Qué es el phishing: definición, tipos, ejemplos y cómo evitarlo

Comprender qué es el phishing, cómo funciona y cuáles son sus principales variantes (como el smishing, vishing o spear phishing) es clave para reconocerlo a tiempo y evitar caer en la trampa. En esta guía te explicamos, de forma clara y práctica, qué significa phishing, qué tipos existen, cómo detectarlo y qué medidas de seguridad adoptar para proteger tus cuentas y tus datos frente a estas amenazas digitales.

Y recuerda: si has sido víctima de una estafa online, puedes hacer una reclamación por phishing para recuperar tu dinero. Y si tu banco no te lo devuelve, en ERREKLAMATU podemos ayudarte a recuperar lo que te pertenece. Nuestro equipo cuenta con amplia experiencia en reclamaciones bancarias y sabemos cómo hacer que los bancos respondan en casos de fraude electrónico.

Qué es el phishing: definición, significado y cómo funciona este tipo de estafa digital

El phishing es una técnica de estafa digital basada en el engaño y la manipulación psicológica. Su objetivo es conseguir información confidencial —como contraseñas, datos bancarios o códigos de verificación— haciéndose pasar por una fuente legítima: un banco, una empresa de mensajería, una red social o una plataforma de pagos.

A diferencia de los virus o malware, el phishing no infecta los dispositivos automáticamente, sino que persuade al usuario para que entregue sus propios datos, creyendo que actúa de forma segura. Es, por tanto, una forma de ingeniería social, más psicológica que tecnológica, en la que el delincuente explota la confianza, la urgencia o el miedo para provocar una reacción impulsiva.

El término phishing procede del inglés fishing (“pescar”), una metáfora que representa lanzar el anzuelo —el mensaje fraudulento— esperando que la víctima muerda el cebo. En español, puede traducirse como suplantación de identidad digital o fraude por engaño informático, y describe cualquier intento de obtener información personal mediante una apariencia de legitimidad.

Aunque en ocasiones se confunde y algunos lo escriben como fishing, el término correcto es phishing, con “ph”. Ambos suenan igual, pero solo “phishing” se refiere a esta técnica de fraude online reconocida internacionalmente.

En otras palabras, el phishing consiste en reproducir con apariencia legítima los canales habituales de comunicación (correos electrónicos, SMS, llamadas o webs falsas) con el fin de obtener datos sensibles y utilizarlos para acceder a cuentas bancarias, realizar transferencias o cometer otros delitos económicos. Por eso, más que una simple amenaza informática, el phishing es un fraude de persuasión: el arma no es el código, sino la manipulación.

Cómo funciona un ataque de phishing paso a paso

Un ataque de phishing es una forma de fraude por internet que combina técnicas informáticas con manipulación psicológica. Su objetivo es que el usuario revele sus credenciales, datos personales o bancarios, creyendo que está interactuando con una fuente legítima. Aunque existen variantes (por correo, SMS, redes sociales o llamadas), el método sigue siempre la misma lógica: crear confianza, provocar una reacción y robar información sensible.

A continuación te explicamos cómo funciona el phishing paso a paso, para que puedas reconocer cada fase y evitar caer en el engaño.

1. Preparación del ataque: el diseño del señuelo

Todo ataque de phishing comienza con la creación del señuelo, es decir, el mensaje o canal fraudulento que atraerá a la víctima. Los delincuentes clonan la identidad visual de entidades conocidas —bancos, empresas de mensajería o instituciones públicas— y envían correos electrónicos, SMS o mensajes en redes sociales con logotipos, colores y textos casi idénticos a los reales.

Estos mensajes suelen incluir llamadas a la acción urgentes, como “verifica tus datos”, “evita el bloqueo de tu cuenta” o “confirma un pago pendiente”. Este elemento emocional es clave: los atacantes buscan activar la reacción impulsiva antes de que el usuario piense o compruebe la veracidad del mensaje.

2. Creación de la página o entorno falso (phishing web o página clonada)

El siguiente paso es la construcción de una página web clonada, que imita con precisión la interfaz de la entidad real. Estas webs falsas utilizan nombres de dominio muy similares (por ejemplo, “banckinter.com” o “caixaa.es”) y, en ocasiones, incluso cuentan con certificados de seguridad SSL, lo que refuerza su apariencia de autenticidad.

El usuario, al acceder al enlace del mensaje, llega a esta página donde se le solicita introducir sus credenciales de acceso, números de tarjeta, códigos PIN o información personal. En ese momento, los datos son capturados y almacenados automáticamente por el atacante.

Aunque no hay un “virus” en el sentido tradicional, el resultado es similar: el usuario entrega voluntariamente sus claves, abriendo la puerta al robo directo de dinero o a posteriores fraudes.

3. Robo de credenciales y control de la cuenta

Una vez obtenidos los datos, el ciberdelincuente accede a las cuentas bancarias o servicios online del usuario. Utiliza la información recopilada para autorizar transferencias, cambiar contraseñas o generar nuevas tarjetas virtuales, aprovechando cualquier margen de tiempo antes de que la víctima detecte el fraude y bloquee el acceso.

En muchos casos, los atacantes usan sistemas automáticos que validan las credenciales en tiempo real o que reenvían los datos a otros intermediarios dentro de redes internacionales de ciberdelito. Por eso, aunque el phishing no sea un virus informático en sentido estricto, forma parte de la ciberseguridad: explota vulnerabilidades humanas y tecnológicas al mismo tiempo.

4. Ingeniería social: el poder del factor emocional

El éxito del phishing no depende solo de la tecnología, sino de la manipulación emocional. Los delincuentes explotan tres factores psicológicos clave:

• Urgencia: mensajes que exigen una acción inmediata (“tu cuenta será bloqueada”).
• Autoridad: se hacen pasar por instituciones oficiales o bancos.
• Miedo o pérdida: amenazan con sanciones, cargos no autorizados o pérdida de acceso.

Estos factores generan un estado de estrés que reduce la capacidad crítica del usuario, facilitando que introduzca sus datos sin verificar la autenticidad del mensaje o la web. Por eso se dice que el phishing es, ante todo, un ataque de ingeniería social, donde el objetivo no es romper un sistema informático, sino convencer al usuario de que lo abra él mismo.

5. Cierre del ataque: uso y monetización de los datos robados

Con la información obtenida, los atacantes pueden transferir dinero directamente, vender los datos en la dark web o utilizarlos para nuevos fraudes (por ejemplo, solicitar créditos o acceder a otras cuentas del usuario).

En los casos de phishing bancario, la víctima suele descubrir el problema cuando el dinero ya ha sido transferido a cuentas intermedias o al extranjero, lo que complica la recuperación sin una reclamación legal inmediata.

Por eso, conocer cómo funciona un ataque de phishing es el primer paso para prevenirlo y proteger tus cuentas frente a futuros intentos. La ciberseguridad empieza por la información y la prudencia.

Tipos de phishing: ejemplos, características y cómo identificarlos

El phishing adopta muchas formas, pero todas comparten un mismo principio: suplantar una identidad legítima para robar información confidencial. A continuación, repasamos los tipos de phishing más comunes, cómo operan y ejemplos reales que te ayudarán a identificarlos antes de ser víctima.

Email phishing (phishing por correo electrónico)

El phishing por correo electrónico —también llamado email phishing o correo phishing— es la variante más habitual y la que dio origen al término.
Consiste en el envío masivo de emails falsos que imitan comunicaciones oficiales de bancos, plataformas de pago o servicios conocidos (Amazon, Correos, Hacienda, etc.).

Estos correos suelen contener un mensaje alarmante (“actividad sospechosa detectada”, “verifica tu cuenta para evitar el bloqueo”) y un enlace a una página web clonada. Al hacer clic, la víctima accede a una web falsa donde introduce sus credenciales, que quedan en manos de los atacantes.

Ejemplo: un correo con el asunto “Su cuenta será suspendida por falta de verificación” que redirige a una web idéntica a la del banco.

Smishing (SMS) y vishing (llamadas telefónicas)

El smishing es el equivalente del phishing a través de mensajes SMS o aplicaciones de mensajería como WhatsApp. El usuario recibe un texto con un enlace acortado o un aviso urgente, como “su paquete está retenido” o “ha recibido un reembolso pendiente”. Al pulsar, se abre una web fraudulenta que pide datos personales o bancarios.

El vishing, en cambio, utiliza llamadas telefónicas. El estafador se hace pasar por un empleado del banco, un técnico informático o incluso un agente policial. Utiliza la voz para generar confianza y obtener información sensible, como números de tarjeta o códigos de verificación.

Ejemplo: una llamada de “atención al cliente” que solicita confirmar tu identidad enviando un código recibido por SMS, cuando en realidad estás autorizando una transferencia.

Estas modalidades suelen combinarse en campañas mixtas (phishing smishing y vishing), donde el mensaje y la llamada se refuerzan mutuamente para parecer más creíbles.

Spear phishing y whaling: ataques dirigidos y selectivos

A diferencia del phishing masivo, el spear phishing se dirige a una víctima concreta o a un grupo reducido, tras un estudio previo.
Los atacantes investigan los hábitos, contactos o publicaciones de la persona para crear un mensaje muy personalizado, aumentando las posibilidades de éxito.

El whaling phishing, o “caza de ballenas”, es una versión aún más sofisticada, enfocada en altos cargos, empresarios o directivos con acceso a información sensible o cuentas corporativas. En estos casos, los correos incluyen datos internos reales o firmas falsas de compañeros, lo que los hace extremadamente convincentes.

Ejemplo: un correo que parece provenir del CEO pidiendo al departamento financiero una transferencia urgente “por motivos de confidencialidad”.

Pharming y spoofing: diferencias clave

Aunque se asocian al phishing, el pharming y el spoofing tienen características técnicas diferentes.

En el pharming, el atacante manipula el sistema de nombres de dominio (DNS) para redirigir al usuario a una web falsa aunque escriba la dirección correcta en el navegador. A diferencia del phishing tradicional, no requiere que el usuario haga clic en un enlace: la manipulación ocurre de fondo.

El spoofing, por su parte, consiste en falsificar la identidad del remitente (correo electrónico, dirección IP o número de teléfono) para que parezca provenir de una fuente confiable. Ambas técnicas suelen combinarse con campañas de phishing para aumentar la credibilidad del ataque.

Ejemplo: recibir un correo cuyo remitente es “seguridad@bbva.es”, aunque en realidad procede de un servidor no autorizado.

Otras variantes emergentes: QR phishing y redes sociales

Además de los métodos clásicos, han surgido nuevas variantes adaptadas al uso cotidiano de internet:

• QR phishing o QRishing: los atacantes sustituyen un código QR legítimo (por ejemplo, de un restaurante o un parking) por otro que lleva a una web fraudulenta donde se solicitan datos o pagos.
• Phishing en redes sociales: perfiles falsos que se hacen pasar por marcas, influencers o servicios oficiales para enviar enlaces directos a webs clonadas.
• Phishing web o website phishing: cuando el ataque se realiza directamente desde un sitio web manipulado o un formulario incrustado en una página comprometida.

Ejemplo: un usuario escanea un QR en un cartel de su banco y accede a una web idéntica donde introduce su usuario y contraseña.

Ejemplos de phishing reales: 10 casos que se repiten (y cómo detectarlos)

Los ataques de phishing evolucionan constantemente, pero todos comparten el mismo principio: engañar al usuario apelando a la urgencia, el miedo o la confianza. A continuación te mostramos los 10 ejemplos de phishing más habituales, explicando cómo funcionan y cómo identificarlos a tiempo.

1. “Tu cuenta será bloqueada si no confirmas tus datos”

• Por qué funciona: genera miedo a perder acceso al banco, correo o redes sociales.
• Cómo detectarlo: los bancos nunca piden confirmar credenciales por correo; revisa siempre el dominio del remitente y evita los enlaces que imitan direcciones oficiales.

2. “Hemos detectado un inicio de sesión sospechoso”

• Por qué funciona: provoca sensación de alarma y urgencia.
• Cómo detectarlo: si recibes este mensaje, entra directamente en la web o app del servicio, nunca desde el enlace del correo. Comprueba la dirección del remitente.

3. “Tienes un reembolso pendiente”

• Por qué funciona: apela a la ganancia fácil o a devoluciones falsas de Hacienda, Correos o compañías eléctricas.
• Cómo detectarlo: ninguna entidad legítima solicita datos bancarios por SMS o correo con enlaces acortados.

4. “Paquete retenido: paga los gastos de envío”

• Por qué funciona: aprovecha el auge de las compras online y el deseo de recibir el pedido cuanto antes.
• Cómo detectarlo: revisa si el dominio pertenece a la empresa oficial y evita enlaces abreviados o con errores ortográficos.

5. “Mensaje de tu banco: valida esta operación”

• Por qué funciona: utiliza la apariencia de comunicación corporativa para inspirar confianza.
• Cómo detectarlo: los bancos no validan operaciones por SMS ni piden códigos por teléfono. Comprueba si la web empieza por https:// y si pertenece al dominio del banco.

6. “Factura pendiente de pago” (fraude del proveedor falso)

• Por qué funciona: engaña a empresas o autónomos suplantando a proveedores reales y modificando el IBAN.
• Cómo detectarlo: confirma siempre por teléfono los cambios de cuenta y compara con facturas anteriores antes de hacer cualquier pago.

7. “Soy tu hijo / familiar, necesito ayuda urgente”

• Por qué funciona: apela a la emoción y genera reacción impulsiva.
• Cómo detectarlo: contacta al familiar por otro canal antes de enviar dinero o datos. No respondas a números desconocidos.

8. “Actualiza tu método de pago en Netflix o Amazon”

• Por qué funciona: se aprovecha de plataformas de uso cotidiano y correos muy bien imitadas.
• Cómo detectarlo: revisa que el remitente pertenezca al dominio oficial (por ejemplo, @netflix.com) y desconfía de textos con errores o traducciones pobres.

9. “Has ganado un premio”

• Por qué funciona: estimula la curiosidad y la ilusión de obtener algo gratis.
• Cómo detectarlo: si no participaste en ningún sorteo, es fraude. Nunca facilites datos bancarios ni pagues tasas por recibir un supuesto premio.

10. “Adjunto: informe o factura importante”

• Por qué funciona: busca que abras un archivo adjunto que instala malware o un phishing virus.
• Cómo detectarlo: no abras adjuntos de desconocidos, especialmente si terminan en .zip o .exe. Comprueba la dirección del remitente y elimina el mensaje.

Si quieres saber cómo actuar ante un fraude, contacta con nuestros abogados especialistas en phishing. Te explicarán tus derechos y los pasos legales para reclamar al banco con éxito.

Señales para identificar un mensaje o web de phishing

Reconocer un intento de phishing a tiempo puede evitar la pérdida de datos y dinero. Aunque muchos correos o páginas fraudulentas parecen legítimos, hay ciertos detalles que siempre delatan a los estafadores. A continuación se explican las señales más comunes para detectar un mensaje o web falsa antes de caer en la trampa.

1. Dominio o dirección del remitente sospechosa

Los correos de phishing suelen imitar direcciones oficiales, pero con ligeras variaciones: letras cambiadas, dominios extraños o extensiones poco habituales. Por ejemplo, un mensaje de “atencionalcliente@banc0-santander.com” o “info@seguridad-bbvv.es” debe hacerte sospechar.
Antes de confiar, revisa la parte que va después del “@” y comprueba que pertenece al dominio real de la empresa.

2. Ausencia de conexión segura (HTTPS)

Las webs falsas suelen carecer de certificado de seguridad o usan uno genérico. Si la dirección no comienza por https:// o muestra el icono del candado tachado, no introduzcas ningún dato personal. Incluso cuando el sitio use HTTPS, verifica que el dominio coincide exactamente con el oficial.

3. Errores de ortografía o traducciones defectuosas

Los correos fraudulentos a menudo contienen faltas, frases incoherentes o textos mal traducidos. Los bancos y organismos públicos nunca envían mensajes con errores de redacción. Este es uno de los indicios más sencillos y fiables para detectar un intento de fraude.

4. Mensajes que generan urgencia o miedo

Frases como “tu cuenta será suspendida”, “último aviso” o “confirma tus datos en las próximas 24 horas” buscan que actúes sin pensar. Los ciberdelincuentes explotan la presión psicológica para que pulses el enlace o facilites tus credenciales. Desconfía siempre de cualquier mensaje que te obligue a actuar rápido.

5. Solicitud directa de contraseñas o datos personales

Ninguna entidad legítima pedirá tu contraseña, número de tarjeta o código de verificación por correo, teléfono o SMS. Si un mensaje solicita este tipo de información, se trata de phishing. Accede a tu cuenta desde la aplicación o web oficial para comprobar si realmente existe algún aviso pendiente.

6. Enlaces acortados o direcciones alteradas

Los estafadores usan servicios de acortadores (bit.ly, tinyurl, etc.) para ocultar la URL real. También modifican ligeramente las direcciones auténticas, sustituyendo letras o añadiendo caracteres (por ejemplo, “santandér.com” o “secure-caixabank.info”). Antes de hacer clic, pasa el ratón sobre el enlace y verifica a dónde te dirige realmente.

7. Archivos adjuntos inesperados

Los adjuntos son una vía habitual para instalar malware o robar credenciales. Desconfía de archivos comprimidos (.zip, .rar) o ejecutables (.exe) enviados por desconocidos o remitentes que no sueles recibir. Si dudas, no abras el archivo y elimina el mensaje.

8. Imágenes o logotipos pixelados

Muchos correos de phishing usan logotipos robados o mal adaptados. Si observas imágenes pixeladas, formatos distintos al habitual o colores alterados, es probable que se trate de una copia falsa. En estos casos, conviene buscar el mensaje original en la web oficial de la entidad.

9. Peticiones a través de códigos QR

El QR phishing o QRishing consiste en enviar códigos QR que redirigen a páginas falsas. Aunque parecen seguros, estos códigos pueden llevarte a webs fraudulentas idénticas a las oficiales. Escanea únicamente QR procedentes de fuentes verificadas, y nunca desde correos o mensajes sospechosos.

10. Usa herramientas de verificación

Existen utilidades gratuitas como Google Phishing Quiz o extensiones de navegador que analizan enlaces sospechosos y ayudan a verificar si un correo es seguro. También puedes subir capturas o ejemplos a tu propio banco de recursos visuales (por ejemplo, “imágenes de phishing” o “phishing check”) para educar a otros usuarios sobre cómo identificarlos.

Cómo evitar el phishing: medidas anti-phishing

Evitar el phishing no depende solo de la tecnología, sino de la conciencia y los hábitos del usuario. Los ataques son cada vez más sofisticados, pero también más predecibles: todos buscan un error humano. A continuación, repasamos las medidas más eficaces para prevenirlos, tanto a nivel personal como empresarial y móvil.

Hábitos personales para protegerte del phishing

La primera línea de defensa está en el comportamiento del usuario. Adoptar hábitos básicos de seguridad puede reducir drásticamente el riesgo de sufrir un ataque.

• Usa contraseñas seguras y únicas: Evita reutilizar contraseñas entre distintos servicios. Combina mayúsculas, minúsculas, números y símbolos, y cámbialas cada cierto tiempo. Un gestor de contraseñas puede ayudarte a mantenerlas organizadas y seguras.
• Activa la autenticación en dos pasos (2FA): Con este sistema, aunque un atacante robe tu clave, no podrá acceder sin el código adicional generado en tu dispositivo. Es una de las medidas más eficaces contra el phishing.
• No compartas códigos ni credenciales: Ni bancos, ni plataformas de pago, ni servicios en línea te pedirán nunca tus contraseñas, PIN o códigos de verificación por correo, SMS o llamada. Si alguien te los solicita, es una estafa.
• Mantén tu software actualizado: Las actualizaciones corrigen vulnerabilidades que los ciberdelincuentes aprovechan para instalar malware o interceptar datos. Actualiza siempre el sistema operativo, el navegador y las aplicaciones bancarias.
• Desconfía de enlaces o archivos no solicitados: Antes de abrir un enlace o adjunto, verifica la procedencia del mensaje. Si tienes dudas, contacta directamente con la empresa o entidad por los canales oficiales.

Empresas: formación y simulaciones anti-phishing

En las empresas, el eslabón más débil suele ser el factor humano. Un solo clic de un empleado puede comprometer toda la red. Por eso, la prevención debe basarse en la concienciación y la práctica continua.

• Programas de formación y concienciación: Realizar sesiones periódicas sobre ciberseguridad ayuda a que los empleados identifiquen señales de phishing y sepan cómo actuar ante un correo sospechoso. Los mensajes deben incluir ejemplos reales y actualizados.
• Simulacros y tests de phishing: El uso de simuladores de phishing (o phishing simulators) permite evaluar la respuesta de la plantilla ante correos falsos controlados. Estos ejercicios enseñan de forma práctica y ayudan a detectar carencias de conocimiento.
  Además, fomentan la cultura de la alerta y del reporte inmediato.
• Políticas claras de comunicación interna: Establece protocolos internos para verificar correos sensibles: confirmaciones por teléfono, validación doble en pagos y canales específicos para reportar intentos de fraude.
• Actualización y control de accesos: Implementar filtros de correo avanzados, antivirus corporativos y controles de acceso con autenticación reforzada reduce el riesgo de entrada de mensajes maliciosos.

Dispositivos móviles: cómo detectar y eliminar el phishing

El phishing móvil (por SMS, WhatsApp o apps falsas) es hoy una de las principales vías de ataque. Por su inmediatez y tamaño de pantalla reducido, resulta más fácil engañar al usuario.

• Cómo saber si tienes phishing en el móvil: Si notas aperturas automáticas de enlaces, apps desconocidas o mensajes sospechosos que se reenvían solos, tu dispositivo podría estar comprometido. Revisa los permisos de las aplicaciones y escanea el sistema con un antivirus móvil confiable.
• Cómo eliminar phishing del móvil (Android o iPhone): Elimina las aplicaciones instaladas fuera de tiendas oficiales y borra la caché del navegador. Si persisten los síntomas, restablece el dispositivo a los valores de fábrica tras hacer una copia de seguridad. En iPhone, puedes eliminar perfiles sospechosos desde Ajustes > General > VPN y gestión de dispositivos.
• Prevención en el uso diario: Descarga solo desde Google Play o App Store, desactiva la instalación de apps externas, y no pulses sobre códigos QR ni enlaces recibidos por mensajería si no conoces el remitente.

Phishing e ingeniería social: por qué seguimos cayendo

El phishing no se basa únicamente en la tecnología, sino en algo mucho más poderoso: la manipulación psicológica. Los ciberdelincuentes explotan los sesgos, emociones y comportamientos humanos para lograr que la víctima actúe sin pensar. Por eso, aunque los sistemas de seguridad mejoran, las estafas siguen funcionando. Comprender cómo actúa la ingeniería social es clave para no caer en la trampa.

El poder de la urgencia

Una de las tácticas más efectivas del phishing es generar sensación de urgencia. Los atacantes envían mensajes que exigen actuar de inmediato —por ejemplo, “tu cuenta será bloqueada en 24 horas” o “has recibido un pago pendiente”—. Esta presión hace que el usuario actúe impulsivamente sin comprobar la autenticidad del mensaje.

Autoridad y confianza falsas

Otra técnica clásica es apelar a la autoridad. Los estafadores se hacen pasar por bancos, organismos públicos o empresas reconocidas, utilizando logotipos, lenguaje formal y direcciones de correo que parecen legítimas. El cerebro tiende a confiar en figuras de autoridad, lo que reduce el escepticismo y facilita el engaño.

El miedo como detonante

El miedo a perder algo —dinero, acceso, reputación— es uno de los resortes más utilizados. Correos que alertan sobre movimientos sospechosos, amenazas de cierre de cuenta o multas inminentes están diseñados para provocar ansiedad y una respuesta rápida sin reflexión.

La recompensa como anzuelo

El extremo opuesto también funciona: el deseo de obtener un beneficio. Promesas de reembolsos, premios o inversiones rápidas despiertan la curiosidad y llevan al usuario a pinchar en enlaces o descargar archivos sin verificar su origen.

Sesgos cognitivos y automatismos

El phishing aprovecha los sesgos cognitivos, atajos mentales que usamos para decidir sin pensar. La familiaridad (confiar en un diseño conocido), la reciprocidad (responder a un supuesto favor) o la urgencia emocional hacen que incluso usuarios experimentados bajen la guardia. En última instancia, el ataque no explota una brecha informática, sino una brecha humana.

Óscar Sánchez, Jon Ortiz y Maddi Bilbao, abogados especialistas en reclamaciones de phishing.

¿Qué hacer si ya has caído en un phishing?

Si has hecho clic en un enlace fraudulento o has facilitado tus datos bancarios, es fundamental actuar de inmediato. Cada minuto cuenta para minimizar los daños y aumentar las posibilidades de recuperar tu dinero o evitar accesos indebidos a tus cuentas.

1. Bloquea el acceso y cambia tus contraseñas

Accede a la web o app oficial de tu banco y modifica todas las claves de acceso, incluidas las de la banca online, correo electrónico y cualquier servicio vinculado. Si usas la misma contraseña en varias plataformas, cámbiala en todas.

2. Informa a tu banco y solicita el bloqueo de operaciones

Llama al servicio de atención urgente de tu entidad e indica que has sido víctima de un posible fraude. Pide el bloqueo inmediato de tarjetas y cuentas afectadas, así como la anulación de transferencias si todavía no se han completado.

3. Presenta una denuncia

Acude a la policía y presenta una denuncia formal con todos los datos: mensajes, correos, capturas de pantalla, IBAN del destinatario y justificante de la operación. Este paso es obligatorio para que el banco abra una investigación y pueda asumir su responsabilidad.

4. Revisa tus dispositivos

Haz un análisis antivirus completo en el móvil y ordenador para descartar que el enlace haya instalado software malicioso. Si sospechas que tu dispositivo ha sido comprometido, evita iniciar sesión en cuentas sensibles hasta que esté limpio.

5. Inicia la reclamación

Si el banco no devuelve el dinero o no responde, existen vías legales para reclamar. En ERREKLAMATU gestionamos tu reclamación completa y solo cobramos si recuperas tu dinero.

👉 Puedes consultar la guía detallada aquí: Fui víctima de phishing: ¿qué hago? Y en este artículo te explicamos cómo recuperar el dinero estafado por transferencia bancaria.

Preguntas frecuentes sobre el phishing

A continuación encontrarás respuestas claras y rápidas a las dudas más comunes sobre el phishing, desde su significado y funcionamiento hasta las formas de prevenirlo y actuar si ya has sido víctima. Este bloque reúne las consultas más buscadas por los usuarios en Google y te ayudará a entender y evitar las estafas por suplantación de identidad en internet.

¿Qué es el phishing y cómo funciona?

El phishing es una técnica de fraude digital que busca engañar al usuario para que revele datos personales, contraseñas o información bancaria. Los estafadores suelen usar correos, SMS o webs falsas que imitan a entidades legítimas para obtener las credenciales y acceder a las cuentas de la víctima.

¿Qué significa phishing en informática?

En informática, el phishing se refiere a cualquier intento de suplantación de identidad mediante el uso de mensajes o sitios web falsos. Su objetivo es que el usuario facilite información confidencial o realice acciones que comprometan su seguridad online.

¿Cuáles son los tipos de phishing más comunes?

Los tipos más comunes son el email phishing, el smishing (por SMS), el vishing (llamadas telefónicas), el spear phishing (ataques dirigidos a personas o empresas concretas) y el pharming, que redirige al usuario a webs falsas sin que lo note.

¿Cómo detectar un mensaje o correo de phishing?

Revisa siempre la dirección del remitente, busca errores ortográficos, verifica que la web empiece por https://, desconfía de mensajes con tono urgente o que pidan datos personales, y evita abrir enlaces o archivos adjuntos sospechosos.

¿Cómo evitar el phishing por internet?

Para evitar el phishing, usa contraseñas seguras y diferentes, activa la verificación en dos pasos (2FA), mantén el sistema actualizado y nunca compartas tus claves por correo, SMS o teléfono. Los bancos y empresas legítimas no solicitan esa información por esos medios.

¿Qué diferencia hay entre phishing y malware?

El phishing se basa en el engaño social para que el usuario entregue su información, mientras que el malware infecta el dispositivo para robar datos o controlar el sistema. Ambos pueden combinarse en un mismo ataque.

¿Qué es el spear phishing?

El spear phishing es una modalidad de phishing personalizada, dirigida a una persona o empresa concreta. Los delincuentes recopilan información previa de la víctima para hacer el mensaje más creíble y aumentar las posibilidades de éxito.

¿Qué hacer si he caído en un phishing?

Debes cambiar tus contraseñas, avisar al banco para bloquear operaciones, denunciar el fraude y reunir todas las pruebas del ataque. Si has perdido dinero, puedes reclamar su devolución siguiendo los pasos legales. En ERREKLAMATU ayudamos a gestionar esa reclamación.

¿Qué es el anti-phishing?

El anti-phishing reúne todas las herramientas y prácticas de prevención contra fraudes digitales, como los filtros de correo, los sistemas de detección de sitios web falsos y los programas de formación en ciberseguridad.

¿Por qué se llama phishing?

El término “phishing” proviene de la palabra inglesa fishing (“pescar”) y alude a la idea de “lanzar el anzuelo” a las víctimas mediante mensajes falsos. Se escribe con “ph” como guiño al lenguaje usado por los primeros hackers en los años noventa.

Opiniones de nuestros clientes

Ver aquí todas las reseñas