¿Qué es el phishing y cómo protegerte?

El phishing es uno de los ciberataques más antiguos y eficaces — y se vuelve cada vez más sofisticado. Funciona engañándole para que revele sus credenciales de inicio de sesión, información personal o datos financieros a través de mensajes falsos que parecen legítimos.

Desde correos falsos que se hacen pasar por su banco hasta mensajes SMS que afirman que su paquete está retenido — el phishing se presenta en muchas formas. Reconocerlo es su mejor defensa contra las tomas de control de cuentas y el robo de datos.

¿Qué es el phishing?

El phishing es un tipo de ataque de ingeniería social en el que un delincuente se hace pasar por una entidad de confianza — como un banco, una plataforma de redes sociales o una institución gubernamental — para engañarle y que revele información sensible.

El término "phishing" deriva del inglés "fishing" (pesca) — el atacante lanza un anzuelo (un mensaje falso) y espera a que alguien muerda. A diferencia del hacking técnico, el phishing no explota vulnerabilidades de software. Explota la confianza humana y el sentido de urgencia.

Un ataque de phishing típico funciona así:

  • Recibe un mensaje que parece oficial (correo, SMS o mensaje directo)
  • El mensaje crea urgencia: "Su cuenta será suspendida", "Inicio de sesión sospechoso detectado", "Confirme su identidad ahora"
  • Hace clic en un enlace que lleva a una página de inicio de sesión falsa idéntica a la real
  • Introduce sus credenciales — que van directamente al atacante

El phishing es la causa más común de vulneración de cuentas en plataformas como Facebook, proveedores de correo electrónico y servicios bancarios.

Métodos comunes de phishing

El phishing ha evolucionado mucho más allá de los correos fraudulentos obvios. Estas son las formas más frecuentes que encontrará:

Phishing por correo electrónico

  • La forma clásica — correos falsos que se hacen pasar por bancos, plataformas o servicios
  • Suelen contener lenguaje urgente y un enlace a una página de inicio de sesión falsa
  • La dirección del remitente es similar a la real, pero con sutiles diferencias

Phishing por SMS (smishing)

  • Mensajes de texto que fingen ser de empresas de paquetería, bancos o instituciones
  • Suelen contener URLs acortadas que ocultan el verdadero destino
  • Cada vez más frecuente y más difícil de filtrar que el correo

Phishing en redes sociales

  • Mensajes directos de cuentas de amigos hackeadas pidiéndole que "vea esto" o "vote por mí"
  • Avisos falsos de derechos de autor o verificación en Instagram y Facebook
  • Estafas en comentarios con enlaces a sorteos o páginas de inicio de sesión falsas

Phishing por voz (vishing)

  • Llamadas telefónicas que fingen ser de soporte técnico, su banco o fuerzas del orden
  • La persona que llama crea urgencia y le pide que revele datos de cuenta o instale software

El denominador común: todas las formas de phishing explotan la confianza y crean un falso sentido de urgencia para que actúe antes de pensar.

Cómo reconocer un mensaje o página de phishing

Reconocer el phishing se vuelve más fácil cuando sabe qué buscar. Estas son las señales de advertencia más fiables:

  • Urgencia y amenazas — "Actúe ahora o su cuenta será eliminada." Los servicios legítimos raramente amenazan con consecuencias inmediatas en un solo mensaje.
  • Dirección del remitente sospechosa — mírela con atención. "support@faceb00k-security.com" no es Facebook. Verifique el dominio real del correo, no solo el nombre que aparece.
  • Saludo genérico — "Estimado usuario" o "Estimado cliente" en lugar de su nombre real puede indicar una campaña de phishing masiva.
  • URLs no coincidentes — pase el cursor sobre los enlaces (sin hacer clic) para ver el destino real. Si el texto del enlace dice "instagram.com" pero la URL lleva a otro lugar, es phishing.
  • Mala gramática o formato — aunque el phishing se ha vuelto más profesional, muchos intentos todavía contienen errores ortográficos, formato extraño o branding inconsistente.
  • Archivos adjuntos inesperados — las plataformas legítimas casi nunca envían archivos adjuntos. Si recibe uno inesperadamente, no lo abra.
  • Solicitudes de credenciales por mensaje — ningún servicio legítimo le pedirá su contraseña, PIN o código de verificación por correo o chat.

Si no está seguro, no haga clic en el enlace. En cambio, abra una nueva ventana del navegador y vaya directamente al sitio web del servicio escribiendo la dirección usted mismo.

Qué hacer si hizo clic en un enlace de phishing

Si se da cuenta de que hizo clic en un enlace de phishing o introdujo sus credenciales en una página falsa, no entre en pánico — pero actúe de inmediato:

  • Cambie su contraseña de inmediato — vaya directamente al sitio web real (escriba la URL usted mismo) y cambie su contraseña por una completamente nueva.
  • Active el doble factor de inmediato — si aún no lo tiene, active la autenticación en dos pasos en la cuenta afectada y en su correo.
  • Compruebe el acceso no autorizado — revise las sesiones activas y la actividad reciente. Cierre la sesión en todos los dispositivos que no reconozca.
  • Proteja su correo — si introdujo sus credenciales de correo en una página de phishing, su cuenta de correo es ahora la prioridad. Un correo comprometido da a los atacantes acceso a todo.
  • Revise las reglas de reenvío — los atacantes a menudo configuran reenvíos de correo para recibir copias silenciosas de sus mensajes.
  • Monitoree sus cuentas — en los próximos días y semanas, esté atento a actividad sospechosa, también en cuentas que usen la misma contraseña.
  • Reporte la página de phishing — la mayoría de los navegadores y proveedores de correo ofrecen opciones para reportar phishing. Esto ayuda a proteger a otros.

Si introdujo datos financieros, contacte a su banco de inmediato para congelar o monitorear las tarjetas o cuentas afectadas.

Cómo protegerse del phishing

La mejor protección contra el phishing es una combinación de concienciación y prácticas básicas de seguridad:

  • Active el doble factor en todas las cuentas importantes — aunque un atacante obtenga su contraseña mediante phishing, la autenticación en dos pasos bloquea su acceso.
  • Use contraseñas únicas — nunca reutilice contraseñas en distintos servicios. Un gestor de contraseñas lo hace viable.
  • Verifique antes de hacer clic — si recibe un mensaje sobre problemas con una cuenta, vaya directamente al sitio web en lugar de hacer clic en el enlace del mensaje.
  • Mantenga el software actualizado — los navegadores y clientes de correo actualizan regularmente su detección de phishing. Manténgalos al día.
  • Sea escéptico ante la urgencia — las empresas legítimas le dan tiempo para actuar. Si un mensaje exige acción inmediata, es una señal de alerta.
  • Infórmese e informe a los demás — cuanto más familiarizado esté con las tácticas de phishing, más fácil le resultará reconocerlas. Comparta este conocimiento con familiares y amigos.

¿Teme que su cuenta haya sido comprometida por phishing?

Si introdujo credenciales en una página de phishing y ha perdido el acceso a su cuenta, RelyShield puede ayudarle con la recuperación y la protección integral.

Obtener ayuda Consulta

Preguntas frecuentes

¿Cuál es la diferencia entre el phishing por correo y el phishing por SMS?
El método es diferente, pero el objetivo es el mismo. El phishing por correo usa mensajes de correo falsos, mientras que el phishing por SMS (smishing) usa mensajes de texto. Ambos intentan llevarle a hacer clic en un enlace dañino o revelar información sensible. El phishing por SMS es más difícil de filtrar y a menudo se siente más personal.
¿Protege el antivirus contra el phishing?
Parcialmente. Un buen antivirus y las funciones de seguridad del navegador pueden marcar páginas de phishing conocidas, pero no pueden detectar todas las nuevas. El phishing en última instancia explota el juicio humano, por lo que la concienciación junto con las herramientas técnicas es su mejor defensa.
¿Qué hacer si introduje mi contraseña en una página de phishing?
Cambie su contraseña inmediatamente en el sitio real, active la autenticación en dos pasos, revise la actividad no autorizada y proteja su correo si usó las mismas credenciales allí. Si introdujo datos financieros, contacte a su banco de inmediato.
¿Puedo reportar una página de phishing?
Sí. Puede reportar páginas de phishing en Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish), a su proveedor de correo y a la empresa que está siendo suplantada. La mayoría de los navegadores también tienen una opción integrada de "Reportar phishing" o "Reportar sitio engañoso" en el menú.