Todos los cursos > Informática ( TI ) > Seguridad de la Información ::

Estafas digitales y señales de alerta en mensajes, llamadas y webs

Capítulo 4

Tiempo estimado de lectura: 10 minutos

+ Ejercicio

Qué son las estafas digitales (y por qué funcionan)

Una estafa digital es un intento de manipularte para que hagas una acción que beneficia al estafador: entregar datos (usuario, contraseña, códigos), instalar software, enviar dinero, comprar “inversiones”, o abrir un enlace/archivo que compromete tu dispositivo. Suelen apoyarse en emociones (miedo, prisa, codicia, vergüenza) y en apariencia de legitimidad (logos, nombres parecidos, números “oficiales”).

En este capítulo verás cómo identificar y frenar: phishing (correo), smishing (SMS/WhatsApp), vishing (llamadas), sorteos falsos, soporte técnico fraudulento y estafas de inversión.

Señales de alerta: el “semáforo” de mensajes, llamadas y webs

Usa estas señales como un checklist rápido. Cuantas más se acumulen, más probable es que sea una estafa.

1) Urgencia y presión

  • “Último aviso”, “en 30 minutos”, “tu cuenta será cerrada hoy”.
  • Te piden actuar ya y no pensar: “no cuelgues”, “no se lo digas a nadie”, “hazlo mientras estoy en línea”.

Ejemplo típico: “Detectamos un acceso sospechoso. Verifica ahora o bloquearemos tu cuenta”.

2) Premios, regalos y “demasiado bueno para ser verdad”

  • Premios por “ser el visitante 1.000.000”.
  • Sorteos donde “ya ganaste” sin participar.
  • Te piden pagar “gastos de envío”, “impuestos” o “validación” para cobrar.

Ejemplo típico: “Ganaste un smartphone. Confirma tus datos y paga 2,99€ de envío”.

Continúa en nuestra aplicación.
  • Escuche el audio con la pantalla apagada.
  • Obtenga un certificado al finalizar.
  • ¡Más de 5000 cursos para que explores!
O continúa leyendo más abajo...
Download App

Descargar la aplicación

3) Amenazas y consecuencias graves

  • “Multa”, “deuda”, “denuncia”, “corte del servicio”.
  • Mensajes que buscan asustarte para que obedezcas.

Ejemplo típico: “Su paquete está retenido. Pague hoy o será destruido”.

4) Enlaces acortados o raros

  • URLs tipo bit.ly, tinyurl o enlaces con cadenas largas y confusas.
  • Dominio que no coincide con la marca: mi-banco-seguro.com en vez del dominio real.

Nota: un enlace acortado no siempre es malicioso, pero en mensajes inesperados es una alerta fuerte.

5) Remitentes extraños o inconsistentes

  • Correos con nombre “oficial” pero dirección rara: soporte@banco-seguridad-help.com.
  • SMS que aparece en un hilo “legítimo” (los estafadores pueden suplantar identificadores).
  • Llamadas desde números que “parecen” de tu país, pero con comportamiento sospechoso.

6) Errores y detalles que no encajan

  • Faltas de ortografía, traducciones raras, tono poco profesional.
  • Te llaman por “Estimado cliente” en vez de tu nombre (aunque a veces sí lo tienen).
  • Te piden datos que una empresa seria no debería pedir por ese canal.

7) Peticiones peligrosas (bandera roja máxima)

  • Compartir códigos de verificación, PIN, claves, o “códigos que te llegan por SMS”.
  • Instalar apps de control remoto (p. ej., “para ayudarte”).
  • Enviar dinero por métodos difíciles de revertir (transferencias urgentes, criptomonedas, tarjetas regalo).

Verificación del contexto: cómo confirmar sin caer en la trampa

La regla práctica es: no verifiques usando el mismo canal o enlace que te llegó. Verifica por un canal que tú elijas.

Guía paso a paso (mensajes y correos)

  1. Detente 10 segundos. Si el mensaje te acelera, es una señal.
  2. No pulses enlaces ni abras adjuntos si no lo esperabas.
  3. Busca el canal oficial por tu cuenta: entra escribiendo la web en el navegador, usa la app oficial, o busca el teléfono en la parte trasera de tu tarjeta/contrato/factura.
  4. Comprueba si existe realmente el “problema”: inicia sesión desde la app o web oficial (tecleada) y revisa notificaciones, movimientos, pedidos o alertas.
  5. Si necesitas contactar, llama tú al número oficial (no al que te envían).
  6. Documenta: captura de pantalla del mensaje, dirección del remitente, número, hora, enlace (sin abrirlo) para reportar.

Guía paso a paso (llamadas: vishing)

  1. No confirmes datos personales (ni “solo para verificar”).
  2. Pide identificación verificable: nombre, departamento, motivo exacto, y un número de caso.
  3. Cuelga y devuelve la llamada usando un número oficial obtenido por tu cuenta.
  4. Desconfía si no te dejan colgar o te dicen que “si cuelgas, pierdes el dinero”.
  5. Si te piden instalar algo o compartir códigos, termina la llamada.

Cómo verificar sorteos y premios

  • Si “ganaste” sin participar, asume estafa hasta demostrar lo contrario.
  • Busca la promoción en la web oficial de la marca (tecleada) y revisa bases legales.
  • Si piden pagos por adelantado o datos bancarios para “cobrar”, es una alerta crítica.

Cómo verificar “soporte técnico”

  • Las empresas serias no suelen llamar “porque detectaron un virus” en tu ordenador sin que lo hayas solicitado.
  • Si aparece un pop-up que dice “llame a este número”, no llames: cierra el navegador o reinicia.
  • Contacta soporte desde la web oficial o desde la app del producto.

Cómo verificar oportunidades de inversión

  • Desconfía de “rentabilidad garantizada”, “sin riesgo”, “plazas limitadas hoy”.
  • Verifica la entidad y el producto en fuentes oficiales de tu país (reguladores/registro), no en testimonios o grupos.
  • Si te presionan para enviar dinero rápido o a cuentas personales, detente.

Análisis de enlaces y dominios: qué mirar antes de abrir

Antes de abrir un enlace, intenta evaluarlo sin interactuar. En ordenador, puedes pasar el cursor por encima para ver la URL; en móvil, mantén pulsado para previsualizar (sin abrir).

Checklist rápido de dominios

  • Dominio real: lo importante es el final (antes de .com, .es, etc.). Ejemplo: en seguridad.banco-ejemplo.com el dominio es banco-ejemplo.com.
  • Subdominios engañosos: banco-ejemplo.seguridad-login.com no es del banco; el dominio real es seguridad-login.com.
  • Variantes y typos: letras cambiadas (micr0soft), guiones extra, dominios largos.
  • Extensiones raras: no es prueba, pero si una marca local usa siempre .es y te llega .top o .xyz, sospecha.
  • HTTPS: el candado no garantiza legitimidad; solo indica conexión cifrada. Úsalo como requisito mínimo, no como prueba.

Señales en la página web (sin introducir datos)

  • Te pide iniciar sesión inmediatamente sin contexto.
  • Diseño “casi igual” pero con detalles raros (tipografías, textos, enlaces que no funcionan).
  • Formularios que piden demasiada información para algo simple.
  • Ventanas emergentes insistentes o descargas automáticas.

Archivos y adjuntos: banderas rojas

  • Adjuntos inesperados con extensiones ejecutables o comprimidos: .exe, .msi, .bat, .zip (especialmente si no lo esperabas).
  • Documentos que piden “habilitar macros” o “habilitar contenido” para ver la información.

Mini-laboratorio: desarmar una URL

URLQué pareceQué es en realidadDecisión
https://banco-ejemplo.com/seguridadBancoDominio coincideVerificar en app/web tecleada
https://banco-ejemplo.com.seguridad-login.netBancoDominio real: seguridad-login.netIgnorar/reportar
https://bit.ly/3XyZabcEnlace cortoDestino ocultoVerificar por canal oficial

Tipos de estafa y cómo se presentan

Phishing (correo)

Correo que imita a una empresa para que pulses un enlace, descargues un archivo o entregues datos.

  • Señales típicas: urgencia, remitente raro, enlace a dominio similar, adjunto inesperado.
  • Acción recomendada: no uses el enlace; entra por tu cuenta a la web/app oficial y revisa si hay avisos reales.

Smishing (SMS/WhatsApp)

Mensaje corto con enlace y excusa: paquete, multa, banco, “verifica tu cuenta”.

  • Señales típicas: enlace acortado, falta de contexto, petición de pago pequeño “para liberar”.
  • Acción recomendada: no pulses; verifica el estado del pedido/multa desde la web oficial tecleada.

Vishing (llamadas)

Llamadas que se hacen pasar por banco, soporte, o “seguridad” para que confirmes datos o autorices operaciones.

  • Señales típicas: no te dejan colgar, te piden códigos, te guían para “cancelar” una operación haciendo otra.
  • Acción recomendada: cuelga y llama tú al número oficial.

Sorteos falsos y suplantación de marcas

Promociones falsas en redes, mensajes directos o anuncios que llevan a formularios de datos o pagos.

  • Señales típicas: “ganaste” sin participar, urgencia, pago para cobrar, enlaces raros.
  • Acción recomendada: verifica bases en la web oficial; si no existe, reporta.

Soporte técnico fraudulento

Te asustan con “virus” o “hackeo” y te piden instalar control remoto o pagar por “limpieza”.

  • Señales típicas: pop-ups con número, llamada no solicitada, insistencia en instalar software.
  • Acción recomendada: cierra la pestaña, reinicia, y contacta soporte por canales oficiales.

Estafas de inversión

Prometen ganancias rápidas (a menudo con criptomonedas, trading, “bots”), con presión para depositar y reinvertir.

  • Señales típicas: rentabilidad garantizada, testimonios “perfectos”, presión por tiempo, grupos de mensajería, “asesor” que pide compartir pantalla o instalar apps.
  • Acción recomendada: verifica regulación/registro, no envíes dinero por presión, y consulta con una fuente independiente.

Ejercicios prácticos: decide abrir, ignorar, reportar o verificar

Instrucciones: lee cada escenario y elige una acción principal: Abrir, Ignorar, Reportar o Verificar. Luego compara con la respuesta sugerida y el porqué.

Escenario 1: “Paquete retenido” (smishing)

Mensaje: “Tu envío está retenido. Paga 1,49€ para reprogramar entrega: https://bit.ly/entrega-24h”.

  • Tu decisión: ________
  • Respuesta sugerida: Ignorar o Reportar (si tu app de mensajes lo permite). Verificar solo entrando tú a la web del transportista (tecleada) o a tu pedido en la tienda.
  • Claves: pago pequeño + enlace acortado + urgencia.

Escenario 2: “Acceso sospechoso” (phishing)

Correo: “Detectamos un inicio de sesión desde otro país. Confirma tu identidad aquí: https://seguridad-cuenta-ejemplo.com”.

  • Tu decisión: ________
  • Respuesta sugerida: Verificar (desde la app o web oficial escrita por ti). Si no hay alerta real, Reportar como phishing en tu correo.
  • Claves: dominio no oficial + urgencia.

Escenario 3: “Soy del banco, no cuelgues” (vishing)

Llamada: “Vemos un cargo fraudulento. Para cancelarlo necesito el código que te llegará por SMS. No cuelgues o se completará el cargo”.

  • Tu decisión: ________
  • Respuesta sugerida: Ignorar (terminar la llamada) y Verificar llamando tú al número oficial del banco. Si compartiste algo, actúa rápido y contacta al banco por canal oficial.
  • Claves: piden código + presión para no colgar.

Escenario 4: “Soporte de Microsoft/Apple” (soporte técnico fraudulento)

Pop-up en el navegador: “Tu equipo está infectado. Llama al 900 XXX XXX para evitar pérdida de datos”.

  • Tu decisión: ________
  • Respuesta sugerida: Ignorar. Cierra la pestaña (o fuerza cierre del navegador) y ejecuta un análisis con herramientas legítimas instaladas. Si necesitas ayuda, Verificar desde la web oficial del fabricante (tecleada) o soporte del sistema.
  • Claves: pop-up alarmista + teléfono no solicitado.

Escenario 5: “Has ganado un cupón” (sorteo falso)

Mensaje directo en redes: “Felicidades, ganaste un cupón de 300€. Responde con tu email y paga 2€ para activarlo”.

  • Tu decisión: ________
  • Respuesta sugerida: Reportar y Ignorar. Si dudas, Verificar buscando la promo en la web oficial de la marca (sin usar el enlace del mensaje).
  • Claves: pago para activar + contacto no solicitado.

Escenario 6: “Inversión con rentabilidad garantizada”

Anuncio: “Gana 5% semanal garantizado con nuestro bot. Plazas limitadas hoy. Escríbenos por WhatsApp”.

  • Tu decisión: ________
  • Respuesta sugerida: Ignorar y, si la plataforma lo permite, Reportar el anuncio. Si te interesa invertir, Verificar con fuentes oficiales y asesoramiento independiente antes de depositar.
  • Claves: “garantizado” + presión + canal informal.

Escenario 7: “Factura adjunta” inesperada

Correo: “Adjuntamos su factura pendiente. Abra el archivo Factura_0216.zip”.

  • Tu decisión: ________
  • Respuesta sugerida: Ignorar y Verificar contactando a la empresa por un canal oficial (o revisando tu área de cliente). Si es claramente suplantación, Reportar.
  • Claves: adjunto comprimido + contexto inexistente.

Plantillas rápidas: qué decir y qué hacer

Si te llaman (vishing): frase para cortar

Gracias. Por seguridad, voy a colgar y llamar yo al número oficial de la empresa.

Si te escriben por SMS/WhatsApp: regla de oro

No pulso enlaces de mensajes inesperados. Verifico entrando yo a la web/app oficial.

Si sospechas de un correo: micro-checklist antes de hacer nada

  • ¿Lo esperaba?
  • ¿El remitente y el dominio coinciden con la empresa real?
  • ¿Me presiona con urgencia/premio/amenaza?
  • ¿Me pide códigos, pagos o instalar algo?

Ahora responde el ejercicio sobre el contenido:

Recibes una llamada que dice ser de tu banco y te pide el código que te llegará por SMS para “cancelar un cargo”, insistiendo en que no cuelgues. ¿Cuál es la acción más segura?

¡Tienes razón! Felicitaciones, ahora pasa a la página siguiente.

¡Tú error! Inténtalo de nuevo.

Pedir códigos por SMS y presionar para no colgar es una bandera roja. La forma segura de confirmar es cortar la llamada y verificar usando un canal oficial elegido por ti, no el que te proporciona quien llama.

Siguiente capítulo

Navegación segura y compras en línea con protección de datos

Arrow Right Icon
Portada de libro electrónico gratuitaSeguridad Digital para la Vida Diaria: Contraseñas, Estafas y Protección de Datos sin Complicaciones
40%

Seguridad Digital para la Vida Diaria: Contraseñas, Estafas y Protección de Datos sin Complicaciones

Nuevo curso

10 páginas
Aprender Seguridad de la Información

AprenderSeguridad de la Información

Descubre cursos en línea gratuitos sobre Seguridad de la Información. Aprende a protegerte de amenazas cibernéticas con lecciones de Ciberseguridad y más, ¡todo gratis!

 Aprender Informática ( TI )

AprenderInformática ( TI )

Accede gratis a cursos desde básica a avanzada en informática, incluyendo Excel, programación, IA, redes, seguridad y más. Certificación gratuita incluida.
Descarga la aplicación para obtener una certificación gratuita y escuchar cursos en segundo plano, incluso con la pantalla apagada.
QR Code - Baixar Cursa - Cursos Online

Descarga nuestra aplicación a través del Código QR o los enlaces a continuación:.

Disponible en Google Play Disponible en App Store