SecuryBlack
Blog/Phishing

Phishing: qué es, cómo detectarlo y cómo protegerte

·8 min de lectura
Phishing: qué es, cómo detectarlo y cómo protegerte

El phishing es el ataque más común en internet. Según datos recientes, más del 90% de los ciberataques comienzan con un email de phishing. Y no, no son solo esos correos mal escritos de un "príncipe nigeriano". Los ataques modernos son sofisticados, personalizados y difíciles de detectar.

¿Qué es el phishing?

El phishing es una técnica de ingeniería social en la que un atacante se hace pasar por una entidad de confianza (tu banco, una red social, una empresa de envíos) para engañarte y conseguir que:

  • Introduzcas tus credenciales en una página falsa
  • Descargues un archivo malicioso
  • Envíes información sensible por email
  • Realices una transferencia bancaria

El nombre viene de "fishing" (pescar): el atacante lanza un cebo y espera a que la víctima pique.

Tipos de phishing

Email phishing (el más común)

Emails masivos que imitan a empresas conocidas. Usan logos reales, dominios similares y mensajes urgentes.

Ejemplo: "Tu cuenta de correo será bloqueada en 24 horas. Haz clic aquí para verificar tu identidad."

Spear phishing (dirigido)

Ataques personalizados contra una persona concreta. El atacante investiga a la víctima y usa información real para hacer el email más creíble.

Ejemplo: "Hola María, soy de contabilidad. ¿Puedes aprobar esta factura que adjunto? Es urgente."

Smishing (SMS)

Mensajes de texto fraudulentos. Muy comunes con supuestos envíos de paquetes o alertas bancarias.

Ejemplo: "Correos: Tu paquete no se ha podido entregar. Confirma tu dirección: [enlace malicioso]"

Vishing (llamada telefónica)

Llamadas donde alguien se hace pasar por tu banco, soporte técnico o una institución pública.

Cómo detectar un email de phishing

Presta atención a estas señales:

  1. Urgencia extrema — "Tienes 24 horas para actuar" o "Tu cuenta será cancelada"
  2. Dominio sospechoso — El email viene de soporte@bancco-santander.com en vez de @bancosantander.es
  3. Errores gramaticales — Aunque los ataques modernos son cada vez más correctos
  4. Enlaces disfrazados — Pasa el ratón por encima (sin hacer clic) para ver la URL real
  5. Archivos adjuntos inesperados — Especialmente .exe, .zip o documentos con macros
  6. Solicitudes inusuales — Tu banco nunca te pedirá la contraseña por email
  7. Saludo genérico — "Estimado cliente" en vez de tu nombre real

¿Por qué el phishing funciona tan bien?

Los ataques de phishing explotan la psicología humana, no la tecnología:

  • Miedo — "Tu cuenta ha sido comprometida"
  • Urgencia — "Actúa en las próximas 2 horas"
  • Autoridad — "Mensaje del CEO"
  • Curiosidad — "Mira esta foto tuya"
  • Codicia — "Has ganado un premio"

Cómo protegerte

  1. Nunca hagas clic en enlaces de emails sospechosos — Ve directamente al sitio web escribiendo la URL en el navegador.
  2. Activa 2FA en todas tus cuentas — Así, aunque obtengan tu contraseña, no podrán acceder.
  3. Verifica el remitente — Comprueba el dominio del email, no solo el nombre que aparece.
  4. Usa un gestor de contraseñas — No autocompleta en sitios falsos, lo que te alerta del fraude.
  5. Mantén tu software actualizado — Navegadores y antivirus detectan muchos sitios de phishing.
  6. Comprueba tu exposición — Si tu email ha sido filtrado, eres un objetivo más probable. Compruébalo en SecuryBlack.

¿Qué hacer si has caído en un phishing?

  1. Cambia la contraseña inmediatamente del servicio afectado
  2. Cambia la contraseña en otros servicios si usabas la misma
  3. Contacta con tu banco si has compartido datos financieros
  4. Activa 2FA donde no lo tuvieras
  5. Denuncia ante la Policía Nacional o la Guardia Civil (en España: INCIBE)

Los emails de phishing son más efectivos cuando usan datos reales tuyos obtenidos de filtraciones. Comprueba si tu email ha sido filtrado para saber tu nivel de riesgo.