El phishing es una técnica de engaño: alguien se hace pasar por una entidad de confianza —tu banco, una empresa de mensajería, una red social, incluso un compañero de trabajo— para que entregues voluntariamente tus datos o hagas clic en un enlace malicioso.
Lo importante es entender que no ataca a la tecnología, sino a las personas. Por eso el mejor antivirus del mundo no sirve de nada si el usuario escribe su contraseña en una página falsa. La defensa, aquí, es el criterio.
Cómo funciona el engaño
Casi todos los intentos de phishing siguen el mismo guion en tres pasos:
- Generar una emoción fuerte. Miedo (“su cuenta será bloqueada”), urgencia (“tiene 24 horas”), curiosidad (“mira esta foto”) o codicia (“ha ganado un premio”).
- Empujar a una acción inmediata. Un enlace, un archivo adjunto, un código que debes reenviar.
- Recolectar. Una página falsa recoge tus credenciales, o el archivo instala software malicioso.
La emoción es la pieza central. Cuando alguien actúa con prisa y con miedo, deja de comprobar detalles. Si un mensaje te genera una reacción intensa, esa reacción es, en sí misma, la primera señal de alarma.
Señales que delatan un mensaje fraudulento
- Urgencia artificial: plazos muy cortos y amenazas de consecuencias graves.
- Remitente sospechoso: el nombre visible parece legítimo, pero la dirección real tiene dominios extraños o pequeñas variaciones (una letra cambiada, un guion de más).
- Saludo genérico: “Estimado cliente” en lugar de tu nombre.
- Errores de redacción o traducciones que suenan raras.
- Enlaces que no coinciden: el texto muestra una dirección y el enlace real apunta a otra.
- Archivos adjuntos inesperados, sobre todo comprimidos o documentos que piden habilitar macros.
- Petición de datos confidenciales: ninguna entidad seria te pedirá tu contraseña o el código de verificación por correo o mensaje.
Las variantes que conviene conocer
| Nombre | Canal | Característica |
|---|---|---|
| Phishing | Correo electrónico | Masivo y genérico |
| Spear phishing | Correo electrónico | Dirigido: usa tu nombre, tu empresa, tu cargo |
| Smishing | SMS o mensajería | Enlaces cortos difíciles de verificar |
| Vishing | Llamada telefónica | Suplantación de un operador o del banco |
| Fraude del CEO | Correo interno | Suplanta a un directivo para pedir una transferencia urgente |
El spear phishing merece atención especial: como incluye datos reales sobre ti —tu puesto, un proyecto en curso, el nombre de tu jefe— resulta mucho más creíble. Buena parte de esa información suele estar disponible públicamente en redes profesionales.
Cómo verificar antes de hacer clic
- Pasa el cursor sobre el enlace (sin pulsar) para ver la dirección real. En el móvil, mantén pulsado para previsualizarla.
- Fíjate en el dominio principal, la parte que va justo antes de la primera barra. Los estafadores incluyen nombres de marcas en subdominios o en rutas largas para confundir.
- No uses el enlace del mensaje. Si crees que puede ser real, entra al sitio escribiendo tú mismo la dirección o desde la aplicación oficial.
- Verifica por otro canal. Si un compañero te pide algo inusual, llámale. Si es tu banco, usa el teléfono que aparece en tu tarjeta, nunca el que viene en el mensaje.
- Desconfía del candado. Que una página use HTTPS solo significa que la conexión está cifrada, no que el sitio sea legítimo.
Un ejemplo desmontado paso a paso
Imagina que recibes este correo: aparentemente lo envía tu empresa de mensajería habitual, el asunto dice que un paquete no ha podido entregarse y que debes pagar una pequeña tasa aduanera en las próximas 24 horas o el envío será devuelto. Incluye el logotipo correcto y un botón grande para pagar.
Analicémoslo con calma:
- La emoción: hay urgencia (24 horas) y una pérdida potencial (perder el paquete). Ese es el gancho.
- El importe pequeño: una cantidad baja reduce las defensas. Nadie investiga demasiado por unos pocos euros — pero el objetivo real no es esa tasa, sino los datos de tu tarjeta.
- El contexto verosímil: mucha gente espera algún paquete casi siempre, así que la coincidencia parece razonable. No lo es: el mensaje se envía a miles de personas y acierta por estadística.
- El enlace: al pasar el cursor por encima, el dominio no pertenece a la empresa de mensajería, aunque su nombre aparezca en algún lugar de la dirección larga.
La comprobación definitiva es sencilla y no cuesta nada: abre la aplicación oficial de la empresa o su web escribiendo tú la dirección, y busca el envío con tu número de seguimiento. Si no hay ninguna incidencia, el correo era falso. Este mismo razonamiento se aplica a los avisos del banco, de Hacienda o de cualquier servicio.
Qué hacer si ya has hecho clic
- Cambia la contraseña de inmediato, y también en cualquier otro servicio donde la reutilices.
- Activa la verificación en dos pasos si aún no la tenías.
- Avisa a tu banco o al departamento de seguridad de tu empresa cuanto antes: la rapidez reduce mucho el daño.
- Revisa los movimientos de tus cuentas y los accesos recientes a tus servicios.
- No te avergüences. Estas campañas están diseñadas por profesionales y engañan a gente muy preparada. Callar por vergüenza es lo que realmente agrava el problema.
Hábitos que reducen el riesgo
- Usar un gestor de contraseñas: además de generar claves únicas, no rellena automáticamente los datos en un dominio falso, lo que funciona como una alerta.
- Activar la verificación en dos pasos en todas las cuentas importantes.
- Mantener el sistema operativo y el navegador actualizados.
- Limitar la información profesional que se publica en abierto.
- Adoptar una regla personal: ningún mensaje urgente merece una respuesta inmediata. Dos minutos de pausa desactivan la mayor parte de los engaños.
Conclusión
El phishing funciona porque explota la prisa, no la ignorancia. Detenerse, mirar el dominio real y verificar por otro canal son tres gestos sencillos que evitan la inmensa mayoría de los incidentes.
Si quieres construir una base más sólida sobre amenazas, contraseñas y protección de datos, merece la pena explorar los cursos gratuitos de seguridad de la información disponibles en Cursa.







