Me han hecho phishing: los primeros 60 minutos son cruciales
El phishing funciona porque imita perfectamente la realidad. Caer en él no es señal de ingenuidad: es señal de que los atacantes hicieron bien su trabajo. Lo que importa ahora es actuar rápido.
🔴 ¿Acabas de darte cuenta? Actúa en este orden: (1) cambia la contraseña del servicio afectado ahora mismo, (2) llama al banco si diste datos financieros, (3) revisa qué más puede estar comprometido.
Qué es el phishing (y sus variantes)
El phishing es cualquier engaño digital que te lleva a entregar datos creyendo que estás interactuando con un servicio legítimo. Sus variantes más frecuentes:
| Variante | Canal | Ejemplo típico |
|---|---|---|
| Phishing clásico | ”Tu cuenta bancaria ha sido bloqueada” | |
| Smishing | SMS | ”Tu paquete está retenido, paga aquí” |
| Vishing | Llamada telefónica | ”Soy del banco, hay actividad sospechosa” |
| Spear phishing | Email personalizado | Menciona datos reales tuyos para parecer legítimo |
| Quishing | Código QR | QR en lugar público que lleva a web falsa |
Cómo saber qué datos comprometiste
La gravedad del daño depende de qué entregaste:
| Dato entregado | Riesgo | Acción inmediata |
|---|---|---|
| Solo email y contraseña | Acceso a esa cuenta | Cambia contraseña y activa 2FA |
| Contraseña usada en varios sitios | Múltiples cuentas | Cambia contraseña en todos los servicios |
| Datos bancarios (tarjeta) | Cargos fraudulentos | Llama al banco para bloquear tarjeta |
| Credenciales banca online | Acceso a cuenta | Llama al banco + cambia contraseña |
| Código SMS (OTP) | Operación ya ejecutada | Llama al banco urgente |
| DNI o datos personales | Suplantación de identidad | Notifica a policía y servicios afectados |
| Contraseña de email | Acceso a todos tus demás servicios | Cambia primero el email, luego todo lo demás |
El protocolo de acción por tipo de dato comprometido
Si fue “solo” email y contraseña
- Cambia la contraseña en ese servicio inmediatamente (desde la web oficial, escribiéndola tú)
- Activa la verificación en dos pasos (2FA) si no la tenías
- Busca si usabas esa misma contraseña en otros servicios y cámbialas también
- Revisa si el atacante ya envió emails desde tu cuenta (busca en “enviados”)
Si fue datos bancarios o credenciales de banca
- Llama al banco ahora (número en el reverso de la tarjeta)
- Solicita bloqueo preventivo de la tarjeta o del canal digital según lo que diste
- Revisa movimientos de las últimas 24 horas
- Guarda capturas de todo como prueba
- Denuncia en policia.es
Si fue un código SMS (OTP)
Un código OTP es de un solo uso y tiene validez temporal. Si ya lo entregaste, puede que una operación ya se haya ejecutado.
- Revisa tu cuenta bancaria inmediatamente
- Llama al banco para verificar si hay operaciones recientes
- Si hay operaciones no autorizadas, reporta y solicita reversión
La cadena de daño que puede encadenarse
Entregar la contraseña del email es especialmente grave porque desde el email se pueden resetear el resto de contraseñas:
Email comprometido
→ Reset de contraseña de banco
→ Acceso a banca online
→ Transferencias fraudulentas
→ Reset de redes sociales
→ Suplantación de identidad
→ Estafas a tus contactos
🔴 Si el dato comprometido fue tu contraseña de email: Recupera el acceso a tu email como primera prioridad absoluta, antes que cualquier otra cuenta.
Cómo reportar la web o el mensaje de phishing
Reportar ayuda a que la web falsa se cierre más rápido y protege a otras personas:
- Google Safe Browsing: safebrowsing.google.com/safebrowsing/report_phish
- INCIBE: 017 o formulario en incibe.es
- Tu banco: si suplantaba a tu banco, ellos tienen equipos antifraude
- El servicio suplantado: si fue Netflix, Amazon, Correos, etc., tienen formularios de reporte
Herramientas para comprobar si tus datos están comprometidos
- Have I Been Pwned (haveibeenpwned.com): introduce tu email para ver en qué filtraciones aparece
- Firefox Monitor (monitor.firefox.com): similar, con alertas automáticas
- Google One Dark Web Report (si tienes cuenta Google): monitoreo de tu información en la dark web
Señales de que el phishing fue avanzado (spear phishing)
Si el mensaje que recibiste mencionaba:
- Tu nombre completo y apellidos
- Tu entidad bancaria real
- Tus últimas operaciones o datos reales
…estás ante un spear phishing basado en datos previos. Esto indica que tus datos ya estaban en manos de atacantes antes del phishing. Revisa posibles filtraciones con las herramientas mencionadas.
Preguntas frecuentes
¿Puedo saber quién me hizo el phishing? Rara vez directamente. La investigación policial puede obtener información del servidor donde estaba la web falsa. La denuncia es el paso necesario para iniciar esa investigación.
¿Qué pasa si ya cambiaron mi contraseña antes de que yo pudiera? Usa la opción “¿Olvidaste tu contraseña?” con tu email de recuperación (que debes también proteger). Si el email de recuperación también fue comprometido, contacta con el soporte del servicio directamente.
¿El antivirus me protege del phishing? Parcialmente. Los navegadores modernos y los antivirus detectan muchas webs de phishing, pero los más nuevos tardan en ser detectados. La primera línea de defensa eres tú.