+34 919 01 50 46

whatsapp (1)
at

Aula Virtual

Ejemplos de phishing: cómo reconocerlos y qué hacer

| Última modificación: 19 de mayo de 2026 | Tiempo de Lectura: 8 minutos
Premios Blog KeepCoding 2025
Montana Martín López
Montana Martín López

Especialista en tecnología y formación digital, con foco en el desarrollo de talento y el análisis del sector tecnológico. Mi trabajo se centra en entender cómo evolucionan las tecnologías, qué competencias demanda el mercado y cómo se produce la transición real hacia el entorno tech.

Ejemplos de phishing. El APWG registró 4,8 millones de ataques de phishing. El 91% de todos los ciberataques empieza con un email según IBM. Y en España, el INCIBE documenta cada año decenas de campañas activas que suplantan a la Agencia Tributaria, entidades bancarias, empresas de paquetería y plataformas de servicios online.

Conocer los ejemplos reales de phishing es la forma más efectiva de entrenarse para reconocerlos. No porque los atacantes repitan siempre el mismo patrón, sino porque el análisis de casos reales permite identificar las constantes que se repiten independientemente del señuelo: la urgencia artificial, el dominio ligeramente modificado y la solicitud de acción que crea presión para no verificar.


Esta guía recoge los ejemplos más frecuentes en España con las señales de alerta específicas de cada uno y qué hacer si los recibes.

Por qué estudiar ejemplos reales de phishing

Los filtros técnicos de email bloquean la mayoría del phishing masivo. El que llega a la bandeja de entrada es el que ha pasado esos filtros porque está mejor construido. Y el que funciona es el que la víctima no reconoció como fraude.

La formación basada en ejemplos reales tiene una ventaja que no tiene ningún artículo teórico sobre phishing: muestra exactamente cómo se ve el ataque desde el punto de vista de la víctima, con las mismas imágenes, el mismo formato y el mismo pretexto que usaron los atacantes.

Esa es la diferencia entre saber que los correos de phishing existen y saber reconocer uno cuando llega.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Para entender el ecosistema completo del que estos ejemplos forman parte, el artículo sobre qué es el phishing explica cómo funciona cada tipo de ataque, cómo se construye técnicamente y qué medidas de protección son más efectivas.

Ejemplos de phishing por correo electrónico

Ejemplos de phishing

Phishing de la Agencia Tributaria (AEAT)

Es uno de los señuelos más usados en España por su alta credibilidad y la presión emocional que genera. Los correos fraudulentos suelen imitar comunicaciones oficiales de la AEAT informando de una supuesta devolución pendiente, una notificación fiscal urgente o una deuda que debe regularizarse de forma inmediata.

Las señales de alerta específicas de este tipo:

  • La AEAT nunca envía notificaciones por email solicitando datos bancarios o credenciales. Sus comunicaciones oficiales llegan por correo postal o a través de la sede electrónica.
  • El dominio del remitente no es aeat.es. Puede ser algo como agencia-tributaria.es, aeat-notificaciones.com o variantes similares.
  • El enlace lleva a una página que imita la sede electrónica pero con una URL diferente a sede.agenciatributaria.gob.es.

La AEAT mantiene un registro actualizado de campañas de phishing activas que suplantan su imagen en sede.agenciatributaria.gob.es. Es la primera referencia que hay que consultar si se recibe un correo que dice provenir de Hacienda.

Phishing bancario

Los correos que suplantan a entidades bancarias (Santander, BBVA, CaixaBank, ING) son los más frecuentes a nivel global. El pretexto habitual es el bloqueo preventivo de la cuenta, una actividad sospechosa detectada, la caducidad de las credenciales o la necesidad de verificar datos para mantener el servicio activo.

Las señales específicas:

  • Los bancos nunca solicitan contraseñas completas, CVV de tarjeta o códigos de un solo uso por email.
  • El dominio del enlace no coincide con el oficial del banco. Un truco frecuente es usar subdominios engañosos: seguridad.banco-online.com/santander hace que el nombre del banco aparezca en la URL pero el dominio real es banco-online.com.
  • Los logos pueden tener resolución incorrecta o proporciones ligeramente diferentes a las del original.
  • El email llega desde una dirección genérica de Gmail, Hotmail u otro proveedor gratuito, no desde el dominio oficial del banco.

Phishing de empresas de paquetería

El auge del comercio electrónico ha convertido los SMS y emails de Correos, SEUR, DHL y FedEx en uno de los señuelos más efectivos. El pretexto es siempre el mismo: el paquete no pudo entregarse y hay que pagar una tasa de gestión, confirmar la dirección o reprogramar la entrega.

Lo que hace efectivo este señuelo es que la mayoría de la gente está esperando paquetes en todo momento. La combinación de contexto plausible y urgencia baja (solo hay que pagar 1,99€ de gestión) hace que muchas víctimas no activen las defensas habituales.

La señal más clara: ninguna empresa de paquetería legítima solicita datos bancarios por SMS o email para liberar un paquete. Si hay algún cargo adicional, se gestiona en la oficina física o a través de la app oficial.

Phishing de plataformas de streaming

Netflix, Amazon Prime, Disney+ y Spotify aparecen frecuentemente como señuelo porque tienen millones de usuarios activos y sus correos de gestión de cuenta son familiares para la víctima. El pretexto habitual es un problema con el método de pago, la caducidad de la suscripción o un acceso sospechoso detectado.

Las señales:

  • El dominio del remitente no es el oficial. Netflix solo envía emails desde dominios netflix.com o mailer.netflix.com.
  • La landing page puede ser visualmente idéntica a la real pero la URL es diferente.
  • Si tienes dudas, ve directamente a la app o web oficial del servicio sin usar el enlace del email.

Phishing de Microsoft Office 365

Es el señuelo más frecuente en entornos corporativos. Los correos imitan notificaciones del sistema de Microsoft: «tu contraseña ha expirado», «tienes documentos compartidos pendientes de revisar», «se ha detectado un inicio de sesión desde una ubicación inusual». El objetivo es capturar credenciales corporativas que dan acceso a todos los servicios de Microsoft 365 de la organización.

El peligro específico de este tipo es que el atacante que consigue acceso a una cuenta de Microsoft 365 no solo accede al email: accede a SharePoint, Teams, OneDrive y cualquier aplicación integrada con Azure AD. Las consecuencias pueden ser mucho más amplias que las de un simple robo de credenciales individuales.

Phishing de Google Docs y Google Drive

El atacante envía un email que parece provenir de alguien conocido invitando a colaborar en un documento de Google. Al hacer clic, en lugar de ir a Google Docs se llega a una página maliciosa diseñada para capturar las credenciales de Google o instalar malware.

Lo que hace especialmente difícil de detectar este tipo es que el email puede parecer genuinamente personal: usa el nombre del destinatario y el pretexto de una colaboración profesional que podría ser real.

Ejemplos de smishing

El smishing es el phishing por SMS. Su tasa de apertura es significativamente mayor que la del email, y las URLs en pantallas móviles son difíciles de verificar antes de hacer clic.

Los pretextos más frecuentes en España:

Ejemplos de smishing más frecuentes
Señuelo Mensaje típico Objetivo
Paquetería «Tu paquete está retenido. Paga 1,99€ para liberar el envío: [enlace]» Datos bancarios
Banco «Se ha detectado un cargo sospechoso en tu cuenta. Verifica aquí: [enlace]» Credenciales bancarias
Administración «La DGT ha detectado una infracción en tu vehículo. Consulta el expediente: [enlace]» Datos personales y bancarios
Telefonía «Tu factura de Movistar/Vodafone tiene un saldo pendiente. Regularízalo: [enlace]» Datos bancarios
Empleo «Has sido seleccionado para una oferta de trabajo. Confirma tus datos: [enlace]» Datos personales / credenciales

La regla más efectiva contra el smishing es la misma que contra el phishing por email: nunca usar el enlace del mensaje para acceder a ningún servicio. Si el mensaje es real, la información está disponible en la app oficial o en la web accediendo directamente desde el navegador.

QRishing: phishing con códigos QR

El QRishing ha crecido significativamente porque los códigos QR tienen una característica que el phishing por email no tiene: la URL de destino no es visible antes de escanear. La víctima escanea el código sin poder verificar adónde va antes de que su dispositivo cargue la página.

Los QR maliciosos pueden aparecer en correos electrónicos, documentos PDF, facturas, carteles físicos pegados sobre los legítimos en restaurantes o espacios públicos, e incluso en emails de phishing que usan el QR precisamente para eludir los filtros de email que analizan URLs.

La señal de alerta más importante: cualquier QR que lleve a una página que solicite credenciales o datos bancarios debe verificarse inspeccionando la URL antes de introducir ningún dato. En el móvil, la mayoría de las apps de cámara muestran la URL antes de abrirla.

Business Email Compromise: el ejemplo más costoso

El BEC no es phishing masivo. Es un ataque dirigido donde el atacante suplanta a un directivo, un proveedor o un socio para conseguir que un empleado con autorización realice una transferencia bancaria fraudulenta o revele información confidencial.

Un ejemplo documentado de BEC tiene esta estructura: el empleado de finanzas recibe un email que parece provenir del CEO con una solicitud urgente de transferencia para cerrar una adquisición confidencial. El email llega desde un dominio muy similar al corporativo, menciona detalles reales del negocio y pide discreción por la naturaleza sensible de la operación.

El FBI IC3 registró pérdidas de 2.900 millones de dólares por BEC. La pérdida media por incidente superó los 129.000 dólares. Para entender en profundidad cómo funciona este tipo de ataque y cómo protegerse, el artículo sobre spear phishing cubre el BEC con ejemplos y métricas actualizadas.

Patrones comunes en todos los ejemplos de phishing

Independientemente del señuelo, canal o sofisticación técnica, todos los ejemplos de phishing comparten un conjunto de características que, una vez conocidas, permiten identificarlos antes de actuar.

Señales técnicas

Dominio del remitente diferente al oficial. URL de destino que no coincide con la organización legítima. Certificado HTTPS presente pero en dominio falso (HTTPS no garantiza legitimidad). Archivos adjuntos no solicitados en formatos ejecutables o con macros.

Señales de ingeniería social

Urgencia artificial con plazos imposibles. Amenaza de consecuencias graves si no se actúa ahora. Solicitud de acción fuera del procedimiento habitual. Petición de confidencialidad que impide verificar con otros. Premio, devolución o beneficio inesperado.

Qué hacer si recibes un mensaje de phishing

La secuencia correcta ante un mensaje sospechoso:

  1. No hagas clic en ningún enlace ni descargues adjuntos. Aunque el mensaje parezca urgente. Especialmente si.
  2. Verifica directamente en la fuente oficial. Si el email dice ser de tu banco, accede directamente a la app o web del banco escribiendo la URL en el navegador. No uses el enlace del mensaje.
  3. Repórtalo. En España, el INCIBE gestiona el teléfono 017 para incidentes de ciberseguridad de ciudadanos y empresas. También puedes reportarlo a la organización suplantada directamente.
  4. Si ya introdujiste datos, actúa rápido. Cambia inmediatamente las contraseñas afectadas, activa MFA en todas las cuentas relacionadas y contacta con tu banco si los datos eran financieros. Cuanto antes se actúe, menor es el daño.
  5. No te sientas mal. El phishing está diseñado por profesionales para engañar. Reconocer que has caído en él y actuar rápido es la respuesta correcta.

El phishing con IA: cuando los ejemplos ya no tienen errores

Históricamente, los errores tipográficos y los textos mal redactados eran la señal de alerta más fiable de un correo de phishing. Esa señal ya no es válida.

Los modelos de lenguaje permiten generar mensajes de phishing personalizados, gramaticalmente perfectos, en cualquier idioma y adaptados al tono de comunicación de la organización que se suplanta. El QRishing, el vishing con clonación de voz y los deepfakes de videoconferencia son ejemplos de cómo la IA está eliminando los marcadores históricos de detección del phishing.

Para entender el estado actual de esta amenaza y cómo adaptar las defensas, el artículo sobre el phishing impulsado por IA analiza las técnicas específicas con ejemplos documentados.

Conoce la historia de Javier Hernández
«

Javier pasó por todo tipo de empleos temporales antes de convertir su pasión por la ciberseguridad en una carrera profesional. Siempre había tenido curiosidad por cómo funcionan los ataques, pero lo abordaba de forma autodidacta sin saber cómo se trabaja realmente en el sector.

El Bootcamp de Ciberseguridad de KeepCoding le dio el enfoque profesional que buscaba: profesores en activo, metodología real y cobertura de todos los campos del sector. Siete meses después estaba trabajando. La ciberseguridad, dice, es un campo tan amplio que hay que tener guía al principio para no perderse.

«
Leer el caso de éxito completo de Javier Hernández

Cómo aprender a detectar y prevenir phishing de forma profesional

Conocer los ejemplos es el primer paso. El segundo es saber construirlos y analizarlos desde la perspectiva del atacante: cómo diseñan el señuelo, qué información recopilan previamente, qué herramientas usan para desplegar la campaña y cómo miden su efectividad. Ese conocimiento ofensivo es lo que permite diseñar defensas que anticipan los ataques en lugar de reaccionar cuando ya han llegado.

Herramientas como GoPhish para simular campañas reales y DNStwist para detectar dominios maliciosos son parte del kit profesional de cualquier especialista que trabaje con el vector de phishing. Entender los phishing kits que los atacantes usan para desplegar sus campañas cierra el círculo del conocimiento sobre este ecosistema.

Sobre el Bootcamp de Ciberseguridad de KeepCoding: El programa cubre ingeniería social y phishing desde los dos lados: ofensivo (cómo se construyen y despliegan los ataques) y defensivo (cómo se detectan, se bloquean y se responde a ellos). Los alumnos trabajan con herramientas reales en entornos controlados. Duración 7 meses, tasa de empleabilidad del 100%.

Si quieres especializarte en ciberseguridad con proyectos reales y herramientas del mercado actual, el Ciberseguridad Full Stack Bootcamp de KeepCoding cubre el recorrido completo.

El INCIBE mantiene una base de datos actualizada de campañas de phishing activas en España con ejemplos reales de los mensajes fraudulentos en incibe.es/ciudadania/avisos. Es la referencia oficial más actualizada para ciudadanos y empresas en España.


Conclusión

bootcamp ciberseguridad

Los ejemplos de phishing más efectivos no son los más sofisticados técnicamente. Son los que crean la combinación correcta de credibilidad, urgencia y contexto plausible para la víctima específica que los recibe.

Conocer los patrones: dominio ligeramente modificado, urgencia artificial, solicitud de datos fuera del canal habitual, es la defensa más efectiva disponible para cualquier usuario.

Y para los equipos de seguridad, simular esos ataques de forma controlada con datos reales es la única forma de saber si la formación está funcionando antes de que llegue un ataque real.

Artículos que te pueden interesar

Noticias recientes del mundo tech

Fallo de software en control de vuelo

Fallo de software en control de vuelo detiene parte de la aviación global: lecciones para desarrolladores

Quiero saber más
Cómo hacer un menú de navegación en HTML

¿Cómo hacer un menú de navegación en HTML?

Quiero saber más
Lenguajes de programación

Lenguajes de programación: Los 10 más importantes

Quiero saber más
qué es un bootcamp

¿Qué es un bootcamp y cuáles son sus beneficios?

Quiero saber más

Arquitecto de 

Ciberseguridad

¡PONTE A PRUEBA!

¿Te gusta la ciberseguridad?

¿CREES QUE PUEDES DEDICARTE A ELLO?

Sueldos de hasta 80K | Más de 40.000 vacantes | Empleabilidad del 100%

arrow-icon-size3 🕵Haz el test y descubre si sirves para la Ciberseguridad🕵

Descárgate también el informe de tendencias en el mercado laboral 2026.

arrow-icon-size3 Descargar

IMPULSA TU CARRERA A TU MEDIDA

Fórmate con planes adaptados a tus objetivos y logra resultados en tiempo récord.
INFÓRMATE AQUÍ
KeepCoding Bootcamps
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.