Qué es el phishing y cómo evitarlo (guía completa 2026)
Qué es el phishing
El phishing es una técnica de engaño donde un atacante se hace pasar por una entidad de confianza (tu banco, Correos, Amazon, Netflix, la Seguridad Social) para robarte contraseñas, datos bancarios o información personal. El nombre viene del inglés fishing (pesca) — lanzan el anzuelo y esperan que alguien pique.
En 2026, el phishing es la forma más común de ciberataque y la causa principal de robo de cuentas y fraude bancario. Los atacantes usan IA para crear correos cada vez más convincentes y personalizados.
Tipos de phishing
- Email phishing: correo masivo haciéndose pasar por banco, Correos, Hacienda, Netflix…
- Spear phishing: dirigido a una persona específica usando información personal para parecer legítimo
- Smishing: por SMS (‘Tu paquete está retenido. Accede aquí’)
- Vishing: por llamada telefónica (‘Soy de Microsoft, tu PC tiene un virus’)
- Quishing: a través de códigos QR en emails, carteles o facturas
Cómo reconocer un phishing: señales de alerta
- Urgencia artificial: ‘Tu cuenta se bloqueará en 24h’, ‘Actúa ahora’
- URL sospechosa: amazon-verificacion.com, paypal-seguridad.net — el dominio real sería amazon.com o paypal.com
- Dirección del remitente falsa: [email protected] en vez de [email protected]
- Errores gramaticales: aunque la IA ha mejorado mucho los textos de phishing, aún hay descuidos
- Solicitar datos sensibles: ningún banco ni empresa legítima te pedirá la contraseña por email
- Adjuntos inesperados: facturas, pedidos o documentos que no esperabas
Cómo verificar si un enlace es seguro
Antes de hacer clic en cualquier enlace sospechoso:
- Pasa el cursor sobre el enlace sin hacer clic — verás la URL real en la barra inferior del navegador
- Copia el texto de la URL y búscala en virustotal.com para análisis en múltiples servicios de seguridad
- Para acceder a tu banco, escribe siempre la URL directamente en el navegador, nunca desde un enlace
- Si tienes dudas, llama a la empresa por teléfono usando el número oficial de su web
Qué hacer si has caído en un phishing
- No entres en pánico — actúa rápido pero con calma
- Cambia la contraseña de inmediato desde otro dispositivo o red
- Activa el 2FA si no lo tenías ya
- Avisa a tu banco si proporcionaste datos bancarios — pide bloqueo preventivo
- Escanea el dispositivo con Malwarebytes si hiciste clic en un adjunto o enlace
- Denuncia a la Policía Nacional (en España) vía su web o presencialmente
¿Por qué el phishing parece tan real en 2026?
La IA generativa permite crear correos personalizados con tu nombre, tu banco real y detalles de tu actividad reciente (obtenidos de brechas de datos anteriores). Siempre verifica la URL del remitente y el dominio del enlace, independientemente de lo convincente que parezca el mensaje.
¿El 2FA protege contra el phishing?
Parcialmente. El 2FA por SMS o app protege si el atacante solo tiene tu contraseña. No protege contra el phishing en tiempo real (attacker-in-the-middle) donde el atacante solicita tu código 2FA en el momento. Las llaves de hardware (FIDO2/passkeys) sí protegen completamente.
¿Me pueden infectar con solo abrir un correo?
No si solo lo lees. El riesgo es hacer clic en enlances o abrir adjuntos. Los clientes de correo modernos (Gmail, Outlook) tienen protecciones que evitan la ejecución de código en el propio correo.
Conclusión
La mejor defensa contra el phishing es la sospecha activa: antes de hacer clic en cualquier enlace de un correo o SMS, verifica el dominio real del remitente y la URL destino. Si algo te pide actuar urgentemente, es la señal más clara de que algo no va bien.
