2check.click

4 min de lectura Actualizado: junio de 2026

¿Qué es el phishing? Guía completa con ejemplos

El phishing es un tipo de fraude en línea en el que los delincuentes se hacen pasar por una organización de confianza —un banco, una empresa de paquetería, un organismo público— para robar sus credenciales, datos bancarios u otra información personal. El término proviene del inglés "fishing" (pescar): los estafadores lanzan un anzuelo y esperan a que alguien pique.

¿Cómo funciona un ataque de phishing?

La mayoría de los ataques siguen un patrón similar:

  1. Elección de una marca conocida. Los estafadores imitan a una organización en la que usted confía: BBVA, Correos, Amazon.es o la Agencia Tributaria.
  2. Creación de un mensaje falso. Usted recibe un correo electrónico, un SMS o un mensaje de WhatsApp con un asunto urgente: "Su cuenta ha sido bloqueada", "Su paquete está retenido", "Tiene una devolución de impuestos pendiente".
  3. Redirección a un sitio web falso. El mensaje incluye un enlace a una página que imita el original pero usa un dominio diferente.
  4. Captura de datos. Si introduce su contraseña, PIN o datos de tarjeta en esa página, la información llega directamente a los estafadores.

¿Por qué funciona el phishing?

Urgencia y miedo

"Su cuenta será cancelada en 24 horas": este tipo de mensajes busca que actúe sin pensar. Lea siempre con escepticismo cualquier mensaje que genere presión inmediata.

Apariencia familiar

Los correos falsos utilizan logotipos reales, lenguaje oficial y diseños profesionales. Solo el remitente o el enlace delatan el fraude.

Uso desde el móvil

En el teléfono inteligente la URL completa no siempre es visible. Los estafadores aprovechan esto para ocultar enlaces maliciosos bajo un texto de apariencia legítima.

Ejemplos típicos de phishing en España

  • BBVA / Banco Santander: "Hemos detectado actividad inusual en su cuenta. Verifique sus datos ahora." — El enlace lleva a bbva-seguridad.com en lugar de bbva.es.
  • Correos: "Su paquete no ha podido ser entregado. Pague 1,49 € de gastos de gestión." — Correos nunca cobra tasas a través de un enlace en un SMS.
  • Agencia Tributaria: "Tiene una devolución de 312 € pendiente. Facilite su número de cuenta." — La Agencia Tributaria nunca solicita datos bancarios por correo electrónico ni SMS.
  • Amazon.es: "Su pedido ha sido cancelado. Confirme su cuenta para resolverlo." — Ningún enlace legítimo de Amazon apunta a amazon-verificacion-cuenta.com.
  • PayPal: "Su pago ha sido bloqueado. Desbloquee su cuenta ahora." — El enlace real de PayPal siempre contiene paypal.com como dominio principal.

Cómo detectar el phishing: lista de comprobación

  • El mensaje llegó de forma inesperada y exige una acción inmediata.
  • El dominio no coincide con la marca oficial (por ejemplo, bbva-online.com en lugar de bbva.es).
  • Se le pide contraseña, PIN, código de seguridad o datos de tarjeta.
  • El remitente tiene una dirección de correo electrónico extraña o desconocida.
  • El enlace contiene números, guiones o caracteres aleatorios en el dominio.
  • El candado HTTPS no garantiza que el sitio sea legítimo: los estafadores también lo usan.

¿Qué hacer si ha hecho clic en un enlace de phishing?

  • Solo ha hecho clic, no ha introducido datos: cierre la página y vigile sus cuentas durante los próximos días.
  • Ha introducido su contraseña: cámbiela de inmediato desde el sitio oficial y active la autenticación en dos pasos.
  • Ha introducido datos bancarios: contacte con su banco de inmediato y solicite el bloqueo de la tarjeta.
  • Ha descargado un archivo: no lo abra y analícelo con un programa antivirus.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, las redirecciones, la antigüedad del dominio y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Puede un sitio web de phishing ser idéntico al original?

Sí. Los estafadores copian logotipos, colores y diseños con gran precisión. Compruebe siempre la dirección del dominio, no solo el aspecto visual de la página.

¿Es HTTPS una señal de que el sitio es seguro?

No. HTTPS solo cifra la conexión, pero no confirma que el sitio sea legítimo. Muchos sitios de phishing utilizan HTTPS. Verifique siempre el dominio.

¿Cómo puedo comprobar un enlace sin hacer clic?

Copie el enlace y péguelo en 2check.click. El analizador examina el destino, el dominio, las redirecciones y las señales de phishing sin que usted tenga que abrir la página.

¿La Agencia Tributaria se pone en contacto por correo electrónico o SMS?

La Agencia Tributaria y otros organismos públicos españoles se comunican principalmente por carta o a través de la Sede Electrónica. Los correos o SMS con enlaces para reclamar devoluciones son casi siempre fraudes.

¿Cuál es la diferencia entre phishing, smishing y quishing?

El phishing llega por correo electrónico. El smishing es phishing por SMS. El quishing es phishing a través de códigos QR.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados