¿Qué es el phishing y cómo evitar que te estafen?
"A partir de mañana no podrás usar tu tarjeta si no actualizas tu contraseña". "Por motivos de seguridad, tu cuenta ha sido bloqueada, por favor, sigue el enlace para verificar tu identidad". Tranquilo, ni a tu tarjeta ni a tu cuenta les pasa nada, sino que están intentando estafarte usando la técnica del phishing. Y, cuidado, porque si caes en la trampa, te pueden robar mucho dinero. En esta página te vamos a explicar qué es el phishing, cómo evitarlo y cómo recuperar tu dinero si han accedido a tu cuenta bancaria.
El 7 de mayo de 2025, el Tribunal Supremo dictó una sentencia clave en materia de fraudes digitales: los bancos están obligados a devolver el dinero sustraído en estafas, como el 'phishing', siempre que no puedan demostrar que el cliente actuó con negligencia grave.
¿Qué es el phishing?
Quizá este término te suene a chino, pero lo más importante que tienes que saber sobre el phishing es que es sinónimo de estafa. Un timo sencillo, pero muy efectivo que los ciberdelincuentes usan constantemente para intentar robarle el dinero a sus víctimas. ¿Qué es exactamente el phishing?
El phishing consiste en hacerse pasar por una empresa legítima, como, por ejemplo, un banco, una plataforma de contenidos audiovisuales, una empresa de mensajería o, incluso, un organismo gubernamental para engañarte y conseguir que compartas tus datos personales como tus claves de acceso a la banca online o los números de tu tarjeta o que descargues un programa malicioso. El objetivo final siempre es el mismo: robarte tu dinero.
¿Y cómo lo hacen? Los ciberdelincuentes intentan engañarte utilizando el nombre de tu banco en sus e-mails o mensajes de texto y creando copias de sus webs o apps. Te envían un SMS o un e-mail suplantando la identidad de una empresa con un enlace que te dirige a una web fraudulenta. Luego, todo está preparado para que acabes compartiendo tus datos. Este es un ejemplo:
Si alguna vez recibes un SMS similar a los anteriores, bórralo y no pinches en el enlace. Es un ataque de phishing. Recuerda que tu banco nunca te pedirá tus claves personales ni los números de tu tarjeta por SMS o e-mail.
¿Cómo funciona un ataque de phishing?
Para no caer en las garras de los ciberdelincuentes, debes conocer cómo funciona el phishing. La estafa es sencilla.
Los ciberdelincuentes eligen qué empresa van a suplantar. Suelen escoger bancos, organismos nacionales como Hacienda, empresas de mensajería como Correos...
Los estafadores envían un SMS o un e-mail a sus víctimas suplantando la identidad de la empresa. Pueden, incluso, usar su logo para que el engaño parezca más real.
La víctima recibe el mensaje, que suele ser alarmista. Pueden usar mensajes como tu cuenta ha sido bloqueada o alguien ha hecho pagos no autorizados con tu tarjeta.
El mensaje que recibe la víctima incluye un enlace, que lleva a una web casi idéntica a la página original de la empresa, pero que, en realidad, es una copia. A veces, la URL de la web falsa solo tiene una o dos letras distintas a la de la web legítima.
En la web, hay un formulario para que el usuario introduzca sus datos. El objetivo final es que la víctima acabe compartiendo información personal (usuario y contraseña de la banca online, número de tarjeta...) para robarle su dinero.
El usuario introduce sus datos personales, que llegan a manos de los delincuentes. Cuando esto ocurre, la web muestra algún mensaje o redirige a la web original de la empresa, para que la víctima no sospeche y no se entere del timo.
Los ciberdelincuentes no solo suplantan a bancos
Para algunos consumidores, los ataques de phishing se han convertido en algo tan habitual que ya no les cuesta ningún esfuerzo detectarlos. A veces, incluso, los ciberdelincuentes envían ataques de phishing suplantando la identidad de un banco del que ni siquiera somos clientes. Sin embargo, por muy habituales que sean estas estafas, muchos consumidores siguen cayendo en la trampa. Por eso no hay que relajarse.
En 2022 hubo en España 335.995 fraudes informáticos, casi un 26% más que en 2021, entre los que se incluyen estafas bancarias y estafas con tarjetas, según los datos del Observatorio Español de Delitos Informáticos.
Los ataques de phishing son cada vez más sofisticados y más variados. Los ciberdelincuentes intentan suplantar la identidad de:
- bancos para intentar engañar a sus clientes
- empresas de mensajería como SEUR o Correos,
- instituciones estatales como la Agencia Tributaria
- compañías de streaming.
Este es otro ejemplo:
Es un ataque de phishing clásico. Recibes un SMS firmado por Correos que te indica que tienes que pagar unas tasas de aduanas para recibir un paquete.
El pago lo puedes hacer haciendo clic en el enlace que acompaña al SMS.
lLa realidad es que ni es Correos el que te está escribiendo ni te va a llegar ningún paquete. Es un timo. Detrás hay un ciberdelincuente que quiere robarte unos euros.
Otro ataque que se ha puesto de moda es suplantar a Bizum.
Recibes un SMS supuestamente de Bizum para que pinches en un enlace para aceptar un Bizum. Es mentira.
Si en algún momento alguien te envía dinero por Bizum, el dinero te llegará automáticamente a tu cuenta sin necesidad de que aceptes nada.
Ten una segunda cuenta
Si sufres un ataque de phishing, es posible que tengas que bloquear tu tarjeta o, incluso, que el banco te bloquee tu cuenta. En ese caso, no podrás pagar compras ni usar tu dinero. Por eso, en HelpMyCash te recomendamos que tengas al menos una segunda cuenta abierta para poder operar mientras tu cuenta principal está bloqueada. Puedes abrir una cuenta sin comisiones y sin condiciones totalmente gratis.
¿Cómo evitar el phishing?
Los ataques de phishing no son perfectos y hay una serie de trucos que puedes usar para detectarlos. Vamos a usar como ejemplo este e-mail que hemos recibido en el que se hacen pasar por Kutxabank.
1- Revisa el remitente del mensaje
Comprueba quién es el remitente del SMS o del e-mail. En el caso de los correos electrónicos, verifica que la dirección desde la que te están escribiendo incluye el nombre del remitente.
Por ejemplo, si recibes un e-mail de Banco Sabadell, la dirección de correo electrónico terminará por @bansabadell.com y si recibes uno de Abanca, por @abanca.com. En caso contrario, sospecha. Y si el e-mail te lo están enviando desde un gestor gratuito como Gmail o Hotmail, sospecha también.
En el caso de los SMS, comprobar el remitente puede ser más difícil, porque últimamente los ciberdelincuentes están consiguiendo colar sus mensajes fraudulentos dentro de los hilos de mensajes reales de la empresa cuya identidad están suplantando.
Si has recibido un SMS o un e-mail y no sabes si es real, antes de pinchar en ningún enlace ponte en contacto con la empresa que supuestamente te lo está enviando para que te diga si es una comunicación legítima o un intento de phishing.
2- Comprueba la ortografía del mensaje
La mayoría de los ataques de phishing tiene un denominador común: están mal escritos. Los SMS y los correos electrónicos fraudulentos suelen contener faltas de ortografía y errores gramaticales. A veces, incluso, parece que un traductor automático los haya traducido de otro idioma. Ten presente que si una empresa seria se pone en contacto contigo, prestará atención a la ortografía.
En este mensaje se usa una mayúscula donde debería haber una letra minúscula y, además, se usa el nombre de Kutxabanco cuando el nombre real de la entidad es Kutxabank. Ningún banco se equivocaría escribiendo su propio nombre.
3- Comprueba el diseño
La mayoría de las empresas envía todas sus comunicaciones siguiendo una misma línea gráfica. Esto no aplica a los SMS, pero si recibes un e-mail de un banco y su estilo es distinto al de todos los correos que has recibido previamente, desconfía.
Como puedes ver en este e-mail, el diseño no se corresponde con el de un banco e, incluso, la imagen está rota. Un banco no enviaría un correo así.
4- Presta atención al tono
Los ciberdelincuentes suelen recurrir a mensajes de alarma para preocupar a sus víctimas y que caigan en su trampa. Si recibes una comunicación en la que te indican que tu cuenta está en peligro o que tu tarjeta ha sido bloqueada o algo similar y te invitan a hacer alguna acción urgentemente como, por ejemplo, cambiar tu contraseña, llama primero a tu banco o a la empresa que presuntamente te esté enviando el mensaje y acláralo.
5- Revisa el enlace
El objetivo final del phishing es robarte tus datos personales. ¿Y cómo lo consiguen? De dos maneras, o bien te los roban instalando en tu dispositivo un virus o, más fácil todavía, tú se los das inconscientemente.
Por lo general, los mensajes fraudulentos van acompañados de un archivo adjunto o de un enlace que dirige a una web falsa. Estas páginas se parecen mucho a las originales, pero en realidad son una copia. Para empezar, su URL será distinta. Además, es posible que la mayoría de los enlaces no funcionen o que todos los botones te lleven siempre al mismo sitio: un formulario para que introduzcas tus datos personales (claves de tus cuentas, números de tus tarjetas, etc.). Recuerda, al ciberdelincuente le interesan tus datos para poder robarte tu dinero.
Como puedes ver, en el e-mail que hemos recibido el enlace al que dirige el botón para, supuestamente, actualizar tus datos no tiene nada que ver con el banco.
Nunca descargues ningún archivo y nunca pinches en los enlaces y, si lo haces, no compartas tus datos personales. Si has recibido un e-mail, pasa el cursor por encima del enlace, sin llegar a pinchar, y comprueba cuál es la URL que aparece en la esquina inferior izquierda de tu pantalla. Puedes comparar esa dirección con la URL real de la web que suplanta. Comprobarás que no son la misma.
Verifica siempre en qué web estás
Acabar en una web falsa no es tan difícil. Y no hace falta que recibas un SMS o un e-mail de phishing para que te ocurra. Puedes terminar entrando en una página fraudulenta a través de un enlace procedente de la redes sociales o, directamente, desde tu buscador de confianza.
Por ejemplo, si buscas "correos prepago" en uno de los principales buscadores, el primer resultado es una web falsa, mientras que el segundo es la página correcta de la compañía. Como puedes comprobar, la URL de la primera web es distinta, pero usa una combinación de letras que despistan.
Vishing: la estafa de la llamada telefónica
El vishing es como el phishing, pero en lugar de intentar timarte por SMS o por e-mail, pretenden estafarte llamándote por teléfono. La trampa es muy sencilla, pero también efectiva.
Funciona así: alguien que supuestamente trabaja en tu banco te llama por teléfono. Tú te lo crees, porque el número que aparece en la pantalla de tu móvil es el de tu entidad. Te explica que alguien ha intentado entrar en tu cuenta o que tu tarjeta está bloqueada y te pide una serie de datos, como tus claves de la banca online o un código que supuestamente te va a mandar por SMS. En realidad, es un timo. La persona que te está llamando no trabaja en tu banco y a tu cuenta y a tu tarjeta no les pasa nada, lo que está intentando hacer es robarte o conseguir información personal sobre ti.
¿Qué puedes hacer para protegerte?
- Nunca compartas tus datos personales por teléfono (tu banco nunca te los pedirá porque ya sabe quien eres)
- Desconfía siempre que te llamen, aunque el número que aparezca en la pantalla de tu móvil sea el de tu banco (se puede falsear)
- En caso de duda, cuelga y llama tú a tu banco para preguntar
He sido víctima de phishing, ¿qué hago?
- Analiza qué datos personales has compartido
- Llama a tu banco cuanto antes para que bloqueen tu tarjeta y tu banca online
- Cancela tus tarjetas tu mismo a través de la app de tu banco
- Contacta con tu banco para informarle de lo que te ha pasado y que tome las medidas oportunas
Si los ciberdelincuentes te han robado dinero, acude a la Policía y pon una denuncia. Luego presenta la denuncia a tu banco. Te ayudará a apoyar tu reclamación para recuperar el dinero.
Consejo. Si han suplantado la identidad de tu banco y has caído en la trampa, bloquea tu tarjeta lo más rápido posible, cambia las contraseñas de tu banca a distancia y tu clave de firma, e informa al banco.
Los bancos deberán devolver el dinero de los fraudes digitales
Cuando un cliente ve cómo le vacían la cuenta mediante transferencias o Bizum no autorizadas, surge la duda de quién asume la pérdida. El Tribunal Supremo resolvió el 9 de abril de 2025 que, salvo que el banco pruebe una negligencia grave por parte del usuario (por ejemplo, dejar las claves al alcance de otros), la entidad debe devolver íntegramente el dinero “a más tardar al final del siguiente día hábil” tras el aviso.
La sentencia, que se apoya en la Directiva europea de servicios de pago y su adaptación española, sitúa la carga de la prueba en la entidad: solo si demuestra que el cliente actuó con dolo o descuido extremo quedará eximida de la restitución. El usuario, por su parte, debe comunicar de inmediato cualquier operación sospechosa; a partir de ese momento, corresponde al banco tomar las medidas necesarias, cambiar contraseñas, bloquear tarjetas y revertir movimientos, para proteger los fondos.
Además, el Supremo reclama a las entidades que mejoren sus sistemas de detección de fraudes: analizar importes inusualmente altos o movimientos repetitivos en horas atípicas, comparar la actividad con el perfil habitual del cliente y generar alertas automáticas que refuercen los controles antes de validar una operación. Con estos mecanismos, los bancos podrán impedir muchos ataques antes de que causen un perjuicio económico al usuario.
Herramientas sobre Operativa cuenta bancaria
CaixaBank - ¿Cómo pagar recibos o impuestos desde la app?
¿Sabes cómo pagar tus recibos, impuestos o multas desde la app de CaixaBank en menos de 1 minuto? En este breve vídeo te contamos los pasos para pagar recibos desde CaixaBank.
BBVA - ¿Cómo descargar el certificado de titularidad con la 'app' BBVA?
¿Quieres descargar el certificado de titularidad de tu Cuenta BBVA? Hazlo a través de la app de BBVA en segundos. Eso sí, tiene un coste. Te contamos cómo descargar el extracto si eres de BBVA.
N26 - ¿Cómo establecer limites de pago con la app N26?
Si te has abierto una cuenta N26 y quieres aprovechar sus ventajas internacionales, que sepas que puedes configurar el límite de pagos y retiradas por la app. Así fijarás el límite según tus necesidades y beneficiarás tu seguridad.
