FraudeDigital // expediente: phishing-tradicional clase: guía dual · público + técnico
Capa de Identidad · Autenticación Estática

Phishing: el anzuelo digital

Para todos: aprende a identificar un correo falso in segundos. Para profesionales: profundiza en las defensas técnicas (SPF, DKIM, DMARC).

Miguel Ángel Carriazo 18 junio 2026 3 min de lectura
← Volver al Panel de Control
01 // Para todos Público general

¿Qué es el phishing? (y por qué te puede llegar)

Phishing es una palabra que viene del inglés "fishing" (pescar). Los delincuentes "pescan" a sus víctimas lanzando miles de correos electrónicos falsos con la esperanza de que alguien pique el anzuelo.

El objetivo siempre es el mismo: que introduzcas tus datos personales (contraseñas, números de tarjeta, DNI, etc.) en una página web que parece legítima pero que en realidad es una copia exacta controlada por ellos.

📌 Ejemplo real que te puede pasar mañana:

Recibes un correo de "tu banco" diciendo que han detectado un movimiento sospechoso y que debes entrar urgentemente a verificar tu cuenta. El correo tiene el logo del banco, el tono es serio y te da un enlace. Si pinchas y pones tu usuario y contraseña... se los estás dando directamente al estafador.

¿Cómo lo detectas sin ser un experto? Aquí tienes 4 señales de alarma que funcionan siempre:

  • El remitente no coincide: Mira la dirección de correo completa (no solo el nombre). Si pone "Banco Santander" pero el correo es [email protected] → es falso.
  • Te piden hacer algo urgente: "En 24 horas tu cuenta será bloqueada". Los bancos reales nunca te piden contraseñas por correo ni te exigen actuar en minutos.
  • El enlace no es el oficial: Pasa el ratón por encima del botón/enlace (sin pinchar) y mira abajo a la izquierda en tu navegador. Si la URL no es exactamente la de tu banco → no pinches.
  • Faltas de ortografía o tono extraño: Los correos falsos suelen tener erratas, frases raras o un lenguaje demasiado formal/extraño. Una entidad profesional cuida su comunicación.
✅ Regla de oro: Si tienes la mínima duda, no pinches. Abre tu navegador, escribe la URL de tu banco manualmente y entra desde allí. Siempre.
02 // Para todos Qué hacer si ya pinchaste

Y si ya caí... ¿qué hago?

No pasa nada, no eres el primero ni el último. Lo importante es actuar rápido. Sigue estos pasos en orden:

  1. Cambia tu contraseña en el servicio afectado (y en cualquier otro donde uses la misma clave).
  2. Activa el doble factor (2FA) si no lo tenías. Así, aunque tengan tu contraseña, no podrán entrar sin el código de tu móvil.
  3. Contacta con el servicio real (banco, plataforma, etc.) y avisa de lo ocurrido. Ellos tienen procedimientos para protegerte.
  4. Revisa tus movimientos bancarios en los próximos días por si hay cargos no reconocidos.
  5. Denuncia si ha habido pérdida económica. Guarda el correo falso como prueba.

Y recuerda: las entidades legítimas nunca te van a pedir que les des tu contraseña por teléfono, correo o SMS. Esa es la línea roja.

⚙️ A PARTIR DE AQUÍ · PARA ADMINISTRADORES Y TÉCNICOS ⚙️
03 // Para técnicos SPF · DKIM · DMARC

Protección perimetral: cómo detener el phishing antes de que llegue

Para el usuario final, la detección es reactiva. Para el administrador de sistemas, la defensa debe ser proactiva y configurarse en la infraestructura de correo.

El phishing tradicional (el de los formularios estáticos) se puede frenar en un 90% con tres registros DNS bien configurados.

🔹 SPF (Sender Policy Framework)

Define qué servidores están autorizados a enviar correos en nombre de tu dominio.

v=spf1 mx include:spf.proveedor.com ~all (el ~all es blando; el -all es estricto)
🔹 DKIM (DomainKeys Identified Mail)

Añade una firma criptográfica al correo.

default._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."
🔹 DMARC (Domain-based Message Authentication)

Le dice al servidor receptor *qué hacer* cuando un correo falla SPF o DKIM.

_dmarc IN TXT "v=DMARC1; p=reject; pct=100; rua=mailto:[email protected]" Con p=reject y pct=100, bloqueas el 100% de los correos que suplanten tu dominio.

Resumen: Un dominio sin DMARC en modo reject es un dominio vulnerable a la suplantación.

04 // Para técnicos Análisis forense

Indicadores de compromiso en cabeceras SMTP

Inspecciona las cabeceras completas del mensaje (en Gmail: "Mostrar original"; en Outlook: "Ver código fuente").

  • Return-Path vs From: El Return-Path suele apuntar a un dominio externo no relacionado.
  • Received-SPF: Si pone fail o softfail, el servidor emisor no está autorizado.
  • DKIM-Signature: Si falta o no pasa la verificación, el correo no está firmado.
  • Received: La cadena de servidores. Si el primer salto viene de una IP sospechosa, es phishing.
Ejemplo de cabecera comprometida: Return-Path: <[email protected]> Received-SPF: softfail (google.com: domain of [email protected] does not designate IP as permitted sender) DKIM: fail

Si ves esto, no es PayPal. Es un intento de phishing.

Sobre el autor
Miguel Ángel Carriazo · vCISO

vCISO · Arquitecto de Soluciones de Infraestructura y Ciberseguridad | Gobierno, Riesgo y Cumplimiento (GRC) | Gobierno de IA · ISO 42001 | Fundador de FraudeDigital.es

Compartir artículo