Correos falsos, mensajes de texto y llamadas fraudulentas: la guía para identificar y evitar el phishing

El phishing se consolidó en 2026 como la principal amenaza cibernética a nivel global, con más de 190.000 denuncias registradas solo en Estados Unidos durante 2024, según el Informe de Crímenes en Internet del FBI. Los ciberdelincuentes utilizan correos electrónicos, mensajes de texto y llamadas telefónicas fraudulentas para robar contraseñas, datos bancarios e información personal de millones de usuarios cada año, y la incorporación de inteligencia artificial en estos ataques los hace cada vez más difíciles de detectar, de acuerdo con el Centro Nacional de Ciberseguridad del Reino Unido (NCSC).

Qué es el phishing y cómo funciona

De acuerdo con el NCSC, el phishing es un tipo de ataque de ingeniería social en el que los ciberdelincuentes envían comunicaciones fraudulentas diseñadas para engañar a los usuarios y conseguir que revelen información confidencial, instalen software malicioso o autoricen accesos no permitidos. Los atacantes suelen hacerse pasar por entidades confiables como bancos, empresas tecnológicas, organismos gubernamentales o servicios de uso cotidiano.

Según los portales especialistas en ciberseguridad el phishing ya no se limita al correo electrónico. Los ataques actuales se distribuyen a través de múltiples canales:

Email phishing: mensajes masivos que simulan provenir de empresas reconocidas como Amazon, Microsoft o entidades bancarias, con mensajes de urgencia falsa. Smishing: ataques enviados por SMS que alertan sobre premios, problemas de entrega o verificaciones bancarias urgentes. Vishing: llamadas telefónicas donde los delincuentes se hacen pasar por soporte técnico, organismos oficiales o proveedores de servicios. Phishing con códigos QR: una modalidad en crecimiento donde los usuarios son redirigidos a sitios maliciosos a través de códigos QR impresos o digitales.

Uno de los cambios más preocupantes del panorama, de acuerdo con el NCSC, es que los atacantes utilizan herramientas de IA generativa para crear mensajes hiperpersonalizados a partir de datos públicos disponibles en redes sociales, sitios web corporativos y plataformas profesionales como LinkedIn.

Un informe reveló que el 82,6% de los correos de phishing analizados entre septiembre de 2024 y febrero de 2025 contenían contenido generado por inteligencia artificial. Esta tendencia elimina los errores ortográficos y gramaticales que históricamente permitían identificar los mensajes fraudulentos, lo que dificulta su detección incluso para usuarios con experiencia en ciberseguridad.

Cómo identificar un intento de phishing

Los expertos coinciden en una serie de señales de alerta que permiten identificar un ataque de phishing antes de caer en la trampa:

Direcciones de correo sospechosas: las empresas legítimas utilizan dominios oficiales. Una dirección como @amaz0n-security.net en lugar de @amazon.com es una señal inmediata de fraude. Urgencia artificial: mensajes que exigen una acción inmediata bajo amenaza de consecuencias graves, como el cierre de una cuenta, son una táctica habitual de manipulación. Saludos genéricos: correos que comienzan con “Estimado cliente” en lugar del nombre real del usuario suelen corresponder a campañas masivas de phishing.

Enlaces sospechosos: pasar el cursor sobre un enlace antes de hacer clic permite ver la URL real de destino. Si no coincide con el sitio oficial, se trata de un intento de fraude. Solicitudes de información confidencial: ninguna institución legítima solicita contraseñas, números de tarjeta o datos personales por correo electrónico o mensaje de texto.

Consejos prácticos para protegerse

De acuerdo con las recomendaciones existen medidas concretas que cualquier usuario puede adoptar para reducir el riesgo de caer en un ataque de phishing:

• Activar la autenticación multifactor (MFA): incluso si los atacantes obtienen una contraseña, la MFA exige un segundo paso de verificación que bloquea el acceso no autorizado. El NCSC recomienda el uso de llaves de seguridad físicas FIDO2 o passkeys como alternativas más seguras a los códigos por SMS.
• Usar un gestor de contraseñas: estas herramientas generan contraseñas únicas y robustas para cada cuenta, lo que impide que el robo de una credencial comprometa el resto de los accesos.
• Verificar por canales alternativos: ante cualquier solicitud urgente o inusual, confirmar la autenticidad del mensaje a través de un canal diferente al utilizado en la comunicación original, como una llamada directa a la entidad.
• Instalar software antivirus actualizado: las soluciones modernas de seguridad utilizan inteligencia artificial para detectar y bloquear intentos de phishing antes de que lleguen al usuario.
• No hacer clic en enlaces de mensajes no solicitados: ingresar directamente la dirección del sitio web en el navegador, en lugar de seguir enlaces recibidos por correo o mensaje, elimina uno de los vectores de ataque más comunes.