Qué es y cómo evitar el phishing en Internet

En 2025 aún tenemos que seguir hablando de una de las amenazas más antiguas y comunes en Internet: el phishing.

Según el balance anual de actividad en ciberseguridad de INCIBE correspondiente a 2024, el 55% de los fraudes online corresponden a casos de phishing. Y según este mismo informe, un 33% de los usuarios recibieron algún intento de phishing, vishing o smishing.

¿Sabes lo peor? Lejos de desaparecer, con el auge de la IA (Inteligencia Artificial) y nuevos mecanismos de suplantación de identidad como, por ejemplo, smishing (a través de SMS), vishing (por llamadas telefónicas) o quishing (mediante códigos QR), este tipo de estafas son cada vez más sofisticadas y la posibilidad de caer en ellas es cada vez mayor.

¡Pero que no cunda el pánico! El hecho de que este tipo de ciberestafas estén muy bien diseñadas no significa que tú no puedas identificarlas y protegerte de ellas.

Pero, ¿cómo lo hago? Pues fácil, quédate en esta guía y te explico detalladamente qué es el phishing, las modalidades de este tipo de ataque y cómo identificarlas para protegerte en Internet.

¿Empezamos?

¿Qué es phishing?

El phishing es una técnica de ingeniería social utilizada por ciberdelincuentes que tiene como objetivo obtener información personal, confidencial y bancaria de forma fraudulenta.

Por norma general, los ataques de phishing utilizan la suplantación de identidad, en los que el atacante se hace pasar por una empresa confiable con la intención de que el receptor ofrezca la información que buscan.

Hasta hace unos años, esta suplantación de identidad se realizaba por correo electrónico. ¿Nunca recibiste un email de una entidad financiera que te pedía que pulsaras el enlace para cambiar tu contraseña? ¿O te contactaron avisando de un cargo en tu cuenta bancaria y te piden que accedas para revisarlo?

Ahora, aunque se siguen realizando ataques a través de correo electrónico, estas técnicas de suplantación de identidad se han diversificado:

• Smishing: por SMS o mensajes de texto.
• Vishing: mediante llamadas telefónicas.
• Quishing: mediante códigos QR.

¡Y no son las únicas! Más abajo veremos las nuevas variantes de phishing y cómo lo hacen para engañarnos.

Origen del término phishing

Para que te hagas una idea, el término phishing es un juego de palabras que proviene del inglés y significa «pescar». Es decir, los ciberdelincuentes mediante un anzuelo, que puede ser un correo electrónico o un SMS, intentan que una víctima caiga en él y facilite información confidencial y sensible.

¿Cómo funciona un ataque de phishing?

La mayoría de ataques de phishing siguen un patrón bastante similar en cuanto a su funcionamiento. Aunque el mensaje y la personalización del mismo varía en función del ataque que realizan, el procedimiento suele seguir esta secuencia:

1. Recopilación de la información de usuarios

Tanto si se trata de un ataque dirigido, es decir, a una persona o grupo concreto, como si es de forma masiva, los ciberdelincuentes se encargan de recopilar toda la información de estos sujetos para hacerles llegar su mensaje.

En este último caso, normalmente se hacen con listas de correo electrónico o números de teléfono obtenidos de forma ilegal.

2. Preparación y personalización del mensaje

Los ciberdelincuentes deciden a quién suplantan la identidad y elaboran un mensaje para ello. Por ejemplo, en las campañas de phishing por email suelen utilizar elementos visuales de la marca o compañía (logo, colores, tipografías…) y algún “gancho” para engañar a la víctima: mensajes de urgencia, URL fraudulentas…

3. Envío

En función del tipo de phishing del que se trate, el mensaje se difunde a través de email, SMS, llamadas telefónicas, códigos QR o incluso a través del navegador web.

4. Recopilación de datos robados

De todas las comunicaciones que se envían en un ataque, si es masivo, se recopila toda la información que el usuario facilita: datos personales, de pago, credenciales, etc. Esta información puede ser utilizada en el momento o vendida a otros ciberdelincuentes.

Tipos de phishing

Aunque el objetivo siempre es el mismo, sustraer información confidencial de la víctima o instalar algún software malicioso, la forma de llevar a cabo el ataque es diferente.

Por eso hablamos de diferentes tipos de phishing, que conviene conocer para saber cómo operan los atacantes y las señales de alerta que te ayudarán a mejorar tu seguridad.

Veamos cuáles son.

Phishing masivo por email

Quizá sea el primero que nos viene a la mente cuando hablamos de phishing. También es conocido como phishing tradicional.

En este tipo de phishing, el ciberdelincuente suplanta la identidad de una empresa reconocida, como un banco, una empresa de transporte, o una institución pública. Al ser marcas altamente reconocidas, es probable que una gran parte de los receptores del email fraudulento sean usuarios de las mismas, lo abran y, algunos, piquen el anzuelo.

Estos correos electrónicos están muy logrados. Es decir, utilizan todos los elementos de la marca: logo, tipografía, paleta de colores… Y, por supuesto, falsifican las direcciones de correo electrónico para que el email parezca del dominio real.

En cuanto al contenido de estos emails, suelen crear bastante urgencia o plantean un problema para que el usuario lo abra. Por ejemplo:

• Hubo un problema con tu pedido.
• Cargo no autorizado en tu cuenta bancaria.
• Actualiza tus claves de acceso o suspenderemos tu cuenta

También es bastante habitual recibir correos con un CTA de tipo «Reclama tu premio» en el que te indican que has ganado un sorteo y que puedes reclamar tu premio.

¿La finalidad? Que el usuario, mediante un enlace fraudulento, ceda sus datos. Pueden ser datos confidenciales, contraseñas o datos bancarios (claves de la banca online o el número de la tarjeta o de tu cuenta).

¡Ojo! Es fácil pensar yo nunca caeré en la trampa, pero la alta personalización de los mensajes y cuándo ejecutan estas campañas, parecen totalmente reales.

Un ejemplo de ello son los correos electrónicos de phishing relacionados con un supuesto pedido de Amazon en fechas clave de esta marca, como «Las ofertas de primavera» o «Los Prime Days», o «El Black Friday» de MediaMarkt.

Este tipo de emails suelen manifestar algún problema con el pedido y en muchos casos te piden que abones una pequeña tasa, por ejemplo, dos euros en concepto de aduanas o gastos de transporte. Obviamente, no todos los usuarios que recibieron el email compraron esos días en dichas tienda, pero… ¿Y si lo recibió alguien que sí hizo un pedido esos días?

Phishing dirigido

Justo el caso opuesto al que acabamos de ver.

Mientras que el phishing masivo o tradicional se lanza a miles de usuarios sin realizar ninguna distinción, este tipo de phishing tiene a la víctima más estudiada. No tiene que ser una persona en concreto, sino que en ocasiones lo hacen a una empresa o a una organización.

Dentro de este grupo, los ataques más comunes son el spear phishing, el whaling y el clone phishing.

Spear phishing

En el spear phishing, los ataques se dirigen a un usuario específico o a un grupo u organización con acceso a datos confidenciales que pueden ser beneficiosos para el ciberdelincuente.

El objetivo en este tipo de phishing puede ser la obtención de datos sensibles, información confidencial, credenciales de acceso o incluso la infección de los dispositivos mediante malware.

Para realizar el ataque y que sea efectivo, el atacante estudia bien a su víctima y se hace pasar por una persona de su confianza como, por ejemplo, alguien de su trabajo. Para ello, utiliza diversos canales como el email, los mensajes de texto, llamadas telefónicas o incluso aplicaciones como WhatsApp.

Este tipo de phishing es mucho más costoso que el phishing tradicional (masivo) debido a la investigación y la personalización que conlleva. Y precisamente esta personalización hace que los ataques de spear phishing sean tan peligrosos y a su vez tan efectivos.

Whaling

Whaling significa «caza de ballenas», así que estaríamos hablando de un tipo de phishing que tiene como objetivo presas de alto valor.

En otras palabras, un ataque de whaling tiene como objetivo personas con altos cargos en una organización (CEOs, CFOs…). Normalmente, estas personas tienen acceso a información de gran valor para los atacantes, y lo que aún es mejor para ellos, la capacidad de realizar transferencias de fondos.

De manera muy similar al spear fishing, el ciberdelincuente realiza una investigación muy detallada de su víctima para preparar un cebo muy personalizado. Esta investigación puede realizarse en redes sociales profesionales como LinkedIn o incluso con el hackeo de cuentas de correo electrónico.

Una vez tenga toda la información necesaria, suplantan la identidad de alguien que trabaja en la organización, proveedores, inversores, etc. para que le hagan una transferencia o que abran un archivo adjunto que tiene código malicioso. A simple vista puede parecer difícil caer en la trampa, pero con el uso de la IA y los deepfakes (videos, imágenes o audios generados con inteligencia artificial) las probabilidades de éxito aumentan.

Ojo, este tipo de phishing no siempre se realiza por correo electrónico. Cada vez es más común hacerlo vía telefónica o incluso tomando el control remoto del equipo con el que trabajan.

Aunque es muy frecuente leer sobre casos de whaling en organizaciones, hay algunos ataques que se hicieron muy famosos por el impacto económico que tuvieron. Por ejemplo, en 2016 la empresa de juguetes Mattel estuvo a punto de perder 3 millones de euros. Un directivo recibió un correo electrónico suplantando la identidad del nuevo CEO solicitando una transferencia urgente a una cuenta bancaria. Y digo que casi pierde porque la transferencia se canceló a tiempo, ya que ese día era festivo en China, país de la cuenta bancaria de destino. O sea, ¡por los pelos!

Y esto no es un caso aislado. Según el Informe de Ciberpreparación de Hiscox 2024, el 96% de las empresas españolas han sido objeto de ciberataques.

Clone phishing

Clone phishing consiste en clonar un correo totalmente legítimo que ya recibió el usuario. Este email simula venir del remitente original, incluyendo enlaces o archivos adjuntos con malware para que la víctima los descargue en su equipo. También es común que envíen facturas para que realices el pago.

Este tipo de ataque es bastante peligroso, ya que el usuario confía en el remitente y piensa que es parte de una conversación anterior o un email habitual.

Imagina que cualquier día en el trabajo recibes un email de tu proveedor habitual y te adjunta una factura con los datos de pago de la misma. Si no lo verificas, que es probable, puedes acabar transfiriendo el dinero directamente a una cuenta de un ciberdelincuente.

Y sí, esto supone una pérdida económica para ti, pero también estarías poniendo en peligro a tu empresa si ese adjunto contenía código malicioso.

Phishing por canal

Hace años, el phishing se hacía mayoritariamente a través de correo electrónico, pero la cosa ha cambiado bastante. Tanto es así, que en función del canal por el que se difunden estas estafas, hablamos de vishing, smishing, quishing, evil twin, pharming, phishing en redes sociales… ¡Y seguro que pronto aparecerán más!

A continuación vemos cada uno de ellos en detalle.

Vishing

El término vishing viene de «voice» y «phishing».

Este tipo de ataque se realiza mediante llamadas telefónicas suplantando la identidad de una empresa reconocida, organización o persona de confianza. Es común que los ciberdelincuentes se hagan pasar por tu entidad bancaria o tu compañía energética.

En estas llamadas se utilizan técnicas de ingeniería social que provocan una sensación de miedo y urgencia en la víctima, consiguiendo en algunos casos que esta actúe impulsivamente sin detectar que, en realidad, se trata de una llamada falsa. A ver si alguno de estos ejemplos te suenan:

• Llama un agente del banco indicándote que hay un cargo sospechoso en tu cuenta bancaria y que, para revisarlo y cancelarlo, es necesario que le facilites los datos de tu tarjeta de crédito y el número PIN.
• Recibes una llamada de tu compañía telefónica y te piden algunos datos para verificar tu línea y que no te la suspendan.
• Una persona de tu compañía energética te llama para indicarte que hay un consumo inusual en tu cuenta y para revisarlo necesitan tu número de contrato y la cuenta bancaria.
• Alguien se hace pasar por un familiar tuyo diciéndote que está en apuros y necesita una transferencia o Bizum de forma urgente.

Hay que decir que este tipo de phishing está en auge. Además, como las llamadas de vishing provienen de números reales y no de un «Número desconocido» es importante mantener la calma y desconfiar cuando te piden datos sensibles. Las empresas reales nunca utilizan esos métodos, así que mejor no des información que pueda ser comprometida.

Smishing

Ahora toca hablar de la suplantación de identidad por mensaje de texto.

El smishing es un tipo de phishing que consiste en distribuir mensajes fraudulentos a través de SMS.

La mecánica es muy similar al phishing tradicional; el atacante se hace pasar por una empresa reconocida o una entidad pública, con el fin de obtener información o datos bancarios. Lo único que cambia es el medio de distribución.

Los mensajes de smishing suelen reunir características bastante similares entre ellos, son breves y directos, generan urgencia y preocupación e incluyen enlaces a páginas externas.

¿Alguna vez te ha llegado un SMS de este tipo? Si es así, es un ataque de smishing:

• Tienes un paquete retenido en aduanas y necesitas pagar una pequeña cantidad de dinero para liberarlo, incluyendo un enlace a una pasarela de pagos.
• Se ha detectado actividad sospechosa en tu cuenta bancaria y te envían un enlace para que lo revises y, de paso, que introduzcas tus credenciales de acceso a la banca online.

Quishing

A medida que avanza la tecnología, también lo hacen las formas de atacar en la red. Un claro ejemplo es el quishing.

El quishing, o lo que es lo mismo phishing de códigos QR, es un tipo de ataque en el que los ciberdelincuentes intentan engañar a los usuarios mediante QR maliciosos para dirigirlos a páginas fraudulentas o que descarguen malware.

¿Y cómo lo hacen? Algunas de las formas más habituales de realizar este ataque es sustituyendo códigos QR legítimos por códigos falsos, por ejemplo, en la carta de un bar o en un flyer publicitario. Normalmente, estos QR falsos descargan malware automáticamente en tu dispositivo o te llevan a una web fraudulenta.

También es habitual ver en redes sociales códigos QR para sorteos en los que te piden registrarte o reclamar tu premio, cuando realmente lo único que quieren son tus datos.

Evil Twin

Por último y no menos importante, tenemos al malvado gemelo, comúnmente conocido como evil twin.

Este tipo de ataque de phishing consiste en suplantar la identidad de una red wifi legítima para que los usuarios se conecten a ella. Normalmente, son redes públicas (organismos, institutos…) o de una empresa.

¿El objetivo de evil twin? Una vez que el usuario se conecta a una red fraudulenta, los atacantes son capaces de:

• Interceptar o manipular el tráfico. En este caso se realizan ataques man-in-the-middle para espiar el tráfico para robar información confidencial, como datos personales, claves de acceso o información bancaria.
• Inyectar código malicioso. El ciberdelincuente inserta scripts o enlaces maliciosos que descargan malware en el dispositivo del visitante.
• Suplantación de páginas web. Redirige al usuario a páginas web que parecen legítimas con el objetivo de interceptar la información que se comparte entre el navegador y la web (inicios de sesión, datos bancarios…).

Pharming

El término pharming viene de la fusión entre phishing y farming y hace referencia a cultivar a las víctimas.

Dicho en otras palabras, mediante el pharming no se envía al usuario a sitios fraudulentos directamente, sino que son redirigidos sin su conocimiento desde webs reales y legítimas a páginas maliciosas.

¿El objetivo? Casi siempre el mismo: robo de credenciales (bancarias, de la Seguridad Social, etc.) o recopilar datos personales y de pago.

Ahora la pregunta del millón, ¿cómo son capaces los atacantes de llevar a los usuarios a webs fraudulentas? Pues aunque hay muchos métodos, lo habitual es que utilicen algunos de estos mecanismos:

• Modificación del archivo hosts del equipo. Para «cultivar» a la víctima, el atacante primero suele enviarle un correo electrónico con código malicioso. De esta forma, instalando un virus o un troyano en el equipo, puede modificar el fichero hosts redirigiendo a los usuarios a webs falsas sin que ellos se enteren.
• Envenenamiento de la caché DNS. En este caso el ataque no se produce en tu equipo, sino en el servidor DNS. Por si te suena a chino, el servidor DNS es el encargado de traducir nombres de dominio en direcciones IP. Por tanto, si se ataca este servidor, puede redirigir los nombres de dominio a las webs que quieran. Por supuesto, estas webs son totalmente fraudulentas.
• Inyección de malware en páginas web. Otra técnica también usada en el pharming es inyectar código malicioso en webs legítimas. Cuando un usuario accede a esa web infectada (hackeada), el código malicioso se ejecuta en segundo plano y puede redirigirlo a una página falsa, sin que este llegue a sospechar nada.

Phishing en redes sociales

Otra forma bastante habitual de suplantar la identidad es a través de redes sociales. Los ciberdelincuentes utilizan plataformas como Instagram, Facebook  o LinkedIn para hacerse pasar personas o empresas para así obtener datos personales o bien instalar código malicioso en el dispositivo de la víctima mediante enlaces fraudulentos.

Cómo protegerme del phishing

Ahora que ya sabes qué es el phishing y los tipos de ataques de suplantación de identidad más comunes, toca saber cómo protegerte para no caer en la trampa de los ciberdelincuentes.

Primero te mostraré las principales señales de alerta que pueden ayudarte a identificar un intento de phishing. Después veremos algunos consejos y herramientas que te pueden ser útiles para mejorar tu seguridad online.

Señales comunes de phishing

No, no solo caen en la trampa las personas con nociones muy básicas de Internet. Cualquier usuario puede ser víctima de una estafa por Internet, especialmente cuando estos ataques están tan bien diseñados.

Aquí te dejo algunas señales de alerta que pueden ayudarte a identificar posibles intentos de phishing.

Fíjate siempre en la dirección del remitente

¡Siempre! Por muy verdadero que parezca un email, fíjate siempre de dónde viene. Es decir, revisa la dirección del remitente.

Casi todos los emails de phishing incluyen el nombre de la supuesta empresa en la dirección de correo, pero realmente el dominio no se corresponde. Por ejemplo, los emails de phishing que suplantan la identidad de PayPal suelen incluir este nombre en la dirección de correo, pero siempre lo intentan introducir antes de la «@».

¿Ves la diferencia?

Desconfía de mensajes que impliquen urgencia

Normalmente, cuando una empresa legítima te envía una factura o te avisa de un pago pendiente, no lo hace con 24 horas de antelación, sino que te avisan con tiempo suficiente e incluso te envían varias comunicaciones.

También es muy raro que tengas que hacer el pago con urgencia para que no te corten el servicio o que tengas que introducir tus credenciales de acceso para que no te bloqueen la cuenta.

Si te piden algo así, sospecha.

Los enlaces, otra señal de alarma

Desconfía también de los SMS o correos electrónicos que incluyan enlaces, especialmente cuando te llegan de remitentes desconocidos.

Muchas veces los enlaces parecen legítimos, pero no se trata realmente de un enlace, sino del anchor text, me explico…

Aunque veas un enlace del tipo paypal.com, eso no significa que te lleve a esa web. Los hackers pueden camuflar un enlace de una web fraudulenta (como dominiofalso.com) bajo un anchor text que parece confiable.

Un truco es situar el puntero del ratón en el enlace sin hacer clic. En la esquina inferior izquierda del navegador verás la verdadera dirección a la que te lleva.

¿Archivos adjuntos?

Si sospechas de un email, nunca abras el archivo adjunto. En ocasiones, los atacantes incluyen estos archivos para ganarse la confianza de los gestores de correo y no acabar en la bandeja de spam.

Aunque parezca un archivo .pdf inofensivo, puede contener malware o virus que se instala automáticamente en el dispositivo nada más abrirlo.

Consejos para evitar caer en un ataque de phishing

Estar siempre alerta es muy importante, pero también lo es adoptar buenos hábitos en cuanto a seguridad online se refiere.

Cuidado con la información que compartes

Ninguna empresa te pide claves de acceso, datos bancarios, o códigos de verificación por email, SMS o llamada telefónica. Si es así, cuidado, porque estás ante un intento de phishing.

Lo mejor es que, ante cualquier duda, contactes con la compañía a través de sus canales oficiales para verificarlo.

Activa la autenticación en dos pasos (2FA)

Cada vez más son las aplicaciones o servicios que ofrecen la posibilidad de añadir la doble autenticación, también conocido como 2FA.

Es una forma de añadir una capa de seguridad extra a tus inicios de sesión por si alguien es capaz de interceptar tus credenciales de acceso. Para entrar, necesitarán un segundo código que solo puedes generar tú desde el móvil.

El protocolo HTTPS no lo es todo

Una web con HTTP no cifra las conexiones, por lo que los datos que se intercambian entre navegador y servidor pueden ser interceptados. Es decir, cualquier información sensible como contraseñas o datos bancarios pueden caer en manos de los ciberdelincuentes.

¡Pero, ojo! Que una web utilice HTTPS no quiere decir que sea legítima. Hoy en día, muchas páginas fraudulentas ya utilizan este protocolo para que confíes en ella. Así que, además de revisar el protocolo, fíjate si el dominio corresponde con el de la empresa.

Evita conectarte a redes públicas

Siempre que puedas, evita conectarte a redes de wifi públicas. Y, en caso de hacerlo, evita acceder a información confidencial mientras estés conectado, como, por ejemplo, a tu banca online o al CRM de tu empresa.

Siempre puede haber alguien al otro lado interesado en dicha información.

Utiliza un antivirus o antimalware

No solo por las posibles amenazas de phishing, utilizar un antivirus o antimalware en tus dispositivos es clave para detectar cualquier tipo de ataque, ya sean virus, troyanos o ransomware.

Otra ventaja es que estos software de seguridad analizan todas las webs que visitas, así como los correos que recibes para bloquear aquellos que tienen enlaces fraudulentos o archivos adjuntos maliciosos.

Además, muchos antivirus se actualizan constantemente para hacer frente a nuevas variantes de amenazas cibernéticas que puedan comprometer tu seguridad online.

Mantén tus dispositivos actualizados

No es la primera vez que te hablo de la importancia de mantener todo al día. Cuando sale una nueva actualización de un software no solo se incluyen mejoras a nivel visual o de usabilidad, muchas veces también se corrigen vulnerabilidades o brechas de seguridad que pueden poner en peligro tu seguridad online.

Recuerda, cada vez que realizas una actualización, estás cerrando una puerta a los atacantes.

Herramientas para detectar phishing

Hoy en día existen un montón de herramientas que puedes utilizar de forma gratuita para evitar caer en la trampa de los ciberdelincuentes. Aunque no es necesario utilizar todas, sí te recomiendo que tengas algunas de ellas a mano para hacer ciertas comprobaciones cuando tengas sospechas o dudas acerca de la veracidad de algunas comunicaciones.

Análisis de archivos

• VirusTotal: Esta herramienta te permite analizar archivos sospechosos, URL, dominios y direcciones IP para detectar posibles casos de malware o cualquier otra brecha de seguridad.
• File Checker: Una herramienta de NordVPN que analiza archivos en búsqueda de virus y malware.

Análisis de URL

• Link Checker: Otra herramienta de NordVPN que te permite escanear URL para detectar phishing, malware o páginas falsas.
• URLVoid: Este servicio te permite identificar páginas maliciosas y te ofrece un reporte detallado de la URL escaneada.
• Phisthank: No es una herramienta más, sino una plataforma de colaboración en la que los usuarios reportan casos de phishing o valoran URL sospechosas. Además, tienes la posibilidad de analizar una dirección específica por si sospechas que es falsa.

Filtros de correo

Aunque los gestores de correo más conocidos como Outlook o Gmail ya tienen integrados filtros de spam, existen soluciones adicionales:

• Spamfighter: Se trata de un filtro antispam gratuito para Outlook, Thunderbird y Windows Mail. Ofrece mayor precisión en el filtrado y en la personalización.
• SpamBully: Una solución muy completa para Office 365, Outlook y Windows Mail. Utiliza IA para detectar qué correos son deseados y cuáles no. Además, verifica listas en tiempo real para bloquear dominios que envían correo no deseado, borra spam de forma automática y detecta enlaces sospechosos en emails de phishing.

Extensiones antiphishing para el navegador

Para mejorar la seguridad a la hora de navegar por Internet, existen un montón de extensiones que te alertan cuando algo no va como debería. Algunas de las más utilizadas son:

• Total WebShield: Este antivirus de navegación me gusta bastante. Te protege de amenazas online, avisa de páginas potencialmente peligrosas, bloquea anuncios, sorteos fraudulentos, fake news…
• Netcraft Extension: Disponible tanto para Chrome como Mozilla. Esta extensión compara automáticamente la URL que visitas con una lista en tiempo real de sitios sospechosos. Así, si detecta algo raro, la bloquea automáticamente.
• Zelda Anti-Phishing: Únicamente disponible para Firefox. Analiza las URL que visitas para avisarte de posibles fraudes o las bloquea directamente si se encuentra en una lista negra.

Qué hacer si has sido víctima de phishing

Aunque sepas qué es el phishing y tomes medidas para protegerte, nadie está a salvo de caer en este engaño. Así que, si crees que has sido víctima de este tipo de ciberataque, es importante que actúes con rapidez para minimizar los daños que puede causarte.

Algunos pasos a seguir son los siguientes.

1. Cambia tus contraseñas

Si crees que has metido alguna de tus claves de acceso o facilitaste información sensible en una página fraudulenta, es primordial que empieces a cambiar tus claves de acceso. Empieza por los servicios más sensibles como pueden ser tus cuentas de correo, cuentas de Google o iCloud, la banca online y cuentas de redes sociales.

Recuerda establecer contraseñas seguras y diferentes y, si es posible, añade seguridad 2FA en las plataformas que así lo permitan.

2.  Contacta con tu banco

Aunque desde muchas aplicaciones bancarias ya te permiten bloquear la tarjeta o revisar cargos al momento, no está de más que contactes con la entidad si crees que has sido víctima de un ataque de phishing. Podrán ayudarte e incluso anular operaciones sospechosas.

3. Revisa y protege tus cuentas

Aunque ya hayas modificado las contraseñas, revisa si hay inicios de sesión en tus cuentas y cierra las sesiones abiertas que tengas en otros dispositivos. Sé que es engorroso volver a loguearse en todas tus cuentas, pero es lo más seguro.

4. Analiza tu dispositivo en busca de malware

Si recibiste un correo sospechoso, hiciste clic en algún enlace que te parecía raro o descargaste algo en tu equipo, haz uso de tu antivirus o antimalware. Seguramente tengas la opción de iniciar un análisis en búsqueda de contenido malicioso y eliminarlo de tu dispositivo.

5. Reporta el incidente

Algunas plataformas como INCIBE (Instituto Nacional de Ciberseguridad) ofrecen canales específicos para reportar intentos de phishing y otros ciberataques. Podrás informar de tu caso y recibir asesoramiento técnico, psicosocial y legal.

También puedes presentar una denuncia formal ante las autoridades competentes.

¿Piensas que el phishing está en sus horas bajas?

Como hemos visto, este tipo de estafas están más activas que nunca. Los ataques de suplantación de identidad se han diversificado tanto que es necesario estar siempre con la mosca detrás de la oreja.

Ahora ya no hablamos de phishing, sino también de smishing, vishing, quishing, evil twin, pharming… ¡Y vete tú a saber cuántas variantes más aparecerán!

Hay algunas recomendaciones clave si no quieres caer en la trampa:

• Cuando recibes un correo, fíjate siempre en la dirección del remitente, es decir, quién te envía el correo.
• No hagas caso de mensajes que impliquen urgencia o cobros inesperados.
• Tampoco te fíes de amenazas de corte del servicio sin antes contactar por los canales oficiales con tus proveedores de servicios.
• No abras enlaces sospechosos ni descargues archivos dudosos en tus dispositivos.
• Por teléfono o email, nunca des datos personales o confidenciales (contraseñas, datos bancarios…).
• Si aterrizas en una página dudosa, tampoco introduzcas ningún dato.

Recuerda que, además de estas señales de alerta, también es recomendable proteger tu vida online. Existen algunas medidas de seguridad que te ayudarán a protegerte como, por ejemplo, la verificación en dos pasos (2FA), el uso de un antivirus o antimalware o algún filtro de spam avanzado para bloquear correos fraudulentos.

Saber qué es el phishing y tener en cuenta todas las recomendaciones que vimos en este post te ayudará a mantenerte un poco más alejado de este tipo de ciberestafas.