¿Qué es el phishing bancario?
El phishing es una técnica de engaño mediante la cual los ciberdelincuentes se hacen pasar por entidades de confianza —como tu banco— para robarte datos personales, credenciales de acceso o información financiera. Suelen hacerlo a través de correos electrónicos, mensajes de texto (smishing) o llamadas telefónicas (vishing).
Señales de alerta en correos de phishing
Aunque algunos mensajes fraudulentos pueden parecer muy convincentes, casi siempre presentan alguna de estas señales:
- Remitente sospechoso: La dirección de correo no corresponde exactamente al dominio oficial del banco (por ejemplo, "bbva-seguridad@gmail.com" en lugar de "@bbva.es").
- Urgencia exagerada: Frases como "Tu cuenta será bloqueada en 24 horas" o "Acción inmediata requerida".
- Errores ortográficos y gramaticales: Textos mal redactados, con faltas o traducciones poco naturales.
- Enlaces sospechosos: Al pasar el ratón sobre el enlace, la URL no corresponde al sitio oficial del banco.
- Solicitud de datos sensibles: Ningún banco legítimo te pedirá tu PIN, contraseña completa o número de tarjeta por correo electrónico.
Tipos de phishing más comunes
Smishing (por SMS)
Recibes un SMS aparentemente de tu banco indicando una transacción sospechosa, con un enlace para "verificarla". El enlace lleva a una página falsa que imita la del banco.
Vishing (por teléfono)
Una persona se hace pasar por un empleado del banco y te llama para pedirte confirmación de datos, códigos de seguridad o acceso a tu cuenta bajo alguna excusa urgente.
Spear Phishing
Un ataque más personalizado donde el estafador ha investigado previamente información sobre ti para hacer el mensaje más creíble y difícil de detectar.
Qué hacer si recibes un mensaje sospechoso
- No hagas clic en ningún enlace ni descargues archivos adjuntos.
- Accede directamente a la web o app oficial de tu banco escribiendo la URL en el navegador.
- Contacta con el servicio de atención al cliente del banco a través de los canales oficiales para verificar si el mensaje es legítimo.
- Reporta el mensaje como phishing en tu cliente de correo o a las autoridades como el INCIBE (Instituto Nacional de Ciberseguridad).
- Si has hecho clic y facilitado datos, cambia tu contraseña inmediatamente y contacta con tu banco.
Cómo verificar si un sitio web es legítimo
| Indicador | Sitio legítimo | Sitio fraudulento |
|---|---|---|
| URL | Dominio oficial exacto (bbva.es) | Variantes falsas (bbva-seguro.com) |
| Certificado SSL | Candado verde / HTTPS | HTTP o certificado inválido |
| Diseño | Profesional y coherente | Imágenes borrosas o mal alineadas |
| Solicitud de datos | Solo lo necesario en contexto | Pide PIN, claves completas o datos extra |
Mantenerse alerta y conocer las tácticas de los estafadores es la mejor defensa. Ante la duda, siempre contacta directamente con tu banco.