¿Qué es el phishing? Cómo detectarlo y frenarlo (2026)

Recibes un SMS: «Tu paquete está retenido — confirma tus datos aquí.» O un correo que parece exactamente tu banco, avisando de que tu cuenta se bloqueará. Eso es phishing — y es la forma más común en que la gente corriente pierde cuentas y dinero en 2026. No rompe el cifrado ni adivina contraseñas; te engaña a ti para que las entregues. Esta guía explica qué es el phishing, los tipos a reconocer, cómo detectarlo, y las defensas que de verdad funcionan.

Qué es el phishing

El phishing es un ataque de ingeniería social: un estafador se hace pasar por alguien de confianza para empujarte a revelar credenciales o datos, o a instalar malware. Suele llegar como un mensaje que fabrica urgencia («actúa ya o pierde el acceso») y te dirige a una página de inicio de sesión falsa o a una respuesta con datos personales.

El ataque apunta al juicio humano, no a la tecnología. Por eso funciona incluso contra contraseñas fuertes — te persuaden de escribirlas tú mismo en la página del atacante.

Los tipos principales

• Phishing por correo — la campaña masiva clásica.
• Spear phishing — personalizado para un objetivo concreto, mucho más convincente.
• Whaling — dirigido a directivos.
• Smishing — por SMS; vishing — por llamada de voz (falso «soporte» o «banco»).
• Clone phishing — copia un mensaje real pero cambia el enlace por uno malicioso.

Todos comparten un objetivo: hacerte actuar antes de verificar.

Cómo detectarlo

• Urgencia o amenazas — «tu cuenta se cerrará».
• Una dirección de remitente sutilmente incorrecta — mira bien el dominio.
• Enlaces que no coinciden — pasa el cursor para ver el destino real; no cuadra con el sitio que dicen.
• Peticiones de contraseñas o códigos — los servicios legítimos nunca las hacen.
• Saludos genéricos y adjuntos inesperados.

En móvil, los enlaces son más difíciles de inspeccionar — extrema el cuidado. Ante la duda, no hagas clic: escribe tú la dirección o usa la app oficial.

Cómo frenarlo

• Nunca hagas clic en enlaces de mensajes inesperados. Ve a los sitios directamente.
• Activa la verificación en dos pasos para que una contraseña robada por sí sola no baste — y prefiere factores resistentes al phishing.
• Usa un gestor de contraseñas. Solo autocompleta en el dominio real; si se niega, el sitio es probablemente falso — un aviso integrado. (Mira por qué los gestores son seguros.)
• Verifica las peticiones «urgentes» por un canal aparte y de confianza.

Por qué passkeys y gestores resisten al phishing

Ambos están ligados al dominio real. Un gestor solo autocompleta en el sitio legítimo exacto, así que una página imitadora no obtiene nada. Las passkeys y llaves físicas (FIDO2/WebAuthn) van más allá: el inicio de sesión está criptográficamente ligado al origen del sitio real, así que aunque aterrices en una página falsa, no se autentica. Esa vinculación al origen es la verdadera defensa — mira nuestra guía de las mejores apps de autenticación, y si crees que ya caíste, qué hacer si una cuenta está hackeada.

En resumen

El phishing te empuja a entregar tus credenciales mediante mensajes y páginas de inicio de sesión falsos — vence a las contraseñas fuertes porque te apunta a ti, no a tu cifrado. Detéctalo por su urgencia, su remitente incorrecto y sus enlaces incoherentes; frénalo no haciendo nunca clic en enlaces inesperados, activando una 2FA resistente al phishing, y dejando que un gestor se niegue a autocompletar en los falsos. El hábito de verificar antes de actuar es toda la defensa.

Guía editorial basada en técnicas documentadas de phishing (correo/spear/smishing/vishing) y defensas estándar (2FA, passkeys, vinculación al dominio de los gestores). Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste extra para ti.