Contacto
Inicio
Seguridad
Principios de seguridad Métodos de protección Seguridad digital
Fraude
Conciencia del fraude Tipos de fraude Phishing Estafas de inversión Alertas de fraude
Protección
Protección de datos Seguros financieros Derechos del consumidor
Finanzas
Planificación financiera Ahorro seguro Educación financiera
Más
Recursos Blog Glosario Nosotros Contacto
Inicio Fraude Phishing
🎣 Phishing y ciberestafas

Phishing: Cómo Detectarlo y Evitarlo

El phishing es la técnica de fraude más utilizada en España. Aprende a identificarlo y proteger tus datos bancarios.

Ver ejemplos reales ¿Qué hacer si caíste?

¿Qué es el phishing?

El phishing es una técnica de ingeniería social mediante la cual los delincuentes se hacen pasar por entidades de confianza —bancos, organismos públicos o empresas conocidas— para engañarte y conseguir que reveles información confidencial como contraseñas, números de tarjeta o credenciales de acceso.

El nombre proviene del inglés "fishing" (pescar), ya que los atacantes lanzan su "anzuelo" de forma masiva esperando que alguna víctima pique. En España, el 68% de los ciberataques contra ciudadanos comienzan con alguna forma de phishing, según datos del INCIBE para 2024.

ℹ️ Dato clave

Un ataque de phishing puede construirse en menos de 15 minutos usando herramientas accesibles. Por eso es crucial conocerlo: la defensa comienza en ti, no en la tecnología.

Modalidades

Tipos de phishing que debes conocer

El phishing ha evolucionado más allá del correo electrónico. Conoce todas sus variantes para estar preparado.

📧

Email phishing

Correos masivos que imitan la identidad visual de bancos, AEAT, Correos u otras instituciones. Incluyen enlaces a webs falsas o archivos maliciosos adjuntos.

Riesgo alto
📱

Smishing (SMS)

Mensajes de texto fraudulentos que alertan sobre bloqueos de cuenta, paquetes retenidos o cobros pendientes. El enlace lleva a una página de captura de datos.

Riesgo alto
📞

Vishing (voz)

Llamadas telefónicas en las que el estafador se presenta como empleado de tu banco, Hacienda o soporte técnico. Usan presión psicológica para obtener claves.

Riesgo alto
🎯

Spear phishing

Ataques altamente personalizados dirigidos a una persona u organización específica. Usan información real de la víctima (nombre, empresa, cargo) para ser más convincentes.

Riesgo muy alto
🌐

Pharming

Manipulación del sistema DNS que redirige al usuario a una web falsa incluso cuando escribe la dirección correcta del banco. Muy difícil de detectar sin software especializado.

Riesgo medio
🐋

Whaling

Variante del spear phishing que tiene como objetivo directivos de empresas ("peces gordos"). Busca autorizar transferencias millonarias o acceder a sistemas corporativos críticos.

Riesgo muy alto
Ejemplos visuales

6 señales de alerta en correos de phishing

Así son los mensajes fraudulentos más habituales en España. Aprende a reconocerlos antes de hacer clic.

Bandeja de entrada — Correo falso BBVA

Dominio falso: bbva-verificacion.com (no bbva.es)
Urgencia de 24 horas para presionarte
BBVA nunca bloquea cuentas por email

SMS falso — Banco Santander

URL acortada y con guion: no es santander.es
Los bancos no envían SMS con enlaces de desbloqueo
Número desconocido, no el oficial del banco

Email falso — Agencia Tributaria (AEAT)

Dominio falso: aeat-devoluciones.es (no agenciatributaria.gob.es)
Hacienda nunca pide datos bancarios por email
Importe específico para ganar credibilidad

Email falso — CaixaBank (adjunto malicioso)

Dominio diferente: caixabank-online.net, no caixabank.es
Pide habilitar macros: ejecuta malware
Los extractos reales se consultan en la app

SMS falso — Correos (paquete retenido)

URL falsa: correos-pago-aduanas.com, no correos.es
Número de seguimiento falso o aleatorio
Importe pequeño para que no dudes en pagar

Email falso — Netflix / Suscripción

Dominio falso: netflix-espana.com, no netflix.com
Miedo a perder el acceso para crear urgencia
Diseño puede ser copia exacta del original
Apretón de manos frente a caja fuerte de banco español
Verificación

¿Cómo verificar la autenticidad?

Antes de hacer clic en cualquier enlace o facilitar datos, sigue estas comprobaciones para determinar si la comunicación es legítima o un intento de phishing.

  • 🔍 Comprueba el remitente completo: el nombre puede ser falso, pero el dominio del email revela la verdad (p.ej. @bbva.es vs @bbva-online.net)
  • 🔗 Pasa el cursor por los enlaces: sin hacer clic, comprueba la URL real que aparece en la barra inferior del navegador
  • 🔒 Busca el candado https://: aunque es necesario, no garantiza que la web sea legítima — los phishers también usan SSL
  • 📞 Llama directamente al banco: usa el número del reverso de tu tarjeta o el oficial de la web, nunca el del propio mensaje
  • 🏦 Accede directamente: escribe la dirección del banco en el navegador en lugar de usar el enlace del correo

✅ Regla de oro

Ningún banco, organismo público ni empresa legítima te pedirá tu contraseña, PIN o código de seguridad por email, SMS o teléfono. Si alguien lo hace, es un fraude.

Cuerdas de arpa entrelazadas con billetes de euro
Contexto español

El phishing bancario en España

España es uno de los países europeos más afectados por el phishing bancario. Los bancos más suplantados son BBVA, Banco Santander, CaixaBank e ING, que concentran el 78% de todos los casos registrados.

El organismo más imitado fuera del sector bancario es la Agencia Tributaria (AEAT), especialmente en las campañas de primavera coincidiendo con la declaración de la renta.

  • 📊 El INCIBE gestionó más de 83.000 incidentes de phishing en 2024
  • 📅 Los picos de ataques coinciden con la Renta (abril-junio) y el Black Friday
  • 💸 Pérdida media por víctima de phishing bancario: 2.800€
  • 📱 El smishing (SMS) creció un 340% entre 2022 y 2024

⚠ Campañas activas más frecuentes en 2025

  • SMS falsos de BBVA sobre "acceso desde dispositivo desconocido"
  • Emails de la AEAT sobre devoluciones fiscales pendientes
  • SMS de Correos sobre paquetes retenidos con pago de aduana
  • Llamadas falsas del "servicio antifraude" del Santander
Plan de acción

¿Hiciste clic en un enlace de phishing? Actúa ahora

No entres en pánico. Sigue estos pasos en orden para minimizar el daño y proteger tus cuentas.

1

No introduzcas ningún dato

Si abriste el enlace pero no escribiste nada, el riesgo es menor. Cierra la pestaña inmediatamente sin rellenar ningún formulario ni hacer clic en nada más dentro de la página.

💡 Actúa en los primeros 60 segundos
2

Cambia tus contraseñas de inmediato

Si introdujiste credenciales, cambia tu contraseña bancaria desde la app oficial o accediendo directamente desde el navegador (sin usar el enlace del email). Haz lo mismo con el email asociado a tu banco.

💡 Usa contraseñas únicas para cada servicio
3

Activa la autenticación en dos pasos (2FA)

Habilita la verificación en dos pasos en tu cuenta bancaria y en tu correo electrónico. Así, aunque el atacante tenga tu contraseña, necesitará también tu teléfono para acceder.

4

Llama a tu banco

Contacta con el servicio de atención al cliente de tu banco usando el número oficial (reverso de tu tarjeta). Informa de lo ocurrido y solicita que monitoricen tu cuenta. Si hay cargos no autorizados, solicita su cancelación.

💡 Guarda referencia de la llamada (número y hora)
5

Analiza tu dispositivo

Si descargaste algún archivo o habilitaste macros, ejecuta un análisis completo con tu antivirus. Considera usar Malwarebytes (gratuito) como segunda opinión. En casos graves, restaura el sistema operativo.

6

Denuncia el phishing

Reporta el incidente a la Policía Nacional (online en policia.es), al INCIBE (incibe.es) y reenvía el email o screenshot del SMS al banco afectado y al OSI (osi.es). Tu denuncia puede proteger a otras personas.

💡 INCIBE tiene una línea de ayuda: 017 (gratuita)
Consejos de protección

Cómo protegerte del phishing

Medidas preventivas organizadas por área para que puedas implementarlas hoy.

  • Activa el filtro antispam de tu proveedor de email (Gmail, Outlook, etc.)
  • Nunca abras archivos adjuntos de remitentes desconocidos
  • Verifica el dominio del remitente con atención: no te fíes solo del nombre visible
  • Configura SPF, DKIM y DMARC si tienes dominio propio o eres empresa
  • Usa una dirección de email diferente para banca online y otra para servicios de terceros
  • Desconfía de cualquier SMS que incluya un enlace, especialmente si pide datos
  • Usa aplicaciones de filtrado de SMS como "Mensajes" de Google con protección contra spam
  • Registra tu número en la Lista Robinson para reducir comunicaciones comerciales no deseadas
  • Si recibes un SMS bancario, accede a la app oficial del banco para comprobar si hay realmente algún problema
  • Instala extensiones antiphishing como Google Safe Browsing (activo por defecto en Chrome/Firefox) o Bitdefender TrafficLight
  • Usa un gestor de contraseñas: no autocompletará tus credenciales en webs falsas
  • Activa las alertas de seguridad de tu navegador
  • Guarda en favoritos las webs de tus bancos para no escribirlas y evitar errores tipográficos
  • Mantén el navegador siempre actualizado
  • Activa las notificaciones por SMS o push para cada movimiento en tu cuenta
  • Habilita la autenticación en dos pasos (2FA) en todas tus cuentas bancarias y emails
  • Establece límites diarios de transferencia y compra online en tu banco
  • Revisa tus movimientos al menos una vez por semana
  • Nunca accedas a tu banca online desde redes WiFi públicas sin VPN
  • Habla con tus familiares mayores sobre cómo son estos fraudes y muéstrales ejemplos reales
  • Establece una "palabra clave de seguridad" familiar para llamadas sospechosas
  • Configura en sus dispositivos extensiones de filtrado y antivirus activos
  • Recuérdales: si tienen dudas, que te llamen antes de hacer nada
  • Consulta los recursos gratuitos del INCIBE para mayores en incibe.es
¿Tienes dudas?

¿Crees que has recibido un phishing?

Consúltanos sin compromiso. Nuestro equipo puede ayudarte a analizar el mensaje sospechoso y orientarte sobre qué pasos dar.

Consultar ahora Ver todos los fraudes