Cómo detectar un phishing y protegerte de estafas online

Portada » General » Cómo detectar un phishing y protegerte de estafas online

Abres el correo, ves un mensaje urgente de tu banco o de Microsoft y, casi sin pensarlo, vas a pulsar en el enlace. Es la escena cotidiana con la que juegan los ciberdelincuentes para colarte un phishing y, con él, robarte dinero, credenciales o incluso dejar tu empresa bloqueada con malware y otras vulnerabilidades informáticas. Aunque cada vez hay más filtros y sistemas de seguridad, el eslabón débil sigue siendo la persona que está delante de la pantalla.

Dominar las técnicas para detectar un phishing ya no es algo “solo de informáticos”, es una habilidad básica de supervivencia digital. En este artículo encontrarás una guía muy completa: qué es exactamente el phishing, cómo funcionan los ataques paso a paso, cuáles son las señales que delatan un fraude, qué pueden hacer las empresas a nivel técnico y organizativo, qué tecnologías de detección existen y cómo reaccionar si tú o tu organización habéis caído en la trampa.

Qué es el phishing y por qué sigue siendo tan peligroso

El phishing es una técnica de engaño que se basa en suplantar a una entidad legítima para robar información o infectar dispositivos. Lo habitual es que llegue en forma de correo electrónico, pero también se ve en SMS, llamadas telefónicas, mensajes de redes sociales o chats corporativos; es un riesgo que forma parte de la seguridad informática. El estafador se hace pasar por tu banco, una administración pública, una empresa de mensajería, una red social o incluso por tu propio jefe.

El objetivo principal de estos mensajes es conseguir datos sensibles o conseguir que ejecutes acciones que te perjudiquen: contraseñas, números de tarjeta, códigos de verificación, documentos de identidad, instalación de software malicioso, aprobación de pagos o transferencias… Para ello, se apoyan en tácticas de ingeniería social, es decir, manipulación psicológica: urgencia, miedo, autoridad, curiosidad o promesas de recompensas.

La eficacia del phishing se debe a una mezcla de volumen masivo y personalización inteligente. Los atacantes envían millones de correos automáticos, pero también investigan en redes sociales o webs públicas para personalizar mensajes que parezcan creíbles: usan tu nombre, mencionan a tu empresa, copian logos, firmas o diseños exactos de servicios como Microsoft 365, banca online o plataformas de pago.

Además, el phishing es la puerta de entrada de ataques mucho más graves, como el ransomware o el robo de identidad a gran escala. Una sola credencial robada puede permitir a un atacante entrar en la red interna de una empresa, moverse lateralmente, robar bases de datos completas, cifrar servidores o usar el buzón comprometido para engañar a proveedores y clientes.

Cómo funciona un ataque de phishing paso a paso

Detrás de un correo de phishing hay un proceso pensado al milímetro para maximizar las probabilidades de que hagas clic. Entender estas fases te ayuda a desmontar el truco en cuanto veas el mensaje.

1. Preparación y suplantación de identidad
En la primera fase, el atacante decide a quién va a imitar: un banco concreto, un proveedor de la empresa, un servicio en la nube, una administración o un directivo (fraude del CEO). Recolecta información pública (web corporativa, LinkedIn, notas de prensa) como parte de los ataques de reconocimiento y copia elementos visuales: logotipos, colores, pie de firma, formatos de factura, plantillas de notificación, etc.

También registra dominios muy parecidos al real (typosquatting) para que, de un vistazo rápido, parezcan auténticos. Por ejemplo, m1crosoft.com cambiando la letra “i” por el número “1”, o un gmail que se hace pasar por un soporte oficial. El propósito es que el usuario vea algo familiar y baje la guardia.

2. Envío del mensaje fraudulento
Una vez montada la infraestructura, se lanzan los mensajes. El canal más habitual sigue siendo el correo electrónico, pero no es el único: SMS (smishing), llamadas de voz automatizadas o dirigidas (vishing), mensajes en redes sociales, WhatsApp, Telegram o chats corporativos como Teams o Slack.

El contenido del mensaje siempre persigue que hagas algo concreto que favorece al atacante: pulsar en un enlace, descargar un archivo adjunto, contestar con información, escanear un código QR o aprobar una operación económica. La redacción suele jugar con frases del estilo “actividad sospechosa detectada”, “tu cuenta será suspendida”, “último aviso” o “multa pendiente”.

3. Engaño y recopilación de datos o ejecución de malware
Cuando pulsas en el enlace, lo normal es que llegues a una web falsa que imita casi al pixel la página legítima de acceso o de pago. Ahí te piden usuario, contraseña, PIN, datos de tarjeta o incluso el código de autenticación de múltiple factor. Otras veces, el enlace descarga directamente un archivo malicioso (por ejemplo, un .docm o .xlsm que te pide “habilitar macros”).

Si el ataque se basa en archivos adjuntos (facturas falsas, nóminas, justificantes…), el objetivo es que abras el documento y ejecutes el contenido incrustado. A partir de ahí, puede instalarse malware que robe más datos, se propague por la red o abra una puerta trasera para el atacante.

4. Uso de las credenciales robadas y consecuencias
Con los datos en la mano, el ciberdelincuente pasa a la acción: entra en tu correo, banca online, CRM, almacenamiento en la nube o paneles de administración. Pueden vaciar cuentas, desviar transferencias, cambiar el IBAN de un proveedor en tu ERP, suplantar tu buzón para nuevas estafas o lanzar un ransomware desde dentro. Muchas veces los datos extraídos pueden acabar en la venta de datos en la dark web como paso posterior al robo.

Las consecuencias van desde cargos fraudulentos puntuales hasta brechas masivas de datos, sanciones regulatorias, pérdidas millonarias y daños reputacionales muy difíciles de reparar. Casos como el ataque a Sony Pictures o campañas masivas contra usuarios de Facebook han demostrado hasta dónde puede llegar el impacto de un phishing bien orquestado.

Señales clave para detectar un phishing a simple vista

La buena noticia es que, aunque los atacantes se vuelven más finos, casi todos los phishing dejan pistas reconocibles. Si acostumbras el ojo a buscar ciertas señales, reducirás muchísimo el riesgo de picar.

Direcciones de correo sospechosas o dominios que no cuadran
Lo primero es mirar el remitente real, no solo el nombre que aparece en grande; si tienes dudas, rastrear el origen de los emails ayuda a comprobar su veracidad. Un correo que dice venir de tu banco, pero llega desde un Gmail o desde un dominio raro, es casi seguro un fraude. También hay que fijarse en pequeños cambios en el dominio oficial: letras cambiadas, números que sustituyen letras, extensiones desconocidas.

En empresas es muy útil mantener un listado de dominios oficiales de bancos, proveedores críticos y servicios en la nube para poder compararlos rápidamente. Si algo no coincide al 100 %, ni caso al mensaje.

Enlaces falsos, URL extrañas y acortadores
Otra prueba clave es la del ratón: pasa el cursor sobre el enlace sin hacer clic y mira la dirección completa que aparece. Si el correo dice ser de una plataforma conocida y el dominio que ves no guarda relación, huele a phishing. Especialmente sospechosos son dominios con palabras añadidas tipo -seguridad, -verificacion, -soporte, o terminaciones raras (.top, .xyz, etc.).

Desconfía también de los enlaces acortados (bit.ly, tinyurl y similares) si no conoces el origen. Pueden usarse legítimamente, pero también sirven para esconder direcciones maliciosas. Cuando tengas dudas, entra tú mismo en la web legítima escribiendo la dirección a mano en el navegador en lugar de usar el enlace recibido.

Mensajes con urgencia extrema o tono alarmista
Uno de los trucos más viejos del phishing es ponerte nervioso. “Tu cuenta será bloqueada en 1 hora”, “último aviso antes de acciones legales”, “pago pendiente, responda inmediatamente”… Si un mensaje te genera prisa o miedo, para, respira y sospecha. Las entidades serias casi nunca te obligan a tomar decisiones críticas sin margen de maniobra ni por un único correo inesperado.

Si tienes la mínima duda, contacta por canales oficiales que tú elijas (teléfono de la web, app oficial, etc.), nunca llamando a números o pulsando en enlaces del propio correo sospechoso.

Errores de redacción, tono raro y saludos genéricos
Los delincuentes ya no escriben como hace diez años, pero aún se les escapan detalles. Correos con frases forzadas, estructuras raras, mayúsculas donde no tocan o mezclas de tratamientos pueden delatar una traducción automática o un modelo de IA mal ajustado. También son típicos los saludos genéricos tipo “Estimado cliente” cuando se trata de servicios que normalmente se dirigen a ti por tu nombre.

El aspecto visual es otra pista: logotipos pixelados, tipografías que no encajan con la imagen de marca, pies de firma incompletos o con información incoherente. Ninguna de estas señales es definitiva por sí sola, pero sumadas deberían ponerte en modo alerta.

Solicitudes directas de datos personales o credenciales
Regla de oro: ningún banco, administración o gran proveedor serio te pide contraseñas, PIN o códigos de autenticación por correo o SMS. Tampoco envía formularios improvisados pidiendo copias de DNI, tarjetas o selfies de verificación sin que tú lo hayas solicitado desde su plataforma oficial.

Si un mensaje te exige confirmar datos sensibles a través de un enlace o archivo adjunto, trátalo como un phishing hasta que demuestre lo contrario. Accede por tu cuenta al portal oficial y comprueba si de verdad hay algún aviso o trámite pendiente.

Archivos adjuntos inesperados o con extensiones peligrosas
Muchos ataques combinan el phishing con la instalación de malware. Adjuntos en formatos comprimidos (.zip, .rar) o ejecutables (.exe) son una bandera roja casi automática, sobre todo si llegan sin que los esperes. También hay que desconfiar de documentos de Office que pidan “habilitar macros” o “activar contenido” para poder ver la información.

Si el remitente es un proveedor real pero el formato del archivo y el tono del mensaje no encajan con lo que suele enviarte, verifica por otra vía antes de abrir nada. Una llamada de dos minutos puede ahorrarte un desastre.

Mensajes que parecen venir de compañeros o jefes
Los ataques de Business Email Compromise (BEC) son especialmente peligrosos porque suplantan a personas de confianza dentro de la empresa. Un clásico es el “fraude del CEO”: alguien de administración recibe un correo urgente del director general pidiendo una transferencia confidencial o la compra de tarjetas regalo.

La clave para detectarlos está en fijarse en pequeños detalles: un dominio con una letra cambiada, una firma distinta a la habitual, un tono excesivamente seco o, al revés, demasiado formal. Ante cualquier petición económica o de información delicada, establece como norma interna validar siempre por un canal alternativo (llamada, mensaje interno) antes de ejecutar nada.

Mensajes incongruentes con tu actividad real
Otra pista bastante obvia: si te llega una factura de un servicio que no tienes, un aviso de un paquete que nunca pediste o un supuesto acceso sospechoso a una cuenta que no utilizas, es casi seguro que estás ante un phishing. Muchísimas campañas se basan en este tipo de ganchos genéricos.

Ante cualquier notificación que no encaje con tu día a día, es mejor ignorar y, si te quedas con la duda, consultar directamente con la entidad a través de sus canales oficiales.

Tendencias actuales: IA, QR y nuevas formas de phishing

El ecosistema del phishing no se queda quieto; evoluciona al ritmo de la tecnología y de los sistemas de defensa. Lo que hace unos años se detectaba solo con ver tres faltas de ortografía hoy puede ser un correo impecable redactado por inteligencia artificial.

Quishing: el phishing que llega a través de códigos QR
A medida que los filtros de correo mejoran analizando texto y enlaces, muchos atacantes han empezado a usar imágenes con códigos QR incrustados. Recibes un correo aparentemente legítimo que te invita a escanear un QR para “verificar tu doble factor”, “descargar tu factura” o “acceder al panel seguro”.

Al escanear el código con tu móvil, sales del entorno más protegido de la red corporativa y accedes a una web maliciosa desde tu dispositivo personal, donde quizá no tienes la misma protección ni supervisión. La regla aquí es sencilla: no escanear QR que lleguen por correo si no estás completamente seguro del origen.

Correos escritos con inteligencia artificial
Herramientas avanzadas de IA generativa permiten redactar mensajes en un español casi perfecto, con el tono corporativo adecuado y sin las típicas pistas de antaño. Ya no verás tanto “yo ser su banco”, sino textos pulidos, con fórmulas de cortesía estándar y estructuras muy parecidas a las comunicaciones reales.

Esto obliga a fijarse aún más en los elementos técnicos y de contexto (dominio, enlaces, coherencia con tu actividad, canales habituales) y no confiar solo en la gramática como detector. Del mismo modo, estos modelos se usan para generar webs de phishing muy creíbles y variaciones constantes de las campañas para esquivar listas negras.

Llamadas automatizadas y campañas combinadas
No todo el phishing va por escrito. También hay campañas de llamadas telefónicas que se hacen pasar por bancos, soporte técnico o administraciones públicas, en las que una locución o un falso operador te pide que te identifiques, que instales software de control remoto o que dictes códigos recibidos por SMS.

A veces se combinan varios canales: primero un correo, luego un SMS de “confirmación” y, si respondes, una llamada de seguimiento. Este juego de varios niveles busca dar más apariencia de legitimidad, pero el truco sigue siendo el mismo: forzarte a dar datos o a realizar acciones que favorecen al atacante.

Medidas técnicas y organizativas para protegerte del phishing

Además de entrenar el ojo, es fundamental contar con una serie de medidas técnicas y de procesos que reduzcan la probabilidad de éxito de un ataque. Aquí entran en juego tanto herramientas de seguridad como hábitos internos; especialmente importante en entornos de ciberseguridad para pymes.

Formación y concienciación del personal
Ningún filtro de correo sustituye a una plantilla bien formada. Programar sesiones breves y periódicas, con ejemplos reales y simulaciones, ayuda a que el equipo identifique las señales de alerta y sepa cómo reaccionar. Hay que insistir en no habilitar macros en documentos desconocidos, no compartir credenciales y reportar siempre cualquier mensaje sospechoso.

Uso de autenticación multifactor (MFA)
Incluso si un atacante consigue una contraseña, la autenticación en múltiples pasos puede frenarlo. Es recomendable activar MFA en todas las cuentas críticas y, siempre que se pueda, optar por métodos resistentes al phishing como aplicaciones de autenticación, llaves U2F o notificaciones push verificadas, en lugar de depender solo de SMS.

Implementación de filtros y pasarelas seguras de correo
En entornos corporativos, es clave desplegar soluciones de filtrado de correo avanzadas. Estas herramientas analizan remitentes, reputación de dominio, contenido, adjuntos y URLs, y pueden ejecutar archivos en entornos aislados (sandbox) para detectar comportamiento malicioso.

Configurar correctamente los registros SPF, DKIM y DMARC en el dominio corporativo ayuda además a evitar suplantaciones y a que otros servidores identifiquen mejor correos falsos enviados en tu nombre.

Políticas de verificación interna para solicitudes sensibles
Muchas estafas se apoyan en cambios de IBAN, órdenes de transferencia repentina o envío de ficheros críticos. Establecer políticas internas de “doble verificación” por un canal alternativo para este tipo de operaciones bloquea gran parte de los fraudes económicos. Por ejemplo, que cualquier cambio de cuenta bancaria requiera confirmación telefónica a un número verificado y aprobación de un segundo responsable.

Plan de respuesta ante incidentes
Cuando algo sale mal, el tiempo es oro. Disponer de un procedimiento claro para reportar incidentes, aislar equipos, resetear credenciales, avisar a terceros afectados y restaurar servicios minimiza tanto el impacto técnico como el legal y reputacional. Practicar simulacros un par de veces al año ayuda a que, llegado el momento, cada persona sepa qué hacer sin improvisar.

Técnicas modernas de detección de phishing

Más allá de las buenas prácticas, las organizaciones cuentan cada vez con soluciones específicas para identificar correos de phishing antes de que lleguen al usuario. Estas tecnologías combinan análisis automático, inteligencia artificial y colaboración entre empresas.

Detección de phishing con inteligencia artificial (IA y aprendizaje automático)
Los sistemas basados en IA analizan enormes volúmenes de correos y sitios web en busca de patrones. Estos modelos tienen en cuenta factores como la redacción del mensaje, la estructura de las URLs, la presencia de expresiones coactivas, la similitud con campañas ya conocidas y el contexto del usuario.

En función de ese análisis, calculan un nivel de riesgo y pueden bloquear, poner en cuarentena o etiquetar el correo como sospechoso. La ventaja es que aprenden de nuevos ataques y se adaptan a tácticas cambiantes, algo que las reglas estáticas no pueden hacer solas.

Análisis basado en el comportamiento
Otra línea de defensa se centra en lo que ocurre después del posible compromiso. Las herramientas de análisis de comportamiento monitorizan actividades inusuales en cuentas y dispositivos: accesos desde ubicaciones atípicas, descargas masivas de datos, creación de reglas de reenvío extrañas en el correo, movimientos internos irregulares, etc.

Si detectan patrones que cuadran con el uso de credenciales robadas o la ejecución de malware, pueden disparar alertas, forzar reautenticaciones o incluso bloquear automáticamente determinadas acciones. Es un enfoque muy útil para limitar el daño cuando un phishing ha conseguido colarse.

Filtrado y análisis de URLs
El filtrado de URL se centra en los enlaces que viajan en los correos o mensajes. Estas soluciones contrastan las direcciones con bases de datos de sitios maliciosos conocidos, analizan similitudes con dominios legítimos (lookalike) y evalúan la estructura de la URL en busca de elementos sospechosos.

En muchos casos, se “abren” las URLs en un entorno seguro para analizar la página de destino antes de permitir que el usuario acceda. Así, aunque el enlace no esté aún en ninguna lista negra, se pueden detectar formularios fraudulentos o código malicioso.

Escaneo profundo de correo y archivos adjuntos
Las soluciones avanzadas de correo no se limitan a mirar el texto. Escanean los adjuntos en busca de macros peligrosas, scripts ocultos, comportamientos de ransomware o troyanos bancarios. Pueden ejecutar el archivo en una máquina virtual aislada para observar lo que intenta hacer: conectarse a servidores de mando y control, cifrar ficheros, modificar el registro, etc.

Si el adjunto se comporta de forma sospechosa, se bloquea antes de que llegue a la bandeja de entrada o se marca con advertencias muy visibles, reduciendo la probabilidad de que alguien lo abra sin pensarlo.

Colaboración e inteligencia compartida sobre amenazas
Los ataques de phishing suelen formar parte de campañas a gran escala que afectan a muchas organizaciones. Compartir indicadores de compromiso (URLs, dominios, IP, hashes de archivos, plantillas de correo) entre empresas y proveedores de seguridad ayuda a detectar y neutralizar más rápido los nuevos ataques.

Las soluciones antiphishing modernas suelen integrarse con plataformas de inteligencia de amenazas para actualizarse continuamente y ofrecer protección frente a campañas que quizá aún nadie ha visto en tu entorno concreto.

Qué hacer si sospechas de un mensaje o ya has caído en un phishing

Saber reaccionar a tiempo cuando recibes o incluso respondes a un phishing es tan importante como saber detectarlo. Una actuación rápida puede marcar la diferencia entre un susto y una brecha grave.

Cómo actuar ante un correo o mensaje sospechoso
Si algo no te cuadra en un correo, SMS o mensaje en Teams o similar, lo primero es mantener la calma. No hagas clic en enlaces ni abras adjuntos hasta haber revisado bien remitente, dominio, texto y contexto. Aplica las comprobaciones comentadas: pasar el ratón sobre los enlaces, buscar errores, evaluar si tiene sentido con tu actividad.

Si aparenta venir de una empresa o administración legítima, entra por tu cuenta en la web oficial desde el navegador o llama al número que tú conoces. Nunca uses teléfonos o enlaces proporcionados en el mensaje dudoso. Y si te llega algo raro “de parte” de un conocido, contacta por otro canal para verificar.

Siempre que tu herramienta de correo o plataforma tenga opción de “informar de phishing”, úsala. En Outlook, por ejemplo, puedes reportar el mensaje para que se entrene mejor el filtro y, de paso, el equipo de seguridad tenga visibilidad de la campaña.

Pasos urgentes si crees que has caído en la trampa
Si ya has hecho clic, introducido credenciales o abierto un adjunto sospechoso, toca actuar con rapidez:

• Desconecta el equipo de la red: quita el cable de red o desactiva el Wi‑Fi para frenar una posible propagación de malware o la exfiltración de más datos.
• Cambia inmediatamente las contraseñas afectadas y las que compartan esa misma clave: hazlo desde un dispositivo que sepas que está limpio (por ejemplo, tu móvil con conexión de datos independiente).
• Activa o refuerza la autenticación multifactor en los servicios implicados, si aún no lo tenías.
• Informa al departamento de IT o al proveedor de soporte y facilítales el correo o mensaje original para su análisis. No lo borres hasta que te lo indiquen.
• Ejecuta un escaneo completo con un antivirus o solución EDR actualizada. Si se detecta software malicioso, puede ser necesario aislar el equipo y plantear una reinstalación.
• Comprueba reglas de reenvío y accesos recientes en tu correo, ya que muchos atacantes configuran reenviados automáticos para espiar tus comunicaciones.
• Si diste datos bancarios, contacta sin demora con tu entidad para bloquear tarjetas, revisar movimientos y activar protocolos antifraude.
• En entorno empresarial, documenta el incidente (fechas, acciones realizadas, sistemas implicados) tanto para mejorar los procesos como para cubrir posibles obligaciones legales o auditorías.

Aplicar estos pasos con rapidez y sin esconder el problema es crucial para contener el daño y aprender de lo ocurrido. Todos podemos equivocarnos; lo grave es no reaccionar o intentar taparlo.

La realidad es que el phishing seguirá evolucionando, pero combinando sentido común, formación continua, buenas políticas internas y tecnologías de detección avanzadas, es posible mantenerlo a raya. Convertir la desconfianza sana en hábito, verificar siempre por canales oficiales y contar con copias de seguridad y planes de respuesta sólidos transforma lo que podría ser un desastre en un incidente controlable.