Cultura Digital / Guías 5 minutos de lectura

PHISING: CÓMO DETECTAR CORREOS FALSOS ANTES DE QUE SEA TARDE:

Introducción

El phishing no es un problema técnico. Es un problema humano. No entra “hackeando”, entra empujándote a actuar rápido y sin pensar.

Puede llegar por correo, SMS, WhatsApp, QR o llamada. El formato cambia; el patrón es el mismo: urgencia + autoridad + acción simple (clic / descarga / pago / credenciales).

Y no, no es cuestión de “ser torpe”. Cualquiera puede caer si el mensaje llega en el momento adecuado. La diferencia está en aprender a reconocer señales antes de hacer clic.

Qué es realmente el phishing (y por qué funciona)

El phishing es ingeniería social: no intenta romper sistemas, intenta romper tu atención. Explota tres cosas: prisa, miedo y confianza.

  • Suplantación de identidad (marca, banco, empresa, administración).
  • Mensaje diseñado para provocar reacción (urgencia, amenaza o premio).
  • Acción fácil: hacer clic, descargar, responder, pagar o “verificar”.

Tipos de phishing que vemos hoy

Tipo Canal Objetivo habitual
Email phishing Correo Credenciales, adjuntos, enlaces
Smishing SMS / WhatsApp Pagos, enlaces rápidos, códigos
Vishing Llamadas Datos personales, bancarios, “verificación”
Spear phishing Personalizado Acceso corporativo, fraude dirigido
BEC (Business Email Compromise) Correo corporativo Fraude de factura, cambio de IBAN, suplantación de proveedor
Quishing (phishing con QR) QR Enlace a web falsa / pago / descarga

Señales claras de un correo falso

  • Urgencia o amenaza: “Último aviso”, “bloquearemos su cuenta”, “24 horas”.
  • Remitente engañoso: el nombre visible puede ser correcto, pero el dominio no coincide exactamente.
  • Lenguaje genérico o mal traducido: “Estimado cliente”, frases raras o poco naturales.
  • Enlaces ocultos: el texto dice una cosa, la URL lleva a otra.
  • Adjuntos inesperados: especialmente .zip, .exe, .html, .iso, .js, .docm.
  • Petición de datos: contraseñas, códigos, pagos “para verificar”.

Cómo leer un correo como lo haría un analista (en 30 segundos)

  1. ¿Lo esperaba? Si no, ya es una señal.
  2. ¿Qué emoción busca? (prisa, miedo, premio, amenaza).
  3. ¿El dominio es EXACTO? No “parecido”. Exacto.
  4. ¿Puedo entrar sin el enlace? Si es real, podrás ir tú a la web/app oficial.

Si una respuesta te genera duda, el correo no merece tu clic.

Tabla rápida: señal → qué hacer

Señal Qué hacer
Urgencia / amenaza (“último aviso”) No pulses. Entra tú manualmente a la web/app oficial.
Dominio raro o “parecido” Elimina / marca como phishing. Si es empresa, reenvía al canal interno.
Adjunto inesperado No lo abras. Si es laboral, confirma por un canal distinto (teléfono/chat interno).
Te piden códigos (SMS/2FA) Estafa. Ninguna entidad seria necesita tu código.
Factura / cambio de IBAN Confirma SIEMPRE por teléfono con un número conocido (BEC).

Casos de uso reales en 2025 (los que más se repiten)

Estos son los escenarios más frecuentes. Si te suena alguno, pon el radar a tope:

  • Paquetería: “paga 1,99€” / “dirección incompleta” / “reprograma entrega”.
  • Banco: “actividad sospechosa” / “bloqueo temporal” / “verificación urgente”.
  • Energía/telecos: “factura disponible” / “corte por impago” / “actualiza datos”.
  • RRHH / nóminas (empresa): “documento de nómina” / “cambio de cuenta” / “firma aquí”.
  • Office/Google: “documento compartido” / “revisa este archivo” → enlace a login falso.
  • Soporte IT falso: “actualización de seguridad” / “antivirus caducado” → te intentan colar un instalador.
  • Proveedor (BEC): “cambio de IBAN”, “pago urgente”, “nueva cuenta por auditoría”.
  • QR en sitios físicos: cartel, parking, bar, evento → te lleva a pago o login falso (quishing).

Mini-guía para enlaces y adjuntos (sin tecnicismos, pero eficaz)

Enlaces

  • No pulses desde el correo. Entra tú manualmente al dominio oficial (tecleado o desde favorito).
  • En móvil: mantén pulsado el enlace para ver la URL real; si no se ve clara, copia/pega en notas.
  • Desconfía de acortadores (bit.ly, tinyurl, etc.) y dominios largos “con palabras de banco”.

Adjuntos

Si no esperas un adjunto, se trata como sospechoso por defecto. Especial cuidado con:

  • .docm (Word con macros), .xlsm (Excel con macros)
  • .zip, .iso, .exe, .js, .html

Regla práctica: si te urge “habilitar contenido”, “activar macros” o “permitir edición” para ver el documento, huele a ataque.

Ejemplos reales que seguimos viendo

Su paquete no ha podido ser entregado. Pague 1,99 €
Nueva factura disponible
Actividad sospechosa detectada en su cuenta

El diseño suele ser impecable. El problema no está en el aspecto, sino en el enlace, el dominio y el contexto.

Qué hacer si recibes un phishing

  1. No hagas clic ni descargues nada.
  2. No respondas al mensaje.
  3. Márcalo como phishing o spam.
  4. Elimínalo.

Qué hacer si ya has caído (orden de prioridad)

  1. Correo primero: cambia la contraseña del correo y activa/refuerza MFA.
  2. Cierra sesiones: revisa “dispositivos conectados” y cierra lo que no reconozcas.
  3. Revisa reglas del correo: reenvíos automáticos, filtros raros (típico en intrusiones).
  4. Cambia contraseñas de cuentas críticas (banca, redes, almacenamiento) si usaban la misma o estaban vinculadas.
  5. Si hay dinero (banca/pagos): contacta con la entidad cuanto antes y bloquea operaciones.

En empresas: protocolo mínimo anti-BEC (fraude de facturas)

Si tu empresa paga proveedores, este punto es obligatorio. El BEC no “hackea”: manipula procesos.

  • Regla 1: cualquier cambio de IBAN se verifica por teléfono con un número ya conocido (no el del correo).
  • Regla 2: pagos urgentes o “excepcionales” requieren doble aprobación.
  • Regla 3: el proveedor real confirma por un segundo canal (no solo email).
  • Regla 4: si algo te mete prisa, se pausa. La prisa es un patrón de fraude.

Cómo reducir el impacto del phishing (visión profesional)

  • MFA en todas las cuentas críticas (idealmente no basado solo en SMS).
  • Gestor de contraseñas para evitar reutilización.
  • Cuenta de correo bien protegida (es la puerta maestra).
  • Formación periódica (breve y recurrente): el phishing cambia, el hábito se entrena.
  • En empresa: proceso de verificación para pagos/cambios de cuenta (anti-BEC).

Mini hábitos que funcionan (sin convertirte en paranoico)

  • Regla de los 10 segundos: si un mensaje te mete prisa, paras y verificas.
  • Entra siempre por tu cuenta: app oficial o dominio tecleado, nunca por enlace.
  • Separa el correo “puerta maestra”: usa MFA y revisa sesiones regularmente.
  • En casa/pyme: explica estas reglas a quien menos controla (ahí apuntan los fraudes).

Checklist rápida

  1. ¿El mensaje crea urgencia o miedo?
  2. ¿El dominio es exactamente el correcto?
  3. ¿No esperabas este correo?
  4. ¿Puedes entrar desde la web oficial (sin el enlace)?
  5. ¿Tienes MFA activado en correo y cuentas críticas?

Conclusión

El phishing no se combate con antivirus, sino con criterio. No se trata de desconfiar de todo: se trata de aprender a parar dos segundos cuando alguien intenta empujarte a actuar.

En Gondor vemos phishing todos los días. Y siempre funciona por el mismo motivo: alguien fue forzado a decidir demasiado rápido.

¿Quieres aprender a proteger tu vida digital sin complicarte?

En Gondor Solutions publicamos guías prácticas y acompañamos a personas y negocios en el uso de la tecnología.

Hablemos