Recibes un correo que parece legítimo: tiene el logo de tu banco, tu nombre completo y un mensaje urgente que dice: “Tu cuenta fue bloqueada. Inicia sesión para reactivarla”. Sin sospechar nada, haces clic… y sin darte cuenta, estás frente a un ataque phishing.
Este tipo de amenaza es una de las formas más comunes de fraude digital. A diario, millones de personas son víctimas de correos, mensajes de texto o llamadas falsas diseñadas para robar contraseñas, datos bancarios o accesos a cuentas personales y profesionales.
Lo más peligroso es que muchos de estos engaños están cuidadosamente diseñados para parecer reales. Por eso, saber cómo identificar un ataque phishing es fundamental para proteger tu información. En esta guía encontrarás ejemplos reales, señales de advertencia y consejos prácticos para mantenerte un paso adelante de los ciberdelincuentes.
¿Tipos de ataque de phishing y cómo funcionan?
El phishing no es un único tipo de ataque. Es una técnica de fraude que puede adoptar distintas formas, todas con un mismo objetivo: hacer que entregues voluntariamente tu información personal o financiera. Los ciberdelincuentes se hacen pasar por empresas, instituciones o personas confiables para ganarse tu confianza y aprovecharse de ella.
A continuación, te mostramos los principales tipos de phishing, cómo operan y qué ejemplos reales deberías conocer para estar mejor preparado:
| Tipo | Descripción | Ejemplos |
| Email phishing: el clásico | Suplantación de identidad por correo electrónico, que busca engañar al usuario para robar contraseñas, datos bancarios o instalar malware. | Recibes un correo de “tu banco” diciendo: “Tu cuenta fue bloqueada. Inicia sesión aquí para recuperarla”, con un enlace a una web falsa. |
| Smishing: phishing por SMS | Variante de phishing que utiliza mensajes de texto (SMS) o mensajería instantánea para inducir al usuario a hacer clic en enlaces maliciosos. | Te llega un SMS: “Mercado Envíos: tu paquete no pudo ser entregado.Pagá $100 para reprogramar aquí: [link]”. El sitio roba tu tarjeta. |
| Vishing: phishing por llamada | Fraude telefónico en el que los estafadores se hacen pasar por empleados de bancos, servicios o soporte técnico para obtener datos sensibles. | Recibes una llamada diciendo ser de “tu banco”, alertándote sobre un intento de hackeo, y te piden los códigos que llegaron a tu celular. |
| Spear phishing: personalizado y peligroso | Ataque dirigido a una persona específica, con mensajes muy personalizados que parecen legítimos, basados en información real obtenida previamente. | Recibes un correo que parece de tu jefe con tu nombre, indicando: “Necesito que autorices esta transferencia ahora”, con detalles creíbles. |
| Whaling: ataque a grandes objetivos | Tipo de spear phishing dirigido a altos cargos (directores, gerentes, CEOs), buscando acceder a información estratégica o cuentas empresariales. | El CEO recibe un correo falso de un “proveedor internacional”, solicitando el pago urgente de una factura por un proyecto en curso. |
| Quishing | Uso de un código QR falso para engañarte. Escaneas con tu celular y te lleva a una página falsa que parece real, donde te piden tus datos. | Estás en un restaurante y escaneas un QR para ver el menú, pero ese QR fue pegado encima del original y te lleva a una web falsa que pide iniciar sesión con tu cuenta de Google. Te roban usuario y contraseña. |
| Pharming | Aunque pongas bien la dirección de una página (como la del banco), un virus o problema en tu red puede hacer que termines en una copia falsa sin darte cuenta | Escribes correctamente el sitio web de tu banco, pero tu computadora o red está infectada. En vez de ir al sitio real, te lleva a uno igual, pero falso. Ingresas tus datos y los ladrones los obtienen. |
Señales de que un correo es phishing:
1. Remitente sospechoso o con errores
El correo aparenta ser de una empresa confiable, pero la dirección tiene cambios sutiles o dominios extraños.
Ejemplo: @mercado-l1bre.info en lugar de @mercadolibre.com
2. Enlaces engañosos
El texto parece legítimo, pero al pasar el cursor, el enlace lleva a una dirección desconocida o falsa.
Ejemplo: www.mercadolibre.com/verificacion
3. Solicita información personal o financiera
Ninguna empresa seria te pedirá contraseñas, números de tarjeta o códigos de seguridad por correo electrónico.
4. Tono urgente o amenazante
Mensajes que intentan asustarte o presionarte para actuar rápido.
Ejemplo: “¡Actúa ahora o perderás el acceso a tu cuenta!”
5. Errores de ortografía o redacción poco profesional
Faltas ortográficas, traducciones incorrectas o frases mal escritas son señales comunes de correos falsos.
6. Imagenes pixeleadas o no actualizadas
Los atacantes a veces copian logos antiguos o de baja calidad para hacer que el correo parezca oficial, pero los detalles visuales pueden delatarlos.
Análisis de señales detectadas de phishing:
1. Correo remitente falso: [email protected]
- El dominio oficial de Mercado Libre es @mercadolibre.com.
- Aquí usan un correo que imita el nombre, pero con errores (una “l” cambiada por “1”, y es una cuenta de Gmail, no oficial).
- Esto es una señal clara de phishing.
2. Enlace falso y engañoso: www.mercadolibre.com/verificacion
- Aunque el texto parece legítimo, puede llevar a una web falsa para robar datos.
- El enlace real puede ser diferente o malicioso.
3. Solicitud de información sensible
- Piden datos personales muy delicados:
- Nombre completo
- Número de tarjeta de crédito
- Código de seguridad (CVV)
- Contraseña de acceso
- Ninguna empresa seria solicitaría esto por correo.
4. Título urgente y amenazante
¡URGENTE! Tu cuenta será suspendida en 10 minutos
- Se usa para generar miedo y presión para actuar rápido sin pensar.
5. Frases que presionan o amenazan
- “Es imprescindible que verifique su información inmediatamente…”
- “Si no realiza esta acción en las próximas 24 horas, su cuenta será eliminada permanentemente.”
- Frases que inducen al pánico para que caigas en la trampa.
6. Logo o imagen del remitente
- Ponen el logo oficial para parecer legítimos.
- Esto puede engañar visualmente, pero no garantiza autenticidad.
7. Saludo genérico: Estimado cliente:
- No usan tu nombre, es un saludo estándar que usan para enviar masivamente.
Señales que generan duda ante un ataque de phishing:
1. Mensaje inesperado de un servicio que usas
Aunque uses esa plataforma, si no esperabas el correo, es recomendable verificar antes de actuar.
2. Te llaman por tu nombre, pero algo no encaja
Algunos ataques más sofisticados usan tu nombre real, pero el resto del mensaje parece extraño.
3. Diseño profesional con detalles sospechosos
El correo se ve bien hecho, pero puede tener imágenes borrosas, botones desalineados o colores diferentes a los oficiales.
4. Promociones o premios demasiado tentadores
Aunque algunas marcas envían ofertas reales, si suena demasiado bueno para ser verdad, es mejor desconfiar.
5. Llega a la bandeja principal, pero sin firma ni datos reales de contacto
Un correo legítimo incluye teléfonos, direcciones o enlaces verificados. Si no los tiene, podría ser fraudulento.
Imagen Ejemplo:
Análisis de señales:
- Mensaje inesperado de un servicio que usás: Usás Mercado Libre, pero nunca te inscribiste a ningún programa de recompensas.
- Usa tu nombre, pero el contenido es genérico: Te llama “María” pero el resto del mensaje no personaliza nada más.
- Diseño profesional pero con pequeños errores: El dominio del remitente parece legítimo, pero no es el oficial.
El botón está bien hecho, pero el enlace es externo y sospechoso.
- Promesa tentadora: $10.000 sin condiciones ni explicación concreta.
- No hay datos reales de contacto: No hay dirección física, teléfonos ni enlaces a políticas oficiales de Mercado Libre.
Phishing por SMS, redes sociales o llamadas
Los atacantes también operan fuera del correo electrónico. Estas son otras formas comunes:
Mensajes de texto (Smishing)
- Premios falsos: “¡Ganaste un TV! Reclámalo aquí: bit.ly/premioTV”
- Códigos inesperados: “Tu código de verificación es 845921” (sin que tú lo hayas solicitado).
- Mensajes de amigos hackeados: “Amigo, necesito $10.000 urgente”
Sitios web falsos
- URLs casi idénticas: legitima www.santander.com.ar vs modificada www.banco-santender.com
- Sin candado de seguridad: No uses sitios que no empiezan con https://.
- Diseño poco confiable: Imágenes de baja calidad o errores en el idioma.
Llamadas fraudulentas (Vishing)
- Fingen ser de tu banco o soporte técnico.
- Te apuran a instalar software o dar acceso remoto.
- Siempre buscan que tomes decisiones sin pensar.
Otras formas modernas.
- Códigos QR maliciosos: te llevan a sitios falsos.
- Apps no oficiales: imitan servicios reales, pero no están verificadas.
- Anuncios falsos: “70% OFF en Nike” que te redirige a páginas fraudulentas.
Consejos para evitar caer en phishing.
Estos simples hábitos pueden hacer una gran diferencia:
- Activar la verificación en dos pasos
- Mantene tu dispositivo actualizado
- Desconfiar de lo que parece un mensaje Urgente o amenazante.
- Navega en sitios web seguros que empiezan con https://
- Usá antivirus y navegadores que alerten sobre sitios peligrosos.
Conclusión
El phishing no es solo un problema técnico, es un juego de engaño y aunque las trampas se ven cada vez más reales, estar atentos y bien informados puede marcar la diferencia.
Tomarte unos segundos para revisar un mensaje puede ahorrarte muchos dolores de cabeza. Recordá: la seguridad digital comienza con vos.
¿Puedes detectar un ataque de phishing real?
Saber qué es el phishing no siempre significa estar preparado para enfrentarlo, la teoría es importante, pero lo que realmente importa es cómo reaccionas en el momento.
Pon a prueba tu instinto digital con nuestro test interactivo.
Escrito por: Ludmila Pacheco
Pasante en Hackmetrix