Guía

Phishing por correo: cómo reconocer un email falso (con ejemplos)

Publicado el · Equipo Aprende Ciberseguridad

TL;DR: el phishing es un correo falso que imita a una empresa de confianza (tu banco, Correos, Netflix, Hacienda) para que pulses un enlace y entregues tus claves. Ninguna empresa seria te pide la contraseña por email ni te mete prisa para “verificar” la cuenta. Ante la duda, no pulses nada: entra tú a la web oficial escribiéndola a mano.

Abres el correo y se te encoge el estómago: «Su cuenta ha sido bloqueada. Verifique sus datos en las próximas 24 horas o será suspendida». Lleva el logo de tu banco, el color corporativo y hasta tu nombre. Parece de verdad.

Casi nunca lo es. Eso es phishing (correos o webs falsas que imitan a una empresa para robarte datos), la estafa más común en internet. Y no cuela porque seas un descuidado: cuela porque está diseñada por profesionales para engañar a cualquiera. Vamos a ver cómo cazarla en menos de un minuto.

Qué es el phishing y por qué funciona

El phishing es un mensaje que se hace pasar por alguien en quien confías. El gancho casi siempre es el mismo: una emoción fuerte y prisa.

  • Miedo: «han entrado en tu cuenta», «tienes una multa».
  • Codicia: «te ha tocado un premio», «devolución de Hacienda pendiente».
  • Curiosidad o urgencia: «tu paquete está retenido», «confirma tu pedido».

Cuando sientes miedo o prisa, tu cerebro deja de pensar despacio y actúa. El estafador lo sabe. Por eso el objetivo número uno cuando recibes un correo así es frenar: ningún problema real se resuelve en 30 segundos pulsando un enlace.

Las 7 señales de alerta de un correo falso

No necesitas ser informático. Necesitas un par de hábitos. Repasa estas señales:

  1. Te mete prisa o te amenaza. «Tu cuenta será cancelada hoy», «último aviso». La urgencia es la herramienta favorita del estafador.
  2. Te pide datos confidenciales. Contraseñas, PIN, número completo de la tarjeta o un código que te llega por SMS. Ninguna empresa legítima te los pide por correo.
  3. El remitente no cuadra. El nombre puede poner «Banco Santander», pero si miras la dirección real ves algo como [email protected]. Una letra cambiada delata el engaño.
  4. El enlace no lleva a donde dice. Pasa el ratón por encima (sin pulsar) y mira abajo la dirección real. En el móvil, mantén el dedo pulsado para previsualizarla. Si no es la web oficial, fuera.
  5. Saludo genérico. «Estimado cliente», «Hola usuario». Tu banco suele saber tu nombre.
  6. Faltas de ortografía o frases raras. Traducciones automáticas torpes, tildes que faltan, un tono que no encaja.
  7. Adjuntos que no esperabas. Una «factura» en .zip o un Word que pide «activar macros» es casi siempre un virus.

Con que se cumplan una o dos, ya tienes motivo de sobra para desconfiar.

Un ejemplo real, desmontado

Imagina este correo:

De: Netflix [email protected] Asunto: ⚠️ Problema con tu pago — Acción requerida «Estimado cliente, no hemos podido procesar tu último pago. Tu cuenta se suspenderá en 24h. Actualiza tu método de pago aquí: [Reactivar cuenta]»

Cuatro banderas rojas en tres líneas:

  • «Netflix» mal escrito y un dominio raro (netflix-pagos.com, que no es netflix.com).
  • «Estimado cliente»: no usa tu nombre.
  • Amenaza con prisa: «24 horas».
  • El botón lleva a una web falsa que copia el diseño de Netflix para robarte la tarjeta.

¿La forma correcta de comprobarlo? No pulses el botón. Abre tú la app de Netflix o escribe netflix.com a mano. Si hubiera un problema de pago real, lo verías ahí dentro.

La regla de oro: entra tú, no por el enlace

Quédate con esto y te ahorrarás la mayoría de los sustos: cuando un correo te pida actuar en tu banco, tu correo o cualquier cuenta, no uses su enlace. Entra tú por tu cuenta —abriendo la app oficial o escribiendo la dirección a mano— y comprueba si de verdad hay algo pendiente.

Es el mismo consejo que damos para el smishing, las estafas por SMS: el canal cambia, el truco es idéntico.

Qué hacer si ya has pulsado o dado tus datos

Respira. Que hayas picado no te convierte en un descuidado; estos engaños están hechos para colar. Lo que importa ahora es actuar rápido:

  • Si solo pulsaste el enlace y no escribiste nada, cierra la página. El riesgo es bajo, pero vigila la cuenta unos días.
  • Si metiste la contraseña, cámbiala de inmediato en la web oficial. Y cámbiala también en cualquier otro sitio donde uses esa misma clave.
  • Si diste datos de la tarjeta o claves del banco, llama ya a tu banco para bloquear la tarjeta y la cuenta.
  • Activa la verificación en dos pasos donde puedas: aunque tengan tu contraseña, sin el segundo código no entran.
  • Guarda capturas del correo antes de borrarlo. Sirven para reclamar y denunciar.

Tienes la secuencia completa, ordenada por minutos, en He caído en una estafa: qué hacer paso a paso.

Cómo blindarte para la próxima

Tres hábitos reducen muchísimo el riesgo:

  • Una contraseña distinta por sitio, guardada en un gestor de contraseñas. Si cae una, no caen todas.
  • Verificación en dos pasos en el correo, el banco y las redes. Es el candado que más roba el sueño a los estafadores.
  • Desconfía por defecto de todo mensaje que mezcle prisa con un enlace. No es paranoia: es criterio.

Preguntas frecuentes

¿Mi banco me llamará o escribirá alguna vez? Sí, pero nunca para pedirte claves, PIN o códigos, ni para que muevas el dinero a una «cuenta segura». Si alguien te pide eso, es una estafa, por muy oficial que suene.

He pulsado el enlace pero no he escrito nada. ¿Tengo un virus? En la mayoría de casos, no. El peligro real aparece cuando introduces datos o descargas un adjunto. Aun así, mantén el móvil y el ordenador actualizados y, si quieres, pasa el antivirus que ya traes en Windows.

¿Cómo denuncio un correo de phishing? Reenvíalo a tu banco o empresa suplantada (suelen tener una dirección tipo phishing@…), bórralo y, si has sufrido un perjuicio, denúncialo ante la Policía o la Guardia Civil. Para orientarte, llama gratis al 017 de INCIBE.

¿Tienes dudas o crees que has caído? Echa un vistazo a nuestra página de ayuda: te decimos a quién acudir y cómo.