Recibes un mensaje de tu banco diciendo que tu cuenta ha sido bloqueada. O un SMS de Correos indicando que debes pagar 1,20€ para recibir un paquete. El corazón se te acelera y el instinto te dice que pulses el enlace para solucionarlo cuanto antes. ¡Alto! Estás ante la técnica de estafa más común y efectiva del siglo XXI: el Phishing.
En esta guía de Internet Paso a Paso, vamos a enseñarte a convertirte en un detective digital. En 2026, los estafadores utilizan Inteligencia Artificial para escribir mensajes perfectos, sin faltas de ortografía y con logotipos oficiales. Sin embargo, siempre dejan «migas de pan» que delatan el engaño. Aprende a detectarlas en segundos y protege tu dinero y tus datos.
1. ¿Qué es el Phishing y cómo funciona?
El nombre viene de «pescar» (fishing en inglés). El estafador lanza miles de «anzuelos» (mensajes) esperando que algún usuario pique. El objetivo es engañarte para que entres en una página web falsa que imita a la de tu banco, Amazon o la Agencia Tributaria, y que escribas allí tu contraseña o los datos de tu tarjeta.
Una vez que lo haces, ellos tienen las llaves de tu casa digital. En 2026, el Phishing ha evolucionado al Smishing (estafas por SMS) y al Quishing (estafas mediante códigos QR falsos).
2. La regla de oro: La urgencia y el miedo
Si un mensaje te pide que actúes «de inmediato», «en menos de 24 horas» o te amenaza con una «multa» o el «bloqueo de tu cuenta», sospecha automáticamente.
Las entidades oficiales y los bancos nunca te pedirán que soluciones un problema grave pulsando un enlace en un mensaje de texto. El miedo es el arma del estafador para que no pienses y actúes por impulso. Pausa, respira y analiza.
3. Las 4 señales que delatan la estafa
Incluso si el mensaje parece perfecto, en Internet Paso a Paso te recomendamos buscar siempre estas señales de alerta:
A. La dirección del remitente (El truco del dominio)
No te fijes solo en el nombre que aparece arriba (ej: «BANCO SANTANDER»). Pulsa sobre el nombre para ver la dirección de correo real que hay detrás.
- Real:
atencionalcliente@santander.es - Falso:
seguridad-santander@gmail.comoinfo@verificacion-santander.net - Regla: Si después de la
@no aparece el nombre oficial de la empresa seguido de un.eso.comconocido, borra el correo.
B. El enlace sospechoso
Antes de pulsar un enlace en el ordenador, pon el ratón encima (sin hacer clic). Abajo a la izquierda de tu navegador aparecerá la dirección real a la que te quiere llevar. En el móvil es más difícil, pero puedes dejar el dedo pulsado sobre el enlace (con cuidado) para que aparezca la dirección. Si la web es una mezcla extraña de letras y números, es una estafa.
C. Saludos genéricos
Un banco que tiene tus datos te llamará por tu nombre: «Estimado Juan Pérez». Los estafadores suelen usar fórmulas genéricas como «Estimado cliente» o «Aviso al usuario», porque envían el mismo mensaje a millones de personas a la vez.
D. Faltas de ortografía o lenguaje extraño
Aunque la IA ha mejorado esto, muchas estafas vienen traducidas automáticamente. Busca frases que suenen raras, palabras de otros países (ej: usar «celular» en España) o errores de puntuación. Una empresa multinacional no envía comunicados con errores.
4. Estafas comunes en 2026: El catálogo del engaño
- El paquete retenido: Recibes un SMS de una empresa de mensajería (Correos, SEUR, DHL) diciendo que falta una tasa de aduanas. Truco: Si no estás esperando nada, es estafa. Si esperas algo, entra tú mismo en la web oficial de la empresa y pon tu número de seguimiento.
- El «hijo en apuros»: Un mensaje de WhatsApp de un número desconocido: «Hola mamá, se me ha roto el móvil y este es mi nuevo número. Necesito pagar una factura urgente, ¿puedes hacerme un Bizum?». Truco: Llama por teléfono al número antiguo de tu hijo antes de hacer nada.
- La multa de la DGT: Un SMS avisando de una multa de tráfico pendiente de pago. Truco: La DGT nunca comunica multas por SMS; lo hace por carta certificada o a través de la app miDGT.
5. ¿Qué hacer si ya has pulsado el enlace?
Si te has dado cuenta del error justo después de meter tus datos, no pierdas ni un segundo:
- Llama a tu banco: Pide que bloqueen tus tarjetas y tus claves de acceso.
- Cambia tus contraseñas: Si usabas la misma contraseña en otros sitios (como tu correo), cámbiala de inmediato.
- Denuncia: Haz capturas de pantalla del mensaje y denúncialo ante la Policía o la Guardia Civil (INCIBE también tiene una línea gratuita para ayudarte).
6. Cómo protegerte para siempre
En Internet Paso a Paso siempre decimos que la mejor defensa es una buena configuración:
- Activa la Verificación en Dos Pasos (2FA): Como vimos en guías anteriores, esto hace que, aunque el estafador tenga tu contraseña, necesite un código que solo llega a tu móvil para entrar.
- Desconfía de los códigos QR: No escanees códigos QR en la calle o en pegatinas sobre cajeros automáticos sin estar seguro de a dónde te llevan.
- Usa filtros de Spam: Asegúrate de que tu servicio de correo (Gmail, Outlook) tenga activos los filtros de seguridad.
Conclusión
El Phishing se basa en el engaño psicológico, no en un fallo de tu ordenador. Los estafadores intentan «hackear» a la persona, no al sistema. Si aprendes a desconfiar por defecto de los mensajes alarmistas y a verificar siempre el remitente, serás prácticamente invulnerable.
Recuerda: ante la duda, cierra el mensaje, abre tu navegador y escribe tú mismo la dirección oficial de la web a la que quieres ir. ¡Nadie puede pescarte si no muerdes el anzuelo!