Cada día se envían millones de correos, mensajes y SMS diseñados para robarte contraseñas, datos bancarios o acceso a tus cuentas. Se llama phishing y es el ciberataque más común del mundo. La buena noticia: con un poco de conocimiento es fácil evitarlo.

¿Qué es exactamente el phishing?

Email de alerta de phishing

El phishing es cuando alguien se hace pasar por una empresa o persona de confianza para engañarte y que entregues información sensible voluntariamente.

El atacante no necesita hackear nada. Solo necesita que tú hagas clic y escribas tus datos.

Ejemplos típicos:

  • Un email de “tu banco” diciendo que tu cuenta fue bloqueada
  • Un SMS de “Correos” pidiendo que pagues 1€ para liberar un paquete
  • Un mensaje de WhatsApp de un “amigo” pidiendo que le pases un código
  • Una notificación de “Netflix” diciendo que tu pago falló

Cómo reconocer un intento de phishing

1. El remitente no es el esperado

Un email de tu banco viene de soporte@bbva.es, no de bbva-soporte@gmail.com ni de seguridad@bbva-alertas.com. Mira siempre el dominio completo del remitente.

2. Urgencia artificial

“Tu cuenta será suspendida en 24 horas”, “Acción requerida inmediatamente”, “Último aviso”. Los estafadores crean urgencia para que actúes sin pensar.

Antes de hacer clic en cualquier enlace, pasa el cursor por encima sin hacer clic. Verás la URL real en la barra inferior del navegador. Si dice bbva-seguridad.net en vez de bbva.es, es phishing.

4. Errores de ortografía y formato raro

Los correos legítimos de empresas grandes no tienen faltas de ortografía, imágenes pixeladas ni formatos extraños.

5. Te piden información que ya deberían tener

Tu banco nunca te pedirá tu contraseña completa por email. Nunca.

Los tipos de phishing más comunes en 2026

Smishing (por SMS): “Tu paquete está retenido, paga 1,99€ aquí: bit.ly/xxx”

Vishing (por teléfono): alguien llama diciendo ser de Microsoft, Apple o tu banco para “ayudarte con un problema técnico”.

Spear phishing: ataques dirigidos a una persona específica con información personalizada. Más difícil de detectar.

QR phishing: códigos QR falsos en lugares públicos que llevan a páginas maliciosas.

Qué hacer si recibes un mensaje sospechoso

  1. No hagas clic en ningún enlace del mensaje
  2. No descargues archivos adjuntos
  3. Si es de tu banco, llama directamente al número oficial (el del reverso de tu tarjeta)
  4. Reporta el mensaje como spam o phishing en tu cliente de email
  5. Si es un SMS, reenvíalo al 7726 (número anti-spam de los operadores)

Qué hacer si ya caíste en uno

Actúa rápido, cada minuto cuenta:

  1. Cambia la contraseña de la cuenta afectada inmediatamente
  2. Activa el 2FA si no lo tenías
  3. Llama a tu banco si diste datos bancarios — pueden bloquear transacciones
  4. Revisa movimientos de tus cuentas en los próximos días
  5. Si diste acceso a tu PC, considera hacer un escaneo con Malwarebytes

Reglas de oro para no caer nunca

  • Nunca hagas clic en links de emails urgentes — ve directamente a la web escribiendo la URL
  • Activa el 2FA en todas tus cuentas importantes
  • Desconfía siempre de mensajes no solicitados, aunque parezcan legítimos
  • Verifica llamadas: ninguna empresa legítima te pedirá contraseñas por teléfono

El phishing funciona porque explota la urgencia y la confianza, no la tecnología. Con calma y estos criterios, nunca caerás en uno.