Ejemplos de amenazas y estafas de phishing

Explore ejemplos realistas de ataques de phishing en 7 categorías. Cada ejemplo es educativo y usa un dominio de marcador de posición seguro — no se muestran enlaces maliciosos reales. Úselos para reconocer las tácticas que los atacantes emplean en la práctica.

Solo con fines educativos. Todos los nombres de dominio mostrados son marcadores de posición ficticios. Nunca copie ni visite dominios de los ejemplos de phishing.

  • Centrado en la privacidad
  • Sin inicio de sesión requerido
  • Sin datos personales recopilados
  • Análisis anónimo
  • Plataforma educativa de seguridad

Mostrando 21 ejemplos

Very High RiskSMSEstafa de entrega

Falso aviso de entrega de Correos

Lo que ve

Correos: Su paquete (ES789012345) no ha podido ser entregado. Pague 1,99€ de gastos de segunda entrega para reprogramarla: correos-reentrega.example-phishing-domain.com

Por qué es sospechoso
  • Correos nunca cobra gastos de reentrega mediante enlaces de SMS.
  • El dominio correos-reentrega.example-phishing-domain.com no es correos.es.
  • Una pequeña cantidad se usa deliberadamente para bajar la guardia — introducir datos de tarjeta expone toda su información de pago.
  • El número de seguimiento parece real pero aquí no tiene ningún significado.
Very High RiskSMSEstafa de entrega

Cobro de aduana de SEUR

Lo que ve

SEUR: Su paquete está retenido por tasas de aduana pendientes de 3,50€. Pague ahora para evitar la devolución al remitente: seur-aduana-es.example-phishing-domain.com

Por qué es sospechoso
  • SEUR y las agencias de aduanas comunican los cargos por canales oficiales, no mediante SMS con enlaces externos.
  • El dominio seur-aduana-es.example-phishing-domain.com no pertenece a SEUR (seur.com).
  • La amenaza de devolución genera presión para actuar de inmediato sin verificar.
High RiskEmailEstafa de entrega

Problema con pedido de Amazon — Verificar dirección

Lo que ve

Hay un problema con su pedido reciente de Amazon (#302-8472910-3827465). Por favor, verifique su dirección de entrega en 24 horas para evitar la cancelación: amazon-pedido-verify.example-phishing-domain.com

Por qué es sospechoso
  • Las comunicaciones legítimas de Amazon enlazan solo a amazon.es o amazon.com.
  • El plazo de 24 horas es una táctica de presión diseñada para que actúe antes de pensar.
  • Amazon nunca le pide que verifique una dirección a través de un dominio ajeno a Amazon.
Very High RiskEmailSuplantación de marca

Cuenta BBVA suspendida — Remitente typosquat

Lo que ve

De: BBVA Seguridad <noreply@bbva-banco.example-phishing-domain.com> Su cuenta BBVA ha sido suspendida temporalmente por actividad inusual. Verifique su identidad en 24 horas para restaurar el acceso completo.

Por qué es sospechoso
  • El dominio del remitente bbva-banco.example-phishing-domain.com no es bbva.es — usa 'bbva' junto a 'banco' para parecer legítimo.
  • Todos los correos auténticos de BBVA provienen de @bbva.com o @bbva.es.
  • 'Cuenta suspendida' es una de las frases de presión más comunes en ataques de suplantación bancaria.
Very High RiskEmailSuplantación de marca

Bloqueo de banca online Banco Santander

Lo que ve

De: Santander Seguridad <seguridad@santander-clientes.example-phishing-domain.com> Su acceso a la banca online ha sido bloqueado temporalmente. Confirme su identidad ahora: santander-clientes.example-phishing-domain.com/login

Por qué es sospechoso
  • Banco Santander nunca envía alertas de seguridad por correo con enlaces externos — sus datos de contacto reales están al dorso de su tarjeta.
  • El dominio santander-clientes.example-phishing-domain.com no es bancosantander.es.
  • 'Bloqueado temporalmente' es un activador de miedo clásico para provocar acción inmediata sin pensamiento crítico.
Very High RiskEmailSuplantación de marca

Apple ID suspendido — Suplantación de subdominio

Lo que ve

Su Apple ID ha sido suspendido tras varios intentos de inicio de sesión fallidos desde un dispositivo desconocido. Desbloquee su cuenta inmediatamente: appleid-verificar.example-phishing-domain.com

Por qué es sospechoso
  • La gestión del Apple ID se realiza exclusivamente en appleid.apple.com — ningún otro dominio es legítimo.
  • El subdominio appleid-verificar está diseñado para parecer oficial a primera vista, pero pertenece a un dominio ajeno.
  • 'Intentos de inicio de sesión que usted no realizó' es una táctica de miedo para provocar acción inmediata.
Very High RiskQR CodeEstafa con QR

Falso QR de multa de tráfico (DGT)

Lo que ve

Código QR en una notificación de multa → dgt-multa-pagar.example-phishing-domain.com 'Escanee el código QR para pagar su multa de tráfico. Las multas impagadas aumentan un 50% en 30 días.'

Por qué es sospechoso
  • La DGT y las administraciones públicas redirigen a portales oficiales (.gob.es) — nunca a dominios externos.
  • Los pegatinas con códigos QR falsos se colocan a menudo sobre los QR reales en notificaciones de multa.
  • La amenaza del recargo genera urgencia e impide verificar si el dominio es legítimo.
High RiskQR CodeEstafa con QR

QR de restaurante manipulado

Lo que ve

Pegatina con QR en una mesa de restaurante → restaurante-pedir.example-phishing-domain.com/login 'Inicie sesión para ver la carta y realizar su pedido.'

Por qué es sospechoso
  • Las cartas de restaurante nunca requieren inicio de sesión — cualquier QR que lleve a una pantalla de login es casi seguramente malicioso.
  • Los atacantes colocan pegatinas QR falsas sobre los códigos legítimos del restaurante; el reemplazo suele ser imperceptible.
  • La ruta /login es una señal de alerta clara — no hay razón legítima para introducir credenciales para ver una carta.
Very High RiskQR CodeEstafa con QR

QR en correo electrónico elude escáneres de seguridad

Lo que ve

Texto del correo (supuestamente de Microsoft): 'Por razones de seguridad hemos desactivado el enlace de inicio de sesión. Por favor, escanee el código QR para verificar su identidad de cuenta Microsoft.' [Imagen QR] → microsoft-cuenta-verify.example-phishing-domain.com

Por qué es sospechoso
  • Los códigos QR en correos están diseñados específicamente para eludir los escáneres de seguridad que analizan enlaces pero no pueden leer imágenes incrustadas.
  • La verificación de cuenta Microsoft nunca requiere escanear un QR de un correo no solicitado.
  • El dominio de destino no es microsoft.com ni ninguna propiedad conocida de Microsoft.
High RiskEmailPhishing por correo

Factura falsa de remitente desconocido

Lo que ve

Asunto: Factura F-2024-8821 — Pago requerido Adjunto encontrará su factura por servicios prestados. Confirme el pago o impugne la factura en: portal-facturas.example-phishing-domain.com Importe: 1.240,00€. Vencimiento: 3 días.

Por qué es sospechoso
  • Las facturas legítimas provienen de contactos comerciales conocidos con dominios empresariales verificables — no de portales de pago externos.
  • Una factura inesperada con vencimiento en 3 días es una táctica típica de compromiso de correo empresarial (BEC).
  • Introducir datos de pago o credenciales en el portal da a los atacantes acceso completo a sus finanzas.
Very High RiskEmailPhishing por correo

RRHH — Actualización de nómina interna

Lo que ve

De: Recursos Humanos <rrhh-nominas@example-phishing-domain.com> Estimados compañeros, Estamos migrando a un nuevo sistema de nóminas. Por favor, actualice sus datos bancarios antes del final del día en: nominas-update.example-phishing-domain.com

Por qué es sospechoso
  • Los departamentos de RRHH actualizan los datos bancarios a través de sistemas internos verificados — nunca mediante enlaces externos por correo.
  • El plazo 'antes del final del día' crea urgencia artificial, típica de ataques de ingeniería social.
  • Introducir sus datos bancarios en la página redirigirá sus pagos de nómina a una cuenta de atacantes.
High RiskEmailPhishing por correo

Enlace de restablecimiento de contraseña no solicitado

Lo que ve

Asunto: Solicitud de restablecimiento de contraseña Alguien ha solicitado restablecer la contraseña de su cuenta. Si fue usted, haga clic aquí para establecer una nueva: cuenta-reset.example-phishing-domain.com Si no lo solicitó, puede ignorar este correo.

Por qué es sospechoso
  • Un enlace real de restablecimiento proviene del propio dominio del servicio — no de una página externa ajena.
  • 'Si no lo solicitó, ignore este correo' busca evitar que examine el enlace con detenimiento.
  • Al hacer clic en el enlace llega a una página de login falsa que, bajo el pretexto del restablecimiento, roba sus credenciales actuales.
Very High RiskSMSPhishing por SMS

Alerta bancaria — Actividad sospechosa en cuenta

Lo que ve

CaixaBank: Se ha detectado actividad sospechosa en su cuenta terminada en 4821. Su tarjeta ha sido bloqueada temporalmente. Verifique su identidad inmediatamente: caixa-seguro-verify.example-phishing-domain.com

Por qué es sospechoso
  • Los bancos contactan a sus clientes por problemas de cuenta a través de su app oficial, el número al dorso de la tarjeta o por carta — nunca por enlace SMS.
  • El dominio caixa-seguro-verify.example-phishing-domain.com no es caixabank.es.
  • 'Tarjeta bloqueada' es un elemento de alta presión diseñado para provocar acción inmediata sin pensamiento crítico.
High RiskSMSPhishing por SMS

Notificación de premio

Lo que ve

¡Enhorabuena! Ha sido seleccionado para recibir una tarjeta regalo de 500€ de El Corte Inglés como parte de nuestro programa de fidelización. Reclame su premio en 24 horas: elcorte-fidelidad.example-phishing-domain.com/reclamar

Por qué es sospechoso
  • El Corte Inglés no envía notificaciones de premios no solicitadas por SMS con enlaces externos.
  • El plazo de 24 horas es una táctica clásica de urgencia para impedirle verificar la oferta.
  • La página de reclamación solicitará datos personales o una pequeña 'tasa de gestión' para robar su información.
High RiskSMSPhishing por SMS

Cuenta suspendida por verificación de seguridad

Lo que ve

Su cuenta ha sido suspendida por un fallo en la verificación de seguridad. Su acceso será revocado permanentemente en 12 horas si no verifica su identidad: cuenta-verify-ahora.example-phishing-domain.com

Por qué es sospechoso
  • No se menciona ningún proveedor específico — el mensaje apuesta por el miedo genérico a perder la cuenta para obtener respuesta del mayor número posible de destinatarios.
  • 'Revocado permanentemente en 12 horas' es un plazo inventado diseñado para provocar pánico.
  • Los servicios legítimos nunca suspenden cuentas por verificaciones de seguridad comunicadas mediante un enlace SMS anónimo.
Very High RiskSMSEstafa gubernamental

Agencia Tributaria — Devolución de impuestos

Lo que ve

Agencia Tributaria: Tras revisar sus pagos de impuestos, tiene derecho a una devolución de 312,40€ por el ejercicio 2023. Solicite su devolución en: aeat-devolucion.example-phishing-domain.com

Por qué es sospechoso
  • La Agencia Tributaria ingresa las devoluciones directamente en su cuenta bancaria — nunca necesita visitar un enlace para 'reclamar' un reembolso.
  • Las administraciones públicas no envían notificaciones de devolución por SMS con enlaces externos.
  • El importe exacto de la devolución se incluye para dar credibilidad y hacer que el mensaje parezca personalizado.
High RiskEmailEstafa gubernamental

Renovación del permiso de conducir — DGT

Lo que ve

Asunto: Su permiso de conducir caduca — Renovación requerida Su permiso de conducir caduca el 14 de marzo de 2025. Complete la renovación y pague la tasa online: dgt-renovar-permiso.example-phishing-domain.com

Por qué es sospechoso
  • La renovación del permiso de conducir se realiza exclusivamente a través de la sede electrónica de la DGT (dgt.es) o en persona en Jefaturas de Tráfico.
  • La DGT no envía correos con enlaces de pago externos para renovaciones.
  • El portal falso recopila sus datos personales, número de permiso e información de pago.
Very High RiskSMSEstafa gubernamental

Prestación del SEPE suspendida

Lo que ve

SEPE: Su prestación por desempleo ha sido suspendida por datos de verificación incompletos. Actualice su información en 48 horas para evitar la pérdida de la prestación: sepe-uc-update.example-phishing-domain.com

Por qué es sospechoso
  • El SEPE se comunica con los beneficiarios a través de su sede electrónica o por carta — nunca por SMS con enlaces externos.
  • 'Prestación suspendida' genera una presión financiera extrema para actuar de inmediato.
  • El portal falso está diseñado para obtener números de seguridad social, datos bancarios e información personal.
Very High RiskDownloadDistribución de malware

PDF de factura con extensión .exe oculta

Lo que ve

Adjunto de correo: Factura_2024-3371.pdf.exe 'Adjuntamos su factura para pago inmediato. Importe total: 4.850,00€. Quedo a su disposición para cualquier consulta.'

Por qué es sospechoso
  • El archivo lleva nombre de factura PDF, pero la extensión real es .exe — un programa ejecutable, no un documento.
  • Las extensiones dobles se usan para disfrazar malware como archivos legítimos; Windows oculta las extensiones conocidas por defecto, haciendo que .pdf.exe aparezca como .pdf.
  • Ejecutar este archivo otorga al atacante control remoto total sobre su dispositivo.
Very High RiskLinkDistribución de malware

Falsa actualización de seguridad del navegador

Lo que ve

'Su navegador está gravemente desactualizado y su conexión no es segura. Se requiere una actualización inmediata para continuar navegando de forma segura.' [Actualizar ahora] → seguridad-navegador.example-phishing-domain.com/ChromeSetup.exe

Por qué es sospechoso
  • Las actualizaciones del navegador se entregan automáticamente por el propio navegador — nunca mediante un popup de web o un enlace no solicitado.
  • El enlace descarga un archivo .exe, no un instalador real del navegador.
  • 'Gravemente desactualizado' y 'no es segura' son frases de alarma para vencer su precaución.
High RiskDownloadDistribución de malware

Archivo ZIP malicioso en solicitud de empleo

Lo que ve

Asunto del correo: Candidatura para puesto de Desarrollador Senior 'Estimado equipo, adjunto mi currículum y portfolio para su consideración.' Adjunto: CV_Portfolio_CarlosGarcia_2024.zip

Por qué es sospechoso
  • Los currículums profesionales se envían en PDF o Word — un archivo ZIP de un remitente desconocido es una señal de alerta.
  • Los archivos ZIP y RAR pueden contener ejecutables disfrazados con iconos de documento.
  • Abrir el archivo y ejecutar cualquier elemento dentro de él — incluso uno llamado 'CV.pdf' — puede instalar malware silenciosamente.

Saber más

Preguntas frecuentes

¿Son estos ejemplos reales de phishing?

Estos ejemplos se basan en patrones de ataque reales, pero todos los nombres de dominio han sido reemplazados por un marcador de posición seguro (example-phishing-domain.com). No se muestran URL maliciosas reales. Las tácticas, los textos de mensajes y las técnicas psicológicas reflejan patrones observados en ataques reales.

¿Cómo funcionan las estafas con códigos QR?

Los atacantes reemplazan códigos QR legítimos (en parquímetros, mesas de restaurantes o materiales impresos) con pegatinas que redirigen a sitios maliciosos. También insertan códigos QR en correos de phishing específicamente para eludir los filtros de seguridad que comprueban enlaces pero no pueden leer imágenes.

¿Por qué las estafas de entrega siempre piden una pequeña tarifa?

Una tarifa pequeña (1,99 €, 2,40 €) se utiliza deliberadamente para que la estafa parezca de bajo riesgo y plausible. Pero el objetivo no son esos 2 € — son los datos de su tarjeta de pago. Una vez que los introduce, los atacantes pueden usarlos para transacciones fraudulentas mucho mayores.

¿Cómo puedo distinguir un SMS de phishing de uno real?

Los SMS genuinos de bancos, mensajería y organismos públicos nunca le piden que haga clic en un enlace para introducir datos de pago o credenciales de acceso. Si recibe un mensaje inesperado que exige acción inmediata, acceda directamente al sitio web oficial de la organización escribiendo la dirección usted mismo — nunca a través del enlace proporcionado.

¿Qué hace que un dominio parezca legítimo a primera vista?

Los atacantes usan varios trucos: colocar el nombre de la marca en el subdominio (paypal.example-phishing-domain.com), sustituir letras por caracteres similares (paypa1.com con '1' en lugar de 'l'), añadir palabras que suenan seguras (secure, verify, account) o usar el nombre de la marca como parte de un dominio más largo (paypal-secure-verify.com).

¿Qué debo hacer si ya hice clic en un enlace sospechoso?

No introduzca ningún dato en la página. Cierre la pestaña de inmediato. Si introdujo credenciales, cámbielas ahora mismo y active la autenticación de dos factores. Si introdujo datos de pago, contacte con su banco de inmediato para reportar posible fraude. Ejecute un análisis de malware si descargó algún archivo.

¿Cómo uso el analizador de 2check.click con un mensaje sospechoso?

Copie el enlace o el mensaje y péguelo en el analizador de la página principal. Para mensajes, puede pegar el texto completo — el analizador extraerá y verificará automáticamente cualquier enlace, mientras también analiza el lenguaje del mensaje en busca de patrones de estafa.

¿Quiere verificar un enlace sospechoso?

Analice una URL, mensaje, correo o código QR →