Abres el correo y hay un mensaje de tu banco. El logo es el correcto, el diseño es el que conoces, el tono es exactamente el que usan en sus comunicaciones oficiales. Te dice que han detectado un acceso sospechoso y que necesitas verificar tu identidad antes de que bloqueen la cuenta. El enlace está ahí, esperando.
Lo que tienes delante no es un correo de tu banco. Es una copia perfecta diseñada para que no notes la diferencia hasta que ya sea demasiado tarde. Eso es el phishing, y en 2026 sigue siendo el punto de entrada de la mayoría de fraudes digitales en España precisamente porque funciona.
No porque las víctimas sean descuidadas. Sino porque quienes lo diseñan dedican tiempo y recursos a que sea imposible distinguirlo a simple vista.
Qué hace al phishing diferente de otras estafas
El smishing llega por SMS. El vishing te llama por teléfono. El phishing elige el correo electrónico, y esa elección no es casual.
El correo electrónico tiene algo que los otros canales no tienen: permite replicar visualmente una comunicación oficial con un nivel de detalle que un SMS nunca podría alcanzar. Logo, colores corporativos, tipografía, firma del remitente, pie de página legal. Todo puede copiarse y reproducirse con herramientas al alcance de cualquiera.
A eso se suma que el correo electrónico sigue siendo el canal principal de comunicación formal entre empresas y usuarios. Facturas, notificaciones bancarias, confirmaciones de pedidos, alertas de seguridad. Estamos tan acostumbrados a recibir correos importantes que el nivel de alerta que activamos al abrirlos es menor del que deberíamos tener.
Cómo funciona un ataque de phishing paso a paso
Todo empieza mucho antes de que el correo llegue a tu bandeja de entrada. El estafador elige un objetivo, que puede ser una persona concreta o simplemente cualquiera que tenga cuenta en un banco determinado, y construye una comunicación que imite lo más fielmente posible los correos legítimos de esa entidad.
El correo llega con un pretexto que genera urgencia o preocupación. Tu cuenta ha sido comprometida. Hay un cargo no autorizado pendiente de verificación. Tu contraseña ha caducado y debes renovarla antes de una fecha. Hay un paquete retenido que caduca hoy. El objetivo es siempre el mismo: que actúes antes de pensar.
El enlace del correo lleva a una página que imita a la web oficial. El dominio puede ser casi idéntico al real, con una letra cambiada o un guion añadido que pasa completamente desapercibido si no lo lees con atención. En esa página introduces tus credenciales o tus datos bancarios creyendo que estás en el sitio correcto.
En ese momento el estafador tiene lo que necesitaba. Lo que pase después depende de qué tipo de datos has entregado, pero el abanico va desde el vaciado de la cuenta bancaria hasta el robo de identidad completo.
Los tipos de phishing más habituales en España en 2026
El correo del banco con la alerta de seguridad
Es el más frecuente y el que más dinero mueve. El remitente parece ser tu banco, el correo informa de una actividad sospechosa en tu cuenta y el enlace te lleva a una página de verificación que es una copia exacta del portal de banca online.
Lo que distingue un correo real de tu banco de uno falso no siempre es obvio. Pero hay detalles que raramente fallan: el banco siempre se dirige a ti por tu nombre completo, nunca como «estimado cliente» o «usuario». Los correos reales vienen de dominios oficiales que puedes verificar. Y tu banco nunca te pedirá que introduzcas tu contraseña completa o un código de seguridad en un enlace enviado por correo.
El correo de Correos o una agencia de mensajería
Llegas o no llegas a esperar un paquete, eso da igual. El correo dice que hay un envío retenido, que necesitas pagar una tasa pequeña o confirmar una dirección. El enlace lleva a una página que imita al sitio oficial de la agencia.
Este tipo de phishing funciona especialmente bien porque el volumen de compras online en España hace que casi siempre haya alguien esperando algún paquete. La probabilidad de que el correo llegue en un momento en que tiene sentido es alta.
El correo de una plataforma digital con el acceso comprometido
Netflix, Amazon, PayPal, Spotify, Apple. Cualquier plataforma donde tengas datos guardados puede ser el pretexto. El correo avisa de que alguien ha accedido a tu cuenta desde un dispositivo desconocido y que debes confirmar tu identidad para protegerla.
El gancho funciona porque genera exactamente el tipo de preocupación que hace que actúes rápido sin detenerte a verificar nada.
El correo de Hacienda con una devolución pendiente
Especialmente activo en los meses de campaña de la renta. Un correo que imita las comunicaciones de la Agencia Tributaria informa de que tienes una devolución pendiente que puedes reclamar introduciendo tus datos bancarios. O que hay una deuda que debes regularizar antes de una fecha.
La Agencia Tributaria no gestiona devoluciones ni notificaciones de deuda a través de correos con enlaces. Todo lo que sea oficial llega por carta o a través de la sede electrónica, a la que accedes tú directamente.
Las señales que delatan un correo falso
Hay elementos concretos en los que fijarse antes de hacer clic en nada. Ninguno por sí solo es definitivo, pero combinados son muy reveladores.
La dirección del remitente es el primer lugar donde mirar. No el nombre que aparece en el campo «De», sino la dirección real entre corchetes o paréntesis que aparece al expandirla. Un correo que parece de BBVA pero viene de noreply@bbva-seguridad-clientes.com en lugar de @bbva.es es falso. Los dominios con guiones, palabras añadidas o extensiones inusuales son una señal clara.
La forma en que te tratan también dice mucho. Las entidades que tienen tus datos saben tu nombre. Si el correo te llama «estimado usuario», «cliente» o simplemente no te llama de ninguna forma concreta, no viene de donde dice.
El enlace es el tercer elemento clave. Antes de hacer clic, pasa el cursor por encima sin pulsar. En la parte inferior del navegador o del cliente de correo aparecerá la URL real a la que apunta. Si esa URL no corresponde al dominio oficial de la entidad, no hagas clic.
La urgencia artificial también es una señal. Las comunicaciones legítimas de bancos y plataformas no suelen vencer en horas ni amenazar con consecuencias inmediatas si no actúas ahora mismo. Cuando un correo genera esa presión, es porque quieren que no tengas tiempo de pensar.
Qué hacer cuando recibes un correo sospechoso
Cuando un correo te genera dudas, la respuesta correcta siempre es la misma: no uses nada de lo que trae. Ni el enlace, ni el número de teléfono, ni la dirección de respuesta. Todo eso puede estar controlado por quien lo envió.
Si el mensaje habla de tu banco, abre el navegador por tu cuenta y escribe la dirección oficial tú mismo. Entra en tu cuenta desde ahí y comprueba si hay alguna notificación real esperándote. Si no hay nada, el correo era falso. Si hay algo, ya estás en el sitio correcto para gestionarlo sin riesgo.
Lo mismo aplica para Correos, Hacienda, Amazon o cualquier otra entidad. El camino seguro siempre es el mismo: tú buscas, tú escribes la dirección, tú accedes. Nunca al revés.
Si tienes dudas y quieres confirmar si el correo es legítimo, llama directamente a la entidad. El número lo buscas tú en su web oficial, no lo coges del correo que acabas de recibir.
Si ya hiciste clic y metiste datos
Actuar rápido marca la diferencia. Llama a tu banco en cuanto puedas, explica lo que pasó y pídeles que revisen si ha habido algún movimiento no autorizado. Si metiste la contraseña de algún servicio, cámbiala ahora antes de hacer nada más.
Con toda la documentación que puedas reunir, capturas del correo, de la página falsa y de cualquier comunicación relacionada, presenta una denuncia ante la Policía Nacional. Sin ese paso no hay reclamación posible.
El Instituto Nacional de Ciberseguridad también recibe reportes de campañas activas en incibe.es. Enviarlo allí ayuda a alertar a otras personas que pueden recibir el mismo correo.
Para entender cómo funcionan las variantes de este fraude que llegan por otros canales, puedes leer nuestro artículo sobre smishing o SMS falsos y nuestra guía sobre vishing o llamadas falsas del banco.
Por qué el phishing sigue funcionando después de todos estos años
Hay una respuesta cómoda a esta pregunta y una respuesta honesta. La cómoda es que las víctimas no prestan suficiente atención. La honesta es bastante más compleja.
Los ataques de hoy no tienen nada que ver con los de hace una década. Atrás quedaron los correos con faltas de ortografía y logos borrosos que cualquiera identificaba a primera vista. Lo que circula ahora son réplicas construidas con acceso a las plantillas reales de las entidades, actualizadas cada vez que el banco cambia su diseño y personalizadas con datos que los estafadores obtienen de filtraciones previas.
Pero hay algo más. El phishing no va a por la ignorancia. Va a por la distracción. Alguien que recibe decenas de correos al día, que tiene el móvil en una mano y está haciendo otra cosa con la otra, puede responder a un correo de forma automática aunque sepa perfectamente lo que es el phishing. No es un fallo de conocimiento. Es un fallo de contexto.
Preguntas frecuentes
¿Solo con abrir el correo puedo infectarme? En la mayoría de casos no. El riesgo real viene de hacer clic en enlaces o descargar archivos adjuntos. Algunos correos muy elaborados pueden cargar elementos externos al abrirlos que confirman al atacante que la dirección está activa, pero el daño real requiere tu participación activa.
¿El candado verde en el navegador garantiza que la web es segura? No. El candado indica que la conexión está cifrada, no que el sitio sea legítimo. Las páginas de phishing también pueden tener ese candado. Lo que importa es que la dirección en la barra del navegador corresponda exactamente al dominio oficial de la entidad.
¿Puede un antivirus detectar el phishing? Algunos tienen módulos que bloquean páginas conocidas de phishing. Pero ante ataques nuevos que aún no están en sus bases de datos, no pueden hacer nada. El juicio propio sigue siendo la defensa más fiable.
¿Es posible recibir un correo falso desde la dirección real de mi banco? En casos avanzados sí, mediante técnicas de suplantación de dominio. Por eso verificar el remitente ayuda pero no es suficiente por sí solo. Hay que combinar varias señales antes de decidir si un correo es legítimo.
¿Qué hago si entregué mis datos pero no ha pasado nada todavía? Actúa igual aunque todo parezca normal. Los atacantes a veces esperan semanas antes de usar los datos para que la víctima baje la guardia. Cambia contraseñas, avisa al banco y denuncia. No esperes a que ocurra algo para reaccionar.
Este contenido es informativo y no sustituye el asesoramiento profesional en materia legal o de seguridad digital.
✍️ Artículo elaborado por el Equipo NexoDigital