Phishing: ejemplos reales de correos fraudulentos
El phishing (suplantación de identidad) es la ciberamenaza más extendida en Europa. Esta guía le muestra, con ejemplos concretos, cómo reconocer estos correos falsos antes de caer en la trampa.
Ejemplo 1: el falso correo del banco
Asunto: “Alerta seguridad: actividad inusual en su cuenta”
La dirección real del remitente no es la oficial del banco. El mensaje crea urgencia artificial. Nunca le pedirán su contraseña por correo.
Ejemplo 2: el falso correo de la Seguridad Social
Asunto: “Seguridad Social: reembolso de 287,40 euros pendiente”
La Seguridad Social no pide actualizar datos bancarios por correo. El dominio del remitente no es el oficial.
Ejemplo 3: el falso correo de Hacienda
Asunto: “AEAT: devolución prevista”
Hacienda no devuelve dinero a través de enlaces en correos. Las devoluciones se hacen automáticamente.
Ejemplo 4: el falso correo de entrega (Correos, SEUR)
Asunto: “Su paquete está en espera — acción requerida”
Correos no pide pagos por correo electrónico para reenvío.
Ejemplo 5: el falso correo de Netflix, Amazon o PayPal
Asunto: “Su suscripción va a ser suspendida”
Verifique la dirección del remitente y la URL del enlace sin hacer clic.
El método en 5 puntos para analizar todo correo sospechoso
- La dirección del remitente: no el nombre mostrado, sino la dirección técnica
- El enlace: pase el ratón por encima sin hacer clic para ver la URL real
- El tono del mensaje: urgencia, miedo, ganancia = señales de alerta
- Las peticiones inusuales: ningún organismo pide contraseña por correo
- La calidad del texto: aunque con la IA, los correos de phishing tienen cada vez menos faltas
Qué hacer
- Si no ha pulsado: denuncie y elimine
- Si ha pulsado pero no ha introducido nada: cierre la página
- Si ha introducido datos: cambie contraseñas inmediatamente, llame a su banco, denuncie
Los números y sitios útiles
| Recurso | Contacto | Uso |
|---|---|---|
| INCIBE | 017 (gratuito) | Asesoramiento en ciberseguridad |
| Policía/Guardia Civil | 091/062 | Denuncias |
| OSI | osi.es | Información y alertas |
| Su banco | Número del reverso de su tarjeta | Oposición y denuncia |
Nota editorial
Fuentes consultadas: Informes europeos de ciberseguridad 2024, INCIBE, informes sobre amenazas digitales.
Fecha de verificación: 26 de marzo de 2026
Conflictos de interés: ninguno
Questions fréquentes
-
El phishing (o suplantación de identidad) es una técnica de estafa por correo o SMS. El estafador se hace pasar por un organismo de confianza (banco, Seguridad Social, Hacienda) y le envía un mensaje imitando el estilo oficial para incitarle a hacer clic y introducir sus datos personales o bancarios.
-
Mire la dirección de correo del remitente (no el nombre mostrado, sino la dirección técnica). Un correo oficial del BBVA viene de @bbva.es, no de @bbva-seguridad.com. En caso de duda, llame a su banco al número del reverso de su tarjeta.
-
Cambie inmediatamente su contraseña en el sitio real del organismo. Si ha introducido datos bancarios, llame a su banco para hacer oposición. Denuncie al INCIBE (017).
-
Parcialmente. Los antivirus recientes incluyen filtros anti-phishing que bloquean ciertos sitios fraudulentos. Pero los estafadores crean nuevos sitios constantemente. Su vigilancia sigue siendo la mejor protección.
-
Los estafadores usan ahora herramientas de inteligencia artificial para redactar correos sin faltas de ortografía y reproducir fielmente el estilo de los organismos oficiales. Por eso es esencial verificar la dirección del remitente y no el contenido visual.