Phishing y sitios fraudulentos
El phishing es el fraude que se hace pasar por un sitio legítimo (banco, correo, tienda, organismo público) para que introduzcas credenciales o datos. La defensa principal es leer la dirección web antes de hacer clic: el dominio real está siempre justo antes del primer / tras https://. Todo lo demás puede estar diseñado para confundir.
- Vector más común
- Correo, SMS y mensajería que pide hacer clic en un enlace.
- Lo que buscan
- Credenciales (usuario y contraseña), datos bancarios, códigos de verificación, dinero.
- Lo que aprovechan
- Urgencia, miedo, autoridad y similitud visual con marcas conocidas.
- Lo más eficaz
- Comprobar el dominio real y no abrir enlaces de mensajes que generan presión.
Cómo se reconoce un sitio falso
Lo primero, leer la dirección. Detalle completo en URLs y direcciones web. La regla básica: ignora subdominios, salta hasta el primer / después de https://, y mira la palabra que tiene pegado un dominio de nivel superior conocido (.com, .es, .org...). Esa palabra es el sitio real.
Ejemplos:
https://www.banco.com/login → dominio: banco.com. Probable legítimo.
https://banco.com.seguridad-cliente.es/login → dominio: seguridad-cliente.es. Phishing.
https://banco-online.support/cliente → dominio: banco-online.support. No es banco.com; el TLD raro es señal.
https://baṅco.com/ → dominio con un carácter especial (Unicode) que no es la n latina. Algunos navegadores lo muestran como Punycode (xn--bco-...) cuando lo detectan.
El candado no protege
Un sitio de phishing puede tener perfectamente HTTPS y candado en la barra. Los certificados son gratuitos y se emiten en minutos para cualquier dominio. El candado significa que la conexión está cifrada, no que el sitio sea legítimo. Si lees solo el candado y no el dominio, no estás protegido.
Patrones que se repiten
Sustitución de letras visualmente similares: arnazon.com (rn por m), g00gle.com (ceros por oes), microsofl.com (l por t). Para un ojo distraído pasan.
Subdominio que imita marca: paypal.security-team.com es security-team.com con un subdominio que se llama "paypal".
TLD inesperado: iberdrola.com.es-soporte.io, correos.es-paquete.info. La marca real está, pero el dominio termina en algo poco común.
Enlaces acortados: bit.ly/3XyZ, tinyurl.com/.... Esconden el destino. No los abras desde origen no fiable. Si tienes que abrirlo, hay servicios para previsualizar acortadores.
Archivos adjuntos disfrazados: ZIP con un .exe dentro, PDFs con scripts, HTML con formulario falso. Más en descargas.
Banderas rojas en el mensaje, antes del clic
Independientemente de la URL, hay señales que aparecen una y otra vez en intentos de phishing:
Urgencia artificial: "Tu cuenta será bloqueada en 24 horas", "Detectamos un cargo sospechoso, confirma ahora", "Última oportunidad". El objetivo es que no pienses.
Saludo genérico: "Estimado cliente", "Querido usuario". Tu banco real suele saber tu nombre.
Ortografía y traducción extrañas: faltas, frases que suenan a traducción automática, mezcla de tildes. Cada vez menos frecuente con la mejora de modelos de lenguaje, pero sigue siendo señal cuando aparece.
Petición inesperada de credenciales: ningún banco serio te pide la contraseña por correo o por SMS, jamás.
Remitente que no coincide con la marca: correo de "BBVA" que viene de [email protected].
Enlace que no coincide con el texto: el texto del enlace dice "ir a tu banco", pero al pasar el ratón aparece otra dirección. En el móvil, mantén pulsado el enlace para ver la URL real.
Phishing por SMS y llamada
El "smishing" (phishing por SMS) y "vishing" (por llamada) son extensiones del mismo fraude. Los mensajes que dicen "tu paquete está retenido, paga 0,99 € aquí", "su cuenta de Netflix será suspendida, actualice datos", o llamadas suplantando soporte técnico, banco o policía, siguen el mismo patrón: urgencia, autoridad, petición de datos o pago.
La regla práctica: nunca abras enlaces que llegan por SMS desde remitentes no esperados. Si te preocupa que sea verdad, abre la app del servicio o escribe la dirección a mano en el navegador.
Defensas técnicas del navegador
Los navegadores principales usan listas de sitios fraudulentos conocidos (Google Safe Browsing en Chrome, Firefox, Brave; Microsoft SmartScreen en Edge). Cuando intentas entrar a uno, aparece un aviso en pantalla completa antes de cargar la página. Hacer caso a ese aviso casi siempre es la decisión correcta.
Las listas no son perfectas: los sitios nuevos tardan en aparecer. Por eso el aviso es complemento, no sustituto, de leer la URL.
Si has caído
Si has introducido credenciales en un sitio falso:
1. Cambia la contraseña del servicio real inmediatamente. Si la usabas en otros sitios (lo cual no deberías; ver contraseñas en el navegador), cámbiala también allí.
2. Activa la verificación en dos pasos en ese servicio.
3. Si era el banco, llama al banco por el número que aparece en su web oficial o en el reverso de tu tarjeta. No por el número que aparezca en el mensaje recibido.
4. Si has hecho una transferencia, denuncia ante la policía o la unidad correspondiente de tu país. Hay plazos cortos para intentar revertir movimientos.
Ver también
- URLs y direcciones webCómo leer una dirección parte por parte.→
- HTTPS y seguridad de la conexiónPor qué el candado no es señal de confianza.→
- Contraseñas en el navegadorPor qué un gestor protege también del phishing.→
- Navegadores para personas mayoresConfiguraciones que reducen exposición a estafas.→
- Cómo actualizar tu navegadorY cómo distinguir un aviso real de un aviso falso.→