No muerdas el anzuelo: cómo protegerte del phishing o fraude por suplantación
El phishing (fraude por suplantación o engaño de credenciales) es un tipo de estafa digital en la que alguien se hace pasar por una empresa o servicio de confianza (como tu banco, tu red social, tu plataforma de streaming) para engañarte y conseguir que entregues tus contraseñas o datos personales, utilizando la ingeniería social. El nombre viene del inglés fishing (pescar): el atacante lanza un anzuelo y espera a que alguien pique. Ese anzuelo suele ser un correo, un SMS o un enlace que parece legítimo pero te lleva a una página falsa diseñada para robarte la información. Y funciona, sobre todo, porque juega con las prisas y la confianza.
Este intento de estafa sigue siendo uno de los ataques más frecuentes y efectivos en el medio online. Su éxito no se debe a una tecnología sofisticada, sino a algo mucho más sencillo: explotar la confianza y los descuidos del usuario. El canal más habitual es el correo electrónico, aunque también llega por SMS (smishing), llamadas telefónicas (vishing) o incluso anuncios en buscadores.
Con unos pocos hábitos bien interiorizados, puedes blindarte frente a la gran mayoría de estas campañas. Su objetivo siempre es el mismo: llevarte a una página falsa que imita a la real y conseguir que introduzcas tu usuario, contraseña o información bancaria.
La regla de oro: revisa la URL antes de escribir nada
Antes de introducir cualquier credencial, detente un momento y examina la barra de direcciones del navegador o del correo electrónico recibido. Comprueba que estás en el dominio oficial del servicio y desconfía de cualquier inicio de sesión que te resulte extraño o inesperado. Este simple gesto puede salvarte de la mayoría de los ataques.
Los atacantes emplean dominios diseñados para engañar a primera vista. Algunos trucos habituales son:
- Subdominios trampa:
login.banco.com.soporte-seguro.net(el dominio real eslogin.banco.com, nosoporte-seguro.net.) - Caracteres similares:
paypaI.com(con una «i» mayúscula en lugar de una «l») obancо.es(con una «о» cirílica). - Guiones y palabras extra:
banco-seguro-login.comen lugar debanco.com. - HTTP sin cifrado: si la URL no empieza por
https://y no aparece el candado, huye!
Otras señales de alerta que no debes ignorar
Más allá de la URL, hay indicios que deben ponerte en guardia:
En el correo o mensaje que recibes:
- Urgencia artificial («Tu cuenta será bloqueada en 24 horas«).
- Errores ortográficos o gramaticales llamativos.
- Remitente con un dominio raro o ligeramente diferente al oficial.
- Archivos adjuntos no solicitados.
En la página a la que te dirigen:
- Formularios de inicio de sesión en páginas que nunca te los pidieron antes.
- Diseño que «no termina de cuadrar» con el sitio que conoces.
- Ausencia de elementos habituales como el menú de navegación o el pie de página.
Buenas prácticas para reducir el riesgo
- Accede siempre desde marcadores o escribiendo la URL directamente. Nunca hagas clic en el enlace de un correo sospechoso para iniciar sesión.
- Activa la autenticación en dos factores (2FA). Aunque roben tu contraseña, necesitarán el segundo factor para entrar.
- Usa un gestor de contraseñas. Estos programas solo autocompletan en el dominio real; si la página es falsa, no rellenarán nada.
- Mantén el navegador y el sistema actualizados. Muchos navegadores modernos incluyen protección antiphishing integrada.
- Desconfía de lo inesperado. Si no pediste restablecer tu contraseña ni esperabas ningún email de tu banco, ya tienes un motivo para sospechar.
En resumen
El phishing funciona porque apuesta por la prisa y la falta de atención. La mejor defensa es tomarte dos segundos antes de actuar: lee la URL, confirma que es el sitio correcto y, si algo no encaja, no introduzcas ningún dato. La combinación de esa cautela con el 2FA y un gestor de contraseñas convierte un ataque que antes era sencillo en uno prácticamente imposible de llevar a cabo con éxito.
Ante la duda, no hagas clic. Es más fácil verificar que recuperarse de un robo de credenciales.
Un ejemplo real:
