Hace pocas semanas una operación de la Policía Nacional se saldó con la detención de 13 personas en varias Comunidades Autónomas. Los atacantes consiguieron extraer más de 443 millones de euros de las cuentas bancarias de 146 víctimas a través de un ataque de phishing.

Las víctimas fueron atacadas mediante técnicas de phishing que simulaban ser la página de acceso al área personal de su entidad bancaria.

El phishing es un ataque que intenta extraer dinero de tu cuenta bancaria o robar tu identidad simulando ser la página web de tu banco o de comercios onlines de relevancia (por ejemplo, Amazon).

Aprende a identificar el phishing

Un ataque de phishing normalmente se inicia a través de un mensaje recibido por correo electrónico o SMS. También podrías recibir este tipo de mensajes por Instagram, Facebook, Whatsapp o cualquier otra red social.

Este mensaje contendrá un enlace que te llevará a una página web que simulará ser (una copia) la página de tu banco, de un proveedor de paquetería (Correos, DHL, Seur...) o cualquier otro servicio que sea de interés para un atacante.

Algunas pistas para identificar mensajes de phishing:

  • Realizar una acción de manera urgente: sospecha de aquellos mensajes que de manera urgente te piden hacer click en un enlace o abrir un archivo. El mensaje podría decirte que si no realizas la acción inmediatamente o en un período de pocos días podrías recibir una sanción o tu cuenta podría ser suspendida. Crear una falsa sensación de urgencia es una de las técnicas más utilizadas en este tipo de ataques.

Ejemplo: mensaje de tu banco

Recibes un correo electrónico de tu banco diciendo que han encontrado una transacción sospechosa en tu cuenta bancaria y te piden información de verificación inmediatamente. En el e-mail hay un enlace que te enviará a una página falsa que habrá copiado el diseño de tu banco. Al introducir tu usuario y contraseña habrás revelado tus datos de acceso a los atacantes.
  • Desconoces el remitente: no es inusual recibir mensajes de alguna persona o entidad por primera vez, especialmente si es de fuera de tu organización. Los servicios para empresa de Google Workspace y Microsoft 365 añaden una etiqueta a los e-mails recibidos desde fuera de tu organización. Presta atención a este tipo de e-mails.

¿Conoces el Kit Digital?

El kit digital es un bono de hasta 12.000 euros para autónomos y empresas que permite contratar soluciones digitales. ¿Sabes que puedes contratar con este bono las versiones para empresa de Google y Microsoft para gestionar tu correo electrónico de manera segura? Estas soluciones incluyen herramientas para protegerte del phishing.


  • Mal escritos y mala ortografía: una compañía importante normalmente contrata personal cualificado para la redacción de sus correos electrónicos y mensajes. Si un e-mail o SMS contiene muchos errores gramaticales podría ser falso. Estos errores son normalmente fruto de una pobre traducción desde idiomas extranjeros
  • Saludo genérico: tú banco conocen tu nombre. Si un mensaje empieza con un saludo genérico "Estimado cliente" esto podría ser motivo de sospecha
  • Comprueba el nombre de dominio: fíjate en el nombre de dominio del remitente de tus mensajes. Tu banco te va a mandar e-mails utilizando su nombre de dominio en el remitente. A veces los atacantes utilizan nombres de dominio muy parecidos para despistar: por ejemplo podrían haberte enviado un e-mail desde "amaz0n.es" en vez de "amazon.es" (han cambiado la letra "o" por el número cero). Si no conoces el nombre de dominio de tu remitente una rápida búsqueda por Google te ayudará. Por ejemplo, escribe "Caixabank" y seguramente el primer resultado de búsqueda sea la web genuina. Fíjate en el dominio y compara.
  • Revisa los enlaces: al igual que el caso anterior revisa también los enlaces. Por ejemplo en el email o SMS podrías ver escrito un enlace confiable, por ejemplo, "https://amazon.es/mi-cuenta" pero en realidad el enlace podría estar llevándote a otro lugar diferente. Comprueba siempre la URL en el navegador web:

Y recuerda, si sospechas que has sido víctima de un ataque de phising ponte en contacto inmediatamente con tu banco o del servicio (Amazon, Seur, etc.) el cual ha sido suplantada su página web.