Qué es el phishing y cómo identificarlo antes de que te roben tus datos en 2026

El ataque más viejo y más efectivo

El phishing lleva más de 30 años entre nosotros y sigue siendo la causa número uno de robo de datos a nivel mundial. La razón es simple: en lugar de atacar sistemas informáticos, ataca a personas. Y las personas, con suficiente presión o urgencia, cometen errores.

En 2026, los mensajes de phishing ya no son los correos mal redactados llenos de faltas de ortografía que se detectaban a simple vista. Los modelos de IA generativa permiten crear mensajes perfectamente escritos, personalizados con tu nombre y datos reales, que imitan con precisión el estilo visual de tu banco, tu empresa o servicios como Netflix o Amazon.

Cómo funciona un ataque de phishing

El proceso es siempre el mismo, aunque la forma cambie:

Paso 1 — El anzuelo: Recibes un mensaje (correo, SMS, WhatsApp, DM en redes sociales) que parece venir de una fuente legítima. Puede ser tu banco alertándote de un movimiento sospechoso, Apple diciéndote que tu cuenta está en riesgo, o Hacienda notificándote una devolución pendiente.

Paso 2 — La urgencia: El mensaje crea una sensación de urgencia. "Tienes 24 horas para verificar tu cuenta o será bloqueada." La urgencia desactiva el pensamiento crítico.

Paso 3 — El enlace falso: Te pide que hagas clic en un enlace que lleva a una página web idéntica a la real. Introduces tus credenciales. Las credenciales van directas al atacante.

Las 7 señales de alerta que debes revisar siempre

1. El dominio del remitente no es exacto

Un correo de soporte@apple-seguridad.com no es de Apple. El dominio real es apple.com. Cualquier variación es sospechosa: guiones, palabras añadidas, extensiones distintas (.net, .org en lugar de .com).

2. El enlace no coincide con la empresa

Antes de hacer clic, pasa el cursor sobre el enlace (sin hacer clic) y mira la URL real en la barra inferior del navegador. Si no empieza por el dominio oficial de la empresa, es falso.

3. Te piden datos que una empresa real nunca pide por correo

Ningún banco te pedirá tu contraseña completa, tu PIN o el código de tu tarjeta por correo electrónico o SMS. Nunca.

4. Hay errores sutiles en el diseño

Logos ligeramente pixelados, colores que no son exactamente los de la marca, fuentes distintas. Los atacantes copian el diseño pero rara vez lo hacen perfecto.

5. El saludo es genérico

"Estimado cliente" en lugar de tu nombre real es una señal. Las empresas con las que tienes cuenta saben quién eres.

6. Urgencia extrema o amenazas

"Tu cuenta será cancelada en 2 horas." "Detectamos actividad ilegal." El miedo es la herramienta principal del phishing.

7. El mensaje llegó sin que lo esperaras

¿Pediste una devolución? ¿Cambiaste tu contraseña hace poco? Si el mensaje se refiere a algo que no hiciste, es muy sospechoso.

Qué hacer si haces clic por error

Si ya hiciste clic e introdujiste tus datos, actúa rápido:

Cambia la contraseña de inmediato en el servicio real (desde la URL oficial, no desde el enlace del correo).

Activa la verificación en dos pasos si no la tenías.

Avisa a tu banco si introdujiste datos bancarios. Pueden bloquear la tarjeta preventivamente.

Reporta el correo como phishing a tu proveedor de email (en Gmail hay un botón específico).

Escanea tu dispositivo con un antivirus si descargaste algún archivo adjunto.

La defensa más efectiva: la pausa

Antes de hacer clic en cualquier enlace de un mensaje inesperado, haz una pausa de 10 segundos y pregúntate: ¿esta empresa me contactaría así? ¿Pedí yo esto? ¿El enlace es el dominio oficial?

Esos 10 segundos son la diferencia entre ser víctima o no serlo.