Cómo Identificar y Evitar el Phishing

🎣 Phishing: Cómo Identificarlo y Qué Hacer si Has Caído

Correos falsos · SMS fraudulentos · Webs clonadas · Suplantación de identidad · Guía completa

El phishing es el método de ataque más extendido: aprende a reconocerlo antes de que sea demasiado tarde

📋 Contenido

• ¿Qué es el phishing?
• Tipos de phishing
• Cómo identificar un ataque de phishing
• ¿Cómo llega el phishing hasta ti?
• Si ya has caído: acciones inmediatas
• Limpiar el PC tras un ataque de phishing paso a paso
• Cómo protegerte del phishing
• Conclusión

¿Qué es el phishing?

El phishing es una técnica de engaño en la que los ciberdelincuentes se hacen pasar por entidades de confianza —bancos, servicios de mensajería, Hacienda, plataformas de streaming, redes sociales o tu propia empresa— para robarte datos confidenciales: contraseñas, números de tarjeta, credenciales bancarias o información personal.

El nombre proviene del inglés fishing (pescar): los atacantes lanzan anzuelos masivos y esperan a que alguien pique. No es un ataque técnico sofisticado que explota vulnerabilidades del sistema — es ingeniería social pura: te convencen de que entregues voluntariamente tus datos o hagas clic en un enlace malicioso.

Las cifras lo sitúan como la amenaza número uno para usuarios particulares y empresas: según datos de 2025, más de 3.400 millones de correos electrónicos de phishing se envían cada día en todo el mundo. El 36 % de las filtraciones de datos empresariales tienen su origen en un ataque de phishing exitoso.

Tipos de phishing

El phishing ha evolucionado mucho más allá del clásico correo electrónico. Conocer sus variantes es el primer paso para no caer en ninguna de ellas:

• 📧 Phishing por correo electrónico (Email phishing)
  La variante más común. Un correo aparentemente legítimo de tu banco, Correos, Netflix o la AEAT te pide que "verifiques tu cuenta" o "actualices tus datos" a través de un enlace que lleva a una web falsa idéntica a la original.
• 📱 Smishing (SMS phishing)
  El mismo engaño llegado por SMS. Muy habitual con mensajes del tipo "Tu paquete está retenido, paga los gastos de aduana aquí:" seguido de un enlace fraudulento. También se usa para suplantar a bancos con alertas de seguridad falsas.
• 📞 Vishing (Voice phishing)
  Phishing por llamada telefónica. El atacante se hace pasar por el soporte de Microsoft, tu banco o la Seguridad Social. Con IA de clonación de voz, en 2025 es posible falsificar voces conocidas de forma casi perfecta.
• 🎯 Spear phishing (Phishing dirigido)
  Ataques personalizados y cuidadosamente preparados contra un individuo o empresa concretos. El atacante investiga previamente a la víctima (nombre, cargo, colegas, proyectos) para crear un señuelo muy creíble. Es el tipo más peligroso y difícil de detectar.
• 🌐 Pharming
  Más técnico: el atacante manipula el DNS o el archivo hosts del sistema para redirigir al usuario a una web falsa aunque escriba la dirección legítima en el navegador. No requiere que la víctima haga clic en ningún enlace sospechoso.
• 📋 Clone phishing
  Se copia un correo legítimo real (por ejemplo, una confirmación de pedido de Amazon) y se reemplaza únicamente el enlace por uno malicioso. Al ser casi idéntico a un correo que el usuario ha recibido antes, la detección es extremadamente difícil.

Cómo identificar un ataque de phishing

Los atacantes son cada vez más sofisticados, pero siguen cometiendo errores o usando patrones reconocibles. Estas son las señales de alerta más importantes:

🚩 Señales de alarma — comprueba siempre estas 7 cosas

1. Urgencia artificial: "Tu cuenta será suspendida en 24 horas", "Actúa ahora o perderás acceso". La presión de tiempo es la herramienta número uno del phisher.
2. Remitente sospechoso: El nombre visible puede decir "Banco Santander" pero la dirección real es [email protected]. Haz clic en el nombre para ver la dirección completa.
3. URL diferente a la oficial: Antes de hacer clic, pasa el ratón por encima del enlace. ¿La URL que aparece abajo corresponde al dominio oficial? bancosantander-acceso-seguro.com no es lo mismo que bancosantander.es.
4. Errores ortográficos y gramaticales: Aunque los ataques en español son cada vez más perfectos gracias a la IA, muchos siguen conteniendo tildes incorrectas, frases extrañas o texto con aspecto de traducción automática.
5. Saludos genéricos: "Estimado cliente" o "Hola, usuario" en vez de tu nombre real. Las empresas legítimas se dirigen a ti por tu nombre.
6. Solicitud de credenciales o datos bancarios: Ningún banco, servicio de pago ni plataforma legítima te pedirá contraseñas o datos de tarjeta por correo o SMS.
7. Archivos adjuntos inesperados: Facturas, contratos, notificaciones judiciales o fotos que no esperabas. Los adjuntos en phishing suelen contener malware o exploits de Office/PDF.

¿Cómo llega el phishing hasta ti?

Los ataques de phishing pueden llegar por múltiples canales. Conocerlos te permite estar alerta en los momentos menos esperados:

• Correo electrónico: El canal más utilizado. Las campañas masivas imitan a entidades bancarias, Correos, la AEAT, Netflix, Amazon o Microsoft.
• SMS y mensajería instantánea: WhatsApp, Telegram y SMS son vectores crecientes, especialmente con mensajes de "paquete retenido" o "has ganado un premio".
• Redes sociales: Mensajes directos de cuentas comprometidas de amigos, anuncios fraudulentos en Facebook/Instagram, perfiles falsos de marcas conocidas.
• Resultados de búsqueda patrocinados: Anuncios de Google o Bing que aparecen por encima de los resultados orgánicos y llevan a webs falsas de bancos, criptomonedas o software conocido.
• Códigos QR maliciosos: QR en carteles, folletos o emails que redirigen a páginas de phishing en lugar del destino legítimo esperado (QRishing).
• Llamadas telefónicas y buzones de voz: Vishing clásico o mensajes de voz que te piden llamar a un número de "soporte" premium.
• Filtraciones de datos previas: Si tus datos ya han sido robados en brechas anteriores, los atacantes los usan para personalizar el ataque y hacerlo mucho más convincente.

🚨 Si ya has hecho clic o has introducido tus datos, actúa AHORA antes de limpiar el PC

1. Cambia la contraseña de la cuenta afectada inmediatamente, desde otro dispositivo o navegador limpio si es posible. Hazlo antes que cualquier otra cosa.
2. Activa la autenticación en dos pasos (2FA) en esa cuenta y en todas las que usen la misma contraseña, si aún no la tenías activada.
3. Llama a tu banco al número oficial (el del dorso de tu tarjeta, nunca al del mensaje recibido) si introdujiste datos bancarios o de tarjeta. Pide bloquear la tarjeta y revisar movimientos recientes.
4. Revisa sesiones activas en los servicios afectados (Gmail, redes sociales, cuentas bancarias online) y cierra sesión en todos los dispositivos no reconocidos.
5. Cambia también las contraseñas de otras cuentas que usen las mismas credenciales — la reutilización de contraseñas es el segundo mayor riesgo tras el phishing en sí.
6. Guarda capturas de pantalla del mensaje fraudulento antes de borrarlo — pueden servir para denunciar a la Policía o a la INCIBE (Instituto Nacional de Ciberseguridad).

Una vez realizadas estas acciones urgentes, usa los pasos de limpieza a continuación para asegurarte de que no haya malware instalado.

Limpiar el PC tras un ataque de phishing paso a paso

Muchos ataques de phishing no solo roban credenciales: el enlace o el adjunto puede haber instalado malware en silencio. Usa estas herramientas gratuitas en orden para garantizar que el sistema ha quedado completamente limpio.

RKill detiene temporalmente los procesos maliciosos activos en memoria, incluyendo cualquier malware que el phishing haya podido instalar. Es el primer paso imprescindible: sin él, los programas de limpieza pueden ser bloqueados o neutralizados por el propio malware.

Descargar RKill

Descarga RKill desde mi sección ANTIMALWARE. Descarga la versión renombrada iExplore.exe — así evitamos que el malware bloquee su ejecución por el nombre del proceso.

Ejecutar RKill

Haz doble clic sobre iExplore.exe. El programa escaneará y terminará los procesos maliciosos activos en memoria. Puede tardar unos minutos. Cuando finalice, se abrirá automáticamente un archivo de registro con los procesos detenidos.

No reinicies el PC tras ejecutar RKill — los procesos maliciosos volverían a iniciarse. Continúa directamente con el siguiente paso.

▶ VER VÍDEO DE RKILL EN YOUTUBE

Algunos ataques de phishing instalan programas maliciosos —ladrones de credenciales, spyware o extensiones de navegador— que se registran como aplicaciones de Windows. Revo Uninstaller los elimina completamente junto con todos los restos en el registro y en las carpetas del sistema.

Descargar e instalar Revo Uninstaller Free

Descárgalo desde mi sección HERRAMIENTAS. Haz doble clic en el instalador y sigue las instrucciones en pantalla.

Eliminar programas maliciosos

Abre Revo Uninstaller. En la lista de programas instalados, busca cualquier aplicación sospechosa que no recuerdes haber instalado: herramientas de acceso remoto (AnyDesk, TeamViewer, UltraViewer si no las instalaste tú), barras de herramientas, "optimizadores" de sistema o cualquier programa con fecha de instalación coincidente con el incidente. Selecciónalo y haz clic en "Desinstalar".

Limpieza avanzada de restos

Tras la desinstalación, Revo te ofrecerá escanear en busca de restos (selecciona el modo Avanzado). Acepta y elimina todos los archivos y entradas de registro detectados. Esto garantiza que el programa malicioso no pueda regenerarse automáticamente.

▶ VER VÍDEO DE REVO UNINSTALLER EN YOUTUBE

CCleaner elimina cookies de rastreo, caché del navegador, historial de navegación y archivos temporales del sistema — borrando también cualquier rastro de la sesión de phishing en el navegador y los datos que el malware pudo haber capturado y almacenado localmente.

Descarga e instalación

Descarga CCleaner desde mi sección HERRAMIENTAS. Instálalo y ábrelo desde el menú de inicio o su icono en el escritorio.

Limpieza personalizada

Ve a la pestaña "Limpieza personalizada". Marca caché de internet, historial de navegación, cookies y archivos temporales en todos los navegadores que uses. Haz clic en "Analizar" y después en "Ejecutar el limpiador".

Limpieza del registro

Ve a la pestaña "Registro". Haz clic en "Buscar problemas" y cuando finalice en "Reparar seleccionados". CCleaner te pedirá crear una copia de seguridad del registro antes de modificarlo — acéptala siempre.

⚠️ Precaución con el registro: Si no estás seguro de lo que estás eliminando, omite la limpieza del registro o realiza siempre la copia de seguridad previa. Eliminar una entrada incorrecta puede causar inestabilidad en el sistema.

▶ VER VÍDEO DE CCLEANER EN YOUTUBE

Malwarebytes es la herramienta de referencia para detectar y eliminar el malware que los ataques de phishing instalan en segundo plano: troyanos de robo de credenciales (stealers), keyloggers, spyware y backdoors que los antivirus tradicionales suelen pasar por alto.

Descargar e instalar Malwarebytes

Descarga Malwarebytes Free desde mi sección ANTIMALWARE. Haz doble clic en el instalador y sigue el asistente de configuración. Al finalizar, Malwarebytes se abrirá automáticamente.

Haz clic en "Escanear"

En la pantalla principal, haz clic en "Escanear". Malwarebytes actualizará su base de datos y comenzará el análisis completo del sistema. El proceso puede tardar varios minutos — puedes realizar otras tareas mientras esperas.

Haz clic en "Cuarentena"

Cuando el análisis termine, Malwarebytes mostrará todos los elementos maliciosos detectados. Haz clic en "Cuarentena" para aislar y eliminar todas las amenazas de una sola vez.

Reinicia el ordenador

Malwarebytes puede pedirte que reinicies el PC para completar la eliminación. Hazlo antes de continuar con el siguiente paso.

▶ VER VÍDEO DE MALWAREBYTES EN YOUTUBE

Muchos ataques de phishing instalan extensiones maliciosas en el navegador que interceptan formularios, inyectan páginas falsas o redirigen el tráfico. AdwCleaner, de Malwarebytes, está especializado en detectar y eliminar estas extensiones, adware y PUPs del navegador, así como restablecer las políticas bloqueadas por el malware.

Descargar AdwCleaner

Descárgalo desde mi sección ANTISPYWARE. Es un ejecutable portátil — no necesita instalación. Haz doble clic para abrirlo directamente.

Configuración previa al escaneo

Antes de escanear, ve a Configuración y activa la opción "Restablecer políticas de Chrome" (y Edge si lo usas). Esto elimina las restricciones que el malware impone al navegador, como impedir cambiar la página de inicio o el buscador predeterminado.

Escaneo y cuarentena

Desde el "Panel de control", haz clic en "Analizar ahora". Cuando termine, revisa los resultados y haz clic en "Cuarentena" para eliminar todos los elementos detectados. Es posible que requiera reiniciar el PC para completar el proceso.

HitmanPro de Sophos utiliza análisis en la nube y múltiples motores antivirus para detectar amenazas que el software local puede pasar por alto. Resulta especialmente valioso después de un phishing, ya que los stealers y troyanos de última generación a menudo evaden los escáneres convencionales.

Descargar HitmanPro

Descárgalo desde mi sección ANTIMALWARE. Es portátil — no necesita instalación. Haz doble clic en el archivo descargado para ejecutarlo.

Realizar el escaneo

Haz clic en "Siguiente". Cuando pregunte si deseas instalarlo, selecciona "No, solo quiero realizar un escaneo una sola vez para comprobar este equipo" y haz clic en "Siguiente" de nuevo. HitmanPro analizará el sistema completo en busca de amenazas.

Revisar y eliminar

Tras el análisis, HitmanPro muestra los elementos detectados. Sigue las instrucciones para eliminarlos. La función de eliminación es gratuita durante 30 días sin necesidad de registrarse.

▶ VER VÍDEO DE HITMANPRO EN YOUTUBE

ESET Online Scanner es un antivirus bajo demanda gratuito que usa el motor de ESET, uno de los más valorados del sector. Es el paso final para verificar que el sistema ha quedado completamente limpio de cualquier malware instalado durante o después del ataque de phishing. Compatible con cualquier otro antivirus instalado — no hay conflictos.

Descargar ESET Online Scanner

Descárgalo desde mi sección ANTIVIRUS ONLINE. Elige la versión "Free Scan" y guárdala en el escritorio.

Iniciar el análisis

Haz doble clic en esetonlinescanner.exe. Selecciona "Análisis del ordenador" → "Análisis completo" → activa "Detección y puesta en cuarentena de aplicaciones potencialmente no deseadas" → haz clic en "Iniciar análisis".

Escaneo completo

El análisis completo puede tardar entre 30 minutos y varias horas según el tamaño del disco. Te recomendamos iniciarlo y realizar otras tareas mientras termina, comprobando su progreso periódicamente.

Resultados del escaneo

Al finalizar, ESET mostrará las amenazas detectadas y eliminadas. Puedes hacer clic en "Ver resultados detallados" para obtener información específica sobre cada elemento. Las amenazas quedan eliminadas y puestas en cuarentena automáticamente.

▶ VER VÍDEO DE ESET ONLINE SCANNER EN YOUTUBE

Cómo protegerte del phishing

El phishing nunca desaparecerá — pero con los hábitos correctos, la probabilidad de caer en uno se reduce drásticamente:

• Activa la autenticación en dos pasos (2FA) en todas tus cuentas importantes: Aunque roben tu contraseña, sin el segundo factor no podrán entrar. Usa una app de autenticación (Google Authenticator, Authy) en vez de SMS siempre que sea posible.
• Usa un gestor de contraseñas: Herramientas como Bitwarden o KeePass generan y almacenan contraseñas únicas por cada servicio. Un gestor de contraseñas no autocompleta en una URL falsa — es una capa de detección automática de phishing.
• Verifica siempre la URL antes de introducir datos: Fíjate en el dominio exacto, no solo en que empiece por "https". Un candado verde no garantiza que la web sea legítima — solo que la conexión está cifrada.
• No hagas clic directamente en enlaces de correos o SMS: Ve directamente al sitio web oficial escribiendo la dirección en el navegador, o usa el marcador que ya tienes guardado.
• Instala un bloqueador de anuncios y extensiones anti-phishing: uBlock Origin bloquea anuncios maliciosos que llevan a páginas de phishing. El propio navegador Chrome/Edge/Firefox tiene protección anti-phishing integrada — mantenlo siempre actualizado.
• Desconfía de la urgencia artificial: Ninguna entidad legítima te exigirá actuar "en las próximas 2 horas o tu cuenta quedará bloqueada". Tómate tiempo para verificar antes de actuar.
• Mantén el sistema y el software actualizados: Muchos adjuntos de phishing explotan vulnerabilidades conocidas de Office, Adobe Reader o Windows. Las actualizaciones automáticas cierran esas puertas.

Conclusión

El phishing es el vector de entrada número uno en el mundo del cibercrimen no por ser técnicamente sofisticado, sino porque se dirige al eslabón más difícil de parchear: el factor humano. Un correo convincente puede engañar a cualquiera si se llega a él en el momento equivocado.

Si has caído en uno, lo más importante es actuar con rapidez: cambiar contraseñas, avisar al banco y limpiar el sistema con las herramientas de esta guía. El tiempo juega en tu contra cuando se trata de credenciales robadas. Si todavía no has caído, los hábitos de prevención — 2FA, gestor de contraseñas, verificar URLs — son tu mejor escudo.

💡 ¿Tienes dudas sobre si un correo o mensaje es legítimo? Puedes consultar el portal de avisos de la INCIBE en incibe.es/ciudadania/avisos — publican alertas actualizadas sobre campañas de phishing activas en España.