Anzuelo sobre teclado de computadora — el phishing busca "pescar" tus datos bancarios con correos falsos que imitan a tu banco

Ayer

Cómo evitar fraudes por internet – phishing

Joan Lanzagorta
Protección
0 comments

El phishing es una modificación de la palabra inglesa fishing — pescar. Lo que hacen los delincuentes cibernéticos es enviar correos electrónicos masivos que buscan engañar a los usuarios de la banca en línea para obtener sus datos personales y confidenciales — usuario, contraseña — a través de un sitio web falso aunque visualmente idéntico al de su banco o institución financiera.

Es uno de los fraudes digitales más comunes en el mundo y sigue creciendo. La FTC de Estados Unidos recibió 3 millones de reportes de fraude en 2025. En España, el INCIBE gestionó más de 25,000 incidentes de phishing ese mismo año. Y en México, la CONDUSEF mantiene activo desde hace años un canal específico para reportarlos.

Cómo funciona un ataque de phishing

El mecanismo clásico es siempre el mismo: recibes un correo que parece de tu banco, con su logo, sus colores y su tono habitual. El mensaje dice que hay un problema con tu cuenta y que debes verificar tu información en las próximas 24 horas, o de lo contrario será cancelada. Incluye un link que lleva a una página visualmente idéntica a la del banco — pero falsa.

Si introduces tus claves ahí, el defraudador las usa de inmediato para acceder a tu cuenta real.

Los delincuentes mantienen estas páginas activas por periodos muy cortos — unas pocas horas — ya que solo necesitan unas cuantas víctimas para lograr su objetivo.

Las nuevas modalidades que hay que conocer

El phishing evolucionó bastante desde sus versiones más burdas. Hoy los ataques son más sofisticados y difíciles de detectar:

Smishing — el mismo ataque pero por SMS. Recibes un mensaje de texto que simula ser de tu banco, de una empresa de paquetería o incluso de una autoridad fiscal, con un link urgente.

Vishing — la versión por llamada telefónica. Alguien que dice ser de tu banco te llama para "verificar" una transacción sospechosa y te pide confirmar tus datos o transferir dinero a una "cuenta segura". Ningún banco hace eso.

Spear phishing — ataques personalizados donde el delincuente ya tiene información tuya (tu nombre, tu banco, incluso transacciones recientes) y construye un mensaje mucho más creíble. Se consiguen esos datos de filtraciones de bases de datos o redes sociales.

Phishing por WhatsApp y redes sociales — cada vez más común. El mensaje llega como si fuera de un contacto tuyo, cuya cuenta fue comprometida, o directamente de cuentas falsas de empresas conocidas.

Cómo identificar un intento de phishing

El remitente real no es el banco. Aunque el nombre visible diga "Banamex" o "BBVA", la dirección de correo real es de otro dominio.
El mensaje crea urgencia artificial: "su cuenta será cancelada en 24 horas", "actividad sospechosa detectada".
Hay errores de redacción o traducciones extrañas — aunque los mensajes son cada vez más elaborados.
La dirección en la barra del navegador no corresponde al sitio oficial del banco.
A veces usan trucos visuales: en una ocasión recibí un link con la dirección "BANARNEX" que en minúsculas, si no te fijas, puede leerse como "banamex".

Cómo protegerte

Los bancos nunca te van a pedir tus claves o contraseñas por correo, SMS o llamada telefónica. Nunca.
Si recibes un correo sospechoso, llama directamente al banco por el número oficial — no el que viene en el correo.
Nunca hagas clic en links que lleguen por correo o mensaje. Abre una nueva ventana y escribe directamente la dirección del banco.
Verifica que la dirección en el navegador comience por https:// y corresponda exactamente al sitio oficial.
No realices operaciones bancarias desde redes de wifi públicas o computadoras compartidas.
Mantén actualizados tu sistema operativo, navegador y antivirus.
Activa la verificación en dos pasos en tus cuentas bancarias y de correo cuando esté disponible.
Cambia tus contraseñas de acceso de manera periódica y no uses la misma para varios servicios.

Dónde reportarlo según tu país

México: alertasphishing@condusef.gob.mx
Estados Unidos: ReportFraud.ftc.gov — también puedes reenviar el correo a reportphishing@apwg.org
España: incidencias@incibe-cert.es o llama al 017 (línea de ciberseguridad del INCIBE)
Otros países: reporta a la autoridad financiera o de ciberseguridad de tu país, y notifica a tu banco de inmediato.

Reportar no solo te protege a ti — ayuda a las autoridades a dar de baja las páginas fraudulentas y alertar a otras personas.

¿Has recibido algún intento de phishing? ¿Cómo lo identificaste?

0 comments

Sign upor login to leave a comment