos
OneNote	.one	🟠 Medio	Bypass de bloqueo de macros de Office

🧠 Tipos de phishing más comunes en 2026

🔍 ¿Cuáles son los tipos de phishing más comunes en 2026?

Los 8 tipos de phishing ordenados por frecuencia en 2026:

Email phishing (muy alta): correo falso con enlace a web fraudulenta — el vector más antiguo y aún el más masivo
Smishing (muy alta): SMS con enlace malicioso, tasa de apertura superior al 90%
Vishing (alta): llamada de voz con suplantación, potenciada con clonación de voz por IA en 2026
Spear phishing (alta en empresas): ataque dirigido con datos reales de la víctima
Whaling (media): spear phishing contra directivos con alto nivel de acceso
Quishing (creciente): código QR en carteles físicos o digitales que redirige a web fraudulenta
Clone phishing (media): copia exacta de un correo legítimo con el enlace modificado
Angler phishing (creciente): cuentas falsas de soporte al cliente en X o Instagram

Tipo	Canal	Cómo actúa	Frecuencia
Email phishing	Correo electrónico	Correo falso con enlace a web fraudulenta	🔴 Muy alta
Smishing	SMS	Mensaje con enlace malicioso al móvil	🔴 Muy alta
Vishing: el phishing que llega por llamada telefónica en 2026	Llamada de voz	Suplantación de banco o soporte técnico con voz clonada por IA	🟠 Alta
Spear phishing	Email personalizado	Ataque dirigido con datos reales de la víctima	🟠 Alta (empresas)
Whaling	Email ejecutivo	Ataque a directivos con alto nivel de acceso	🟡 Media
Quishing	Código QR	QR que redirige a web fraudulenta	🟡 Creciente
Clone phishing	Email duplicado	Copia de un correo legítimo con enlace modificado	🟡 Media
Angler phishing	Redes sociales	Cuentas falsas de soporte al cliente en X o Instagram	🟡 Creciente

Cuanta más información personal hay disponible sobre ti en internet, más convincente es el ataque: aprende a auditar tu huella online antes de un ataque de spear phishing dirigido para reducir la superficie de exposición. El smishing ha evolucionado hasta convertir las propias apps en el vector principal — consulta la guía completa sobre ataques en apps de mensajería instantánea: cómo detectarlos y bloquearlos en 2026.

Si recibes SMS o mensajes de WhatsApp de "tu banco", "Correos" o "la AEAT" con un enlace, consulta cómo detectar el smishing y suplantación de bancos por SMS y WhatsApp en 2026. El SMS spoofing puede hacer que un mensaje fraudulento aparezca incluso en el mismo hilo de mensajes que los SMS legítimos de tu banco.

El vishing se ha sofisticado en 2026 con la grabación del "sí" al descolgar y la clonación de voz mediante IA. Consulta el análisis del fraude del "sí" al teléfono y clonación de voz con IA en 2026 para entender por qué cambiar la respuesta de "sí" a "¿Quién llama?" elimina por completo el vector de grabación.

🤖 Phishing potenciado con IA generativa: El salto de 2026

🔍 ¿Cómo cambia la IA generativa al phishing en 2026?

La IA transforma el phishing en cuatro dimensiones:

Elimina los errores ortográficos que delataban los correos masivos
Traduce cualquier campaña a 30 idiomas en segundos con calidad nativa
Personaliza el cebo con datos previos de la víctima extraídos de filtraciones
PromptSpy (Android): primer malware que usa IA localmente para adaptar el engaño en tiempo real leyendo notificaciones y pantalla del dispositivo comprometido

El caso emblemático en Android es PromptSpy: el primer malware Android que usa IA para atacarte en tiempo real, una pieza que combina vigilancia continua del dispositivo con generación contextual de mensajes para engañar a la víctima desde dentro de su propio teléfono.

El phishing con IA es solo la punta del iceberg: consulta el análisis completo de las estafas con inteligencia artificial en 2026 para entender cómo BEC, deepfakes de voz y phishing personalizado comparten infraestructura criminal y por qué la defensa requiere un enfoque unificado.

🪟 ¿Qué es Browser-in-the-Browser (BitB)? Técnica donde el atacante renderiza una ventana de login emergente falsa (Google, Microsoft, Apple) dentro de la propia página web maliciosa, imitando hasta el último detalle la ventana legítima del navegador. La URL real sigue siendo el sitio del atacante, pero la víctima ve https://accounts.google.com dibujado en HTML/CSS. Para detectarlo: arrastra la ventana — si no sale del límite del navegador, es falsa.

🛡️ AiTM y bypass del 2FA: La amenaza definitiva

🚨 ¿Qué es AiTM (Adversary-in-the-Middle)? Es la evolución del phishing que captura no solo usuario y contraseña, sino también el token de sesión generado tras un 2FA válido. El atacante levanta un proxy reverso (Evilginx2, Modlishka, Muraena) que reenvía cada petición al servicio real — tú introduces contraseña + código TOTP, el proxy los captura y el atacante importa la cookie de sesión en su navegador. Salta 2FA por SMS, app TOTP y push notifications. Solo las llaves FIDO2/WebAuthn son inmunes porque validan criptográficamente el dominio.

Método 2FA	Resistencia a phishing tradicional	Resistencia a AiTM
SMS	🟡 Media (sufre SIM swapping)	🔴 Nula (capturado por proxy)
App TOTP (Authy, Aegis)	🟢 Alta	🔴 Nula (capturado por proxy)
Push notification	🟢 Alta	🟠 Baja (MFA fatigue)
Push con number matching	🟢 Alta	🟡 Media
Llave FIDO2 / WebAuthn / Passkey	🟢 Excelente	🟢 Inmune (verifica dominio)

🆚 Email legítimo vs email phishing: 8 diferencias clave

Elemento	✅ Correo legítimo	🚨 Correo phishing
Dominio remitente	@bbva.es, @correos.es	@bbva-seguridad.net, @correos-envio.com
Saludo	Tu nombre real y apellidos	"Estimado cliente", "Usuario"
Tono del mensaje	Informativo y sin presión	Urgencia, amenazas, bloqueo inminente
Enlaces	URL coincide con la web oficial	URL acortada o con dominio extraño
Ortografía	Impecable, revisada	Errores, traducciones automáticas
Datos que piden	Nunca claves completas ni PIN	Contraseña, CVV, código SMS
Adjuntos	PDF firmados o sin adjuntos	.zip, .exe, documentos con macros
Firma y pie	Datos completos y canales oficiales	Firma genérica o inexistente

🔍 Headers técnicos del email: indicadores de spoofing

📨 ¿Qué son SPF, DKIM y DMARC y cómo verificarlos? Son los tres estándares que autentican el remitente de un email: SPF define qué servidores pueden enviar correo en nombre del dominio; DKIM firma criptográficamente cada email; DMARC le indica al receptor qué hacer si SPF/DKIM fallan. En Gmail: abre el correo → ⋮ → "Mostrar original" → busca SPF: PASS, DKIM: PASS y DMARC: PASS. Si alguno falla, casi seguro es phishing.

📋 Received-SPF: fail / softfail — el servidor remitente no está autorizado para el dominio.
📋 DKIM-Signature: fail — la firma criptográfica no coincide con el dominio declarado.
📋 DMARC: fail — la política del dominio detecta suplantación.
📋 Reply-To distinto al From — el From dice "banco@bbva.es" pero Reply-To redirige a otro dominio.
📋 Return-Path en dominio extraño — la dirección de rebote es ajena al dominio aparente.
📋 X-Mailer raro — software de envío diferente al habitual (PHPMailer en lugar de Mailchimp).
📋 Múltiples Received con saltos sospechosos — el email pasó por servidores de Europa del Este, Asia o anónimos.
📋 Message-ID inconsistente — el dominio en el Message-ID no coincide con el From.

✅ Checklist: 7 comprobaciones antes de hacer clic

🛡️ Checklist antiphishing (30 segundos)

☐ Dominio del remitente: ¿coincide exactamente con el oficial? Cuidado con letras cambiadas (rn en lugar de m).

☐ Saludo genérico: "Estimado cliente" en lugar de tu nombre real es sospechoso.

☐ URL al pasar el ratón: ¿coincide con la web oficial o redirige a otro dominio?

☐ Urgencia artificial: "En 24h", "último aviso", "suspenderemos tu cuenta".

☐ Errores ortográficos o de traducción: frases raras, tildes mal puestas, palabras inventadas.

☐ Solicitud de datos sensibles: PIN, contraseña completa, CVV o clave de firma.

☐ Archivos adjuntos inesperados: .zip, .exe, .iso o documentos que piden activar macros.

Regla 2 de 7: si marcas dos o más casillas, no hagas clic. Accede directamente a la web oficial escribiendo la URL en el navegador.

📱 Checklist específico al recibir un SMS sospechoso (smishing)

Cuando llega un SMS de "Correos", "tu banco" o "Hacienda" con un enlace:

☑ ¿Esperabas un paquete o trámite real? Si no, descarta el mensaje sin tocarlo.
☑ ¿El número es corto comercial (5 dígitos) o genérico (+34 6XX...)?
☑ ¿El SMS aparece en el mismo hilo que mensajes legítimos previos? Cuidado: SMS spoofing es posible.
☑ ¿La URL es la oficial (correos.es, no correos-envio.es)?
☑ ¿Pide un pago pequeño (1-5 €) por aduana/reenvío/multa? Es indicio clásico de smishing.
☑ ¿La URL es acortada (bit.ly, tinyurl, cutt.ly)? Nunca uses URL acortadas para servicios oficiales.
☑ ¿Han pasado menos de 5 minutos desde una compra/trámite real? Cuidado, son timing-based attacks.
☑ NUNCA introduzcas tarjeta o claves tras hacer clic en un SMS. Accede manualmente a la web oficial.

🔐 Cómo protegerte del phishing

🔍 ¿Cómo protegerse del phishing en 2026?

Las 7 medidas más eficaces contra el phishing ordenadas por impacto:

No hagas clic en enlaces sospechosos — accede siempre escribiendo la URL directamente en el navegador
Activa el 2FA con app autenticadora o llave FIDO2 en correo y banca — bloquea el acceso aunque roben la contraseña
Usa un gestor de contraseñas con autocompletado por dominio — no rellena en webs falsas
Contraseñas únicas por servicio — una filtración no compromete el resto de cuentas
SmartScreen activo en Edge y Windows Defender actualizado — capa antiphishing nativa
Mantén Windows actualizado — los exploits descargados desde correos fraudulentos escalan via CVEs sin parchear
Migra a passkeys FIDO2/WebAuthn en cuentas críticas — inmune a phishing y AiTM simultáneamente

🚫 No hagas clic en enlaces sospechosos — accede siempre directamente a la web oficial.
✉️ Verifica siempre el remitente — comprueba el dominio completo, no solo el nombre.
🔑 Usa contraseñas únicas resistentes al credential stuffing para cada servicio.
📱 Activa la verificación en dos pasos resistente al SIM-swapping en todas tus cuentas.
🗝️ Usa un gestor de contraseñas cifrado con autocompletado por dominio que no rellena en webs falsas.
🪪 Aplica el blindaje de la identidad digital con alias de correo en 2026 — el phishing es el atajo favorito para apoderarse de tu correo y banca.

✅ Referencia oficial: el INCIBE define el phishing como una de las técnicas más utilizadas para engañar a usuarios y robar información personal mediante correos, SMS o llamadas fraudulentas.

⚠️ Enlace pendiente de verificación: el artículo original incluía un enlace a /seguridad-windows/endurecer-navegadores-windows/ que no está confirmado en el catálogo de URLs. Se ha eliminado hasta confirmar su existencia.

🌐 Endurece el navegador con políticas de PowerShell: aplica el blindaje del navegador con SmartScreen reforzado en Chrome y Edge para bloquear automáticamente descargas peligrosas.

🛡️ Herramientas gratuitas para protegerte del phishing

Herramienta	Qué hace	Plataforma	Coste
Windows SmartScreen	Bloquea webs y descargas fraudulentas conocidas	Windows 10 y 11	🟢 Integrado
Windows Defender	Detecta malware descargado desde correos fraudulentos	Windows 10 y 11	🟢 Integrado
Bitwarden / KeePass	Gestor de contraseñas, no autocompleta en webs falsas	Win / Mac / Linux / móvil	🟢 Gratuito
Have I Been Pwned	Avisa si tu email está en filtraciones	Web	🟢 Gratuito
uBlock Origin	Bloquea dominios maliciosos conocidos	Firefox y Chrome	🟢 Gratuito
Google Safe Browsing	Protección antiphishing integrada en el navegador	Chrome y Firefox	🟢 Integrado
INCIBE 017	Orientación gratuita y denuncia asistida	Teléfono y web	🟢 Gratuito

🔬 Herramientas avanzadas para analizar enlaces y archivos sospechosos

🦠 VirusTotal — sube archivos o URLs y los analiza con 70+ motores antivirus.
🔍 urlscan.io — visualiza qué hace una URL al cargar sin abrirla en tu equipo.
🌐 Google Transparency Report — comprueba si Google ha marcado un dominio como peligroso.
📜 WHOIS / domain age — dominios registrados hace menos de 30 días son altamente sospechosos.
🛡️ PhishTank — base de datos colaborativa de URLs fraudulentas verificadas.
📨 MXToolbox — comprueba registros SPF, DKIM y DMARC de un dominio.
🔬 Hybrid Analysis / Any.Run — sandbox online para ejecutar archivos sospechosos en entorno aislado.
📋 CheckShortURL — expande URLs acortadas (bit.ly, tinyurl) sin visitarlas.

⏱️ Configuración antiphishing completa en 10 minutos

🚀 Setup antiphishing en 10 minutos

☐ Minuto 1-2: activa SmartScreen en Edge (Configuración → Privacidad → SmartScreen).

☐ Minuto 3-4: verifica que Windows Defender tiene la protección en tiempo real activa.

☐ Minuto 5-6: activa 2FA en tu correo principal (Gmail u Outlook).

☐ Minuto 7: activa 2FA en tu banca online.

☐ Minuto 8: instala Bitwarden o similar como gestor de contraseñas.

☐ Minuto 9: revisa tu email en haveibeenpwned.com.

☐ Minuto 10: guarda el 017 (INCIBE) en la agenda del móvil.

⚠️ Qué hacer si has caído en un fraude de phishing

🔍 ¿Qué hacer si has caído en un phishing? Los 6 pasos urgentes

Protocolo de respuesta urgente si has introducido datos en una web falsa:

Cambia la contraseña afectada inmediatamente desde un dispositivo seguro — prioridad máxima
Activa el 2FA en la cuenta comprometida si no lo tenías
Contacta con tu banco si diste datos bancarios — solicita bloqueo de tarjeta
Revisa accesos recientes en correo y redes sociales — busca sesiones activas desconocidas
Escanea el dispositivo con Windows Defender — el enlace puede haber descargado malware
Llama al 017 (INCIBE, gratuito) para orientación personalizada

🚨 Pasos urgentes: si has introducido tus datos en una web falsa, actúa inmediatamente. La AEPD recomienda cambiar las contraseñas de las cuentas implicadas, contactar con el banco para cancelar pagos no autorizados y escanear el dispositivo con un antivirus actualizado.

🔑 Cambia las contraseñas afectadas desde un dispositivo seguro.
📱 Activa el 2FA en todas las cuentas comprometidas.
🏦 Contacta con tu banco si has introducido datos bancarios o financieros.
🔍 Revisa accesos recientes en tus cuentas de correo y redes sociales.
🛡️ Escanea tu dispositivo en busca de malware con Windows Defender.
📞 Llama al 017 (INCIBE) para orientación gratuita y personalizada.

Paso	Acción	Urgencia
1	Cambia la contraseña afectada desde dispositivo seguro	🔴 Inmediata
2	Activa el 2FA en la cuenta comprometida	🔴 Inmediata
3	Contacta con tu banco si diste datos bancarios	🔴 Inmediata
4	Revisa accesos recientes en correo y redes sociales	🟠 Urgente
5	Escanea el dispositivo con Windows Defender	🟠 Urgente
6	Llama al 017 (INCIBE) para orientación gratuita	🟡 Recomendado

Si tu correo fue comprometido, consulta cómo recuperar el correo tras un acceso no autorizado: pasos y herramientas en 2026.

📋 Checklist extendido post-incidente (próximas 48 horas)

Tras los 6 pasos urgentes, completa esta auditoría en 48 horas:

☑ Revoca todas las sesiones activas en correo, redes sociales y banca
☑ Revisa apps con OAuth conectadas a tu cuenta de Google/Microsoft y revoca las que no reconozcas
☑ Audita reglas de reenvío automático de correo (atacantes suelen crear filtros para exfiltrar mensajes)
☑ Verifica movimientos bancarios y suscripciones recurrentes de los últimos 30 días
☑ Bloquea las tarjetas comprometidas y solicita emisión de nuevas
☑ Comprueba números de teléfono y emails de recuperación en cada servicio
☑ Actualiza preguntas de seguridad si el servicio aún las usa
☑ Cambia contraseñas en cuentas vinculadas donde uses la misma clave
☑ Avisa a contactos cercanos: tu cuenta puede usarse para engañar a otros
☑ Conserva evidencias (capturas, headers, URLs) para denuncia ante Policía Nacional / Guardia Civil
☑ Activa Dark Web Monitoring para detectar reventa posterior de tus credenciales
☑ Considera migrar a passkeys (FIDO2) en las cuentas críticas afectadas

🔍 Ejemplos reales de phishing en 2026

📧 Correos que simulan ser de tu banco solicitando verificación urgente.
📦 SMS de mensajería con "paquete retenido" y enlace de pago falso.
🔒 Alertas de seguridad falsas de Google, Microsoft o Apple.
🎁 Ofertas o premios que requieren introducir datos de tarjeta.
📱 QR en carteles físicos que redirigen a webs fraudulentas (quishing).
🧾 Facturas adjuntas en PDF con enlaces a portales de pago suplantados.
💼 Falsas ofertas de empleo en LinkedIn que piden datos personales para "registro".

🚨 Regla de oro: si dudas, no hagas clic. Accede siempre directamente a la web oficial escribiendo la URL en el navegador, nunca desde un enlace en un correo o SMS.

Para saber si tus datos ya han sido expuestos por un ataque previo, activa las alertas tempranas de exposición de credenciales con Dark Web Monitoring en 2026.

⚖️ Usuario sin protección vs usuario protegido frente al phishing

Característica	Sin protección	Con protección activa
Detección de webs falsas	🔴 Manual, difícil distinguirlas	🟢 SmartScreen y gestor bloquean automáticamente
Contraseñas reutilizadas	🔴 Una clave filtrada compromete todo	🟢 Clave única por cuenta, daño aislado
2FA activo	🔴 Contraseña robada = acceso inmediato	🟢 Sin segundo factor, el atacante no entra
Verificación del remitente	🔴 Solo ve el nombre, no el dominio	🟢 Comprueba el dominio completo siempre
Respuesta si cae	🔴 No sabe qué hacer, daño se extiende	🟢 Pasos claros, daño contenido en minutos
Monitorización de filtraciones	🔴 Se entera meses después	🟢 Alerta inmediata vía Dark Web Monitoring

📚 Glosario rápido de términos del phishing

Término	Definición en una línea
Credential harvesting	Recolección masiva de credenciales mediante formularios falsos
Spoofing	Falsificación del remitente para que parezca legítimo
Typosquatting	Registro de dominios con erratas comunes para captar tráfico
Dominio homógrafo	Dominio con caracteres Unicode visualmente idénticos a uno real
AiTM	Adversary-in-the-Middle, intercepta el token 2FA en tiempo real
SmartScreen	Filtro de Microsoft Edge contra webs y descargas conocidas como maliciosas
FIDO2 / WebAuthn	Estándar de autenticación con llave física resistente al phishing
DMARC, SPF, DKIM	Protocolos de autenticación de correo que dificultan el spoofing
Watering hole	Ataque que infecta una web frecuentada por el público objetivo
Brand impersonation	Suplantación visual de marcas reconocidas para inspirar confianza
Punycode	Codificación que muestra dominios Unicode (xn--) usada en homógrafos
HTML smuggling	Reconstrucción del payload malicioso en el navegador desde un .html benigno
BitB (Browser-in-the-Browser)	Falsa ventana de login dibujada con HTML/CSS dentro de la web maliciosa
PhaaS	Phishing as a Service: kits llave en mano vendidos en la dark web
Evilginx2 / Modlishka	Frameworks proxy reverso usados en ataques AiTM

❓ Preguntas frecuentes sobre phishing

¿Qué es el phishing exactamente?

👉 El phishing es un tipo de fraude online en el que los ciberdelincuentes se hacen pasar por entidades de confianza —bancos, empresas o servicios— mediante correos, SMS o webs falsas para robar contraseñas, datos bancarios o información personal.

¿Cómo sé si un correo es phishing?

👉 Las señales más claras son urgencia extrema, remitente con dominio sospechoso, enlace que no coincide con la URL oficial al pasar el ratón, errores ortográficos y solicitud de datos sensibles que ningún servicio legítimo pediría por email.

¿Qué pasa si hago clic en un enlace de phishing?

👉 Depende. Si solo hiciste clic pero no introdujiste datos, el riesgo es menor, aunque el enlace puede descargar malware o instalar una puerta trasera persistente en el sistema para acceso remoto encubierto. Muchos de estos enlaces son el punto de entrada de troyanos distribuidos por phishing capaces de robar credenciales y abrir canales de acceso remoto. Si introdujiste credenciales, cambia la contraseña inmediatamente y activa el 2FA.

¿El phishing solo llega por email?

👉 No. Existen variantes por SMS (smishing), llamada telefónica (vishing), código QR (quishing) y redes sociales. Los atacantes usan cualquier canal de comunicación.

¿Cómo denunciar un ataque de phishing en España?

👉 Puedes reportarlo al buzón de incidentes de INCIBE, llamar al 017 (gratuito) para orientación personalizada, o denunciarlo ante la Policía Nacional o la Guardia Civil.

¿El 2FA protege contra el phishing?

👉 Sí, en la mayoría de casos. Si el atacante roba tu contraseña pero no tiene acceso al segundo factor, no podrá entrar. Las llaves hardware FIDO2 son las más resistentes, incluyendo ataques AiTM avanzados.

¿Cuánto tarda un ataque de phishing en robar una cuenta?

👉 Entre 30 segundos y 2 minutos. Desde que la víctima introduce sus credenciales en la web falsa, el atacante las recibe en tiempo real y suele automatizar el acceso a la cuenta real.

¿Cuál es la diferencia entre phishing y spam?

👉 El spam es correo no deseado con fines publicitarios y el phishing es correo fraudulento con fines delictivos. El spam busca que compres algo; el phishing busca robarte credenciales o dinero suplantando a una entidad de confianza. Todo phishing es spam, pero no al revés.

¿Qué tipo de phishing es más peligroso en 2026?

👉 El spear phishing es el más peligroso en 2026. A diferencia de las campañas masivas, está personalizado con datos reales de la víctima obtenidos de filtraciones previas o redes sociales, lo que eleva drásticamente su tasa de éxito.

¿El antivirus protege del phishing?

👉 Solo parcialmente. El antivirus bloquea el malware descargado desde enlaces fraudulentos, pero no puede impedir que introduzcas tu contraseña en una web falsa. Por eso la protección real se basa en SmartScreen, gestor de contraseñas y 2FA. Consulta la guía sobre el antivirus moderno con detección heurística: qué hace y qué no hace en 2026.

¿Hacienda, Correos o la DGT envían emails pidiendo datos?

👉 No. Ningún organismo oficial español solicita contraseñas, datos bancarios ni pagos por email o SMS. Las notificaciones reales se hacen por carta certificada, sede electrónica con certificado digital o Cl@ve. Cualquier correo de estos organismos pidiendo un pago urgente es fraudulento.

¿Pueden hackearme solo por abrir un correo?

👉 En 2026 es muy improbable. El riesgo aparece al hacer clic en enlaces, descargar adjuntos o introducir datos en formularios. Mantén Windows y el cliente de correo actualizados para cerrar la mínima ventana de riesgo existente.

¿El phishing puede saltarse el 2FA?

👉 Sí, con técnicas AiTM que capturan también el código SMS. Por eso las llaves hardware FIDO2/WebAuthn son el método 2FA más seguro: están ligadas criptográficamente al dominio real y no funcionan en webs falsas.

¿Son seguras las passkeys frente al phishing?

👉 Sí, son el método más seguro. Las passkeys usan criptografía asimétrica vinculada al dominio exacto del servicio. Si un atacante intenta engañarte desde un dominio falso, la passkey simplemente no funciona porque la comparación de dominio se hace criptográficamente en el dispositivo. Son inmunes a AiTM, credential stuffing y engaños tradicionales. Gmail, Microsoft, Apple, GitHub y Amazon ya las soportan en 2026.

🏁 Conclusión

El phishing es una de las amenazas más comunes en internet, pero también una de las más fáciles de evitar si sabes identificar sus señales. La combinación de precaución ante mensajes urgentes, verificación del remitente, uso de contraseñas únicas y activación del 2FA reduce drásticamente el riesgo de ser víctima de este tipo de fraude. Una pausa de tres segundos antes de actuar puede evitar semanas de daños.

🔒 Ante cualquier mensaje urgente, para, verifica el remitente y accede directamente a la web oficial.
🔒 Activa el 2FA en correo y banca — aunque roben tu contraseña, no podrán entrar.
🔒 Usa un gestor de contraseñas — detecta webs falsas al no autocompletar en dominios distintos al real.
🔒 Si caes en un ataque, llama al banco primero y al INCIBE (017) después — cada minuto cuenta.
🔒 Migra a passkeys (FIDO2/WebAuthn) en las cuentas críticas — son inmunes a los ataques AiTM.
🔒 Comprueba periódicamente tus datos con Dark Web Monitoring — muchos ataques generan filtraciones que se venden días después.

Autor

Entusiasta de la seguridad informática con años de experiencia en protección de sistemas Windows y defensa contra amenazas digitales. Apasionado por la tecnología y la privacidad, comparto en este blog consejos prácticos, análisis detallados y guías paso a paso para que cualquier usuario pueda fortalecer la seguridad de su PC y su vida digital

Deja una respuesta Cancelar la respuesta

👤 ¿Quiénes somos?	⚖️ Aviso Legal	📋 Términos y Condiciones	🔒 Política de Privacidad	🍪 Política de Cookies
Conoce al equipo y la misión de seguridadenmipc.com seguridadenmipc.com/quienes-somos/	Datos del titular, propiedad intelectual y responsabilidad seguridadenmipc.com/aviso-legal/	Reglas de uso, scripts PowerShell y política de AdSense seguridadenmipc.com/terminos-y-condiciones/	Tratamiento de datos, derechos RGPD y Google AdSense seguridadenmipc.com/politica-de-privacidad/	Cookies propias y de terceros, Google Analytics y AdSense seguridadenmipc.com/politica-de-coockies/