El mensaje llega cuando menos lo esperas. Parece enviado por el banco, una empresa de paquetería o algún servicio conocido. Advierte que existe un cargo sospechoso, que una cuenta será bloqueada o que debes actualizar tus datos cuanto antes. El enlace aparece unos renglones abajo y la instrucción parece sencilla: abrirlo, iniciar sesión y resolver el problema.

Esa urgencia es precisamente la trampa. El phishing es una técnica de suplantación de identidad utilizada para engañar a una persona y conseguir que entregue contraseñas, números de tarjetas, datos personales o códigos de seguridad. También puede buscar que la víctima descargue un archivo malicioso o permita el acceso a su dispositivo.

El engaño suele utilizar logotipos, colores y formatos similares a los de una institución real. Algunos mensajes incluyen lenguaje técnico y dirigen a páginas que imitan con detalle los portales legítimos. Cuando el usuario captura sus datos, la información queda en manos de los delincuentes.

La Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) advierte que los atacantes recurren con frecuencia a mensajes alarmistas. Pueden afirmar que existe un problema con la cuenta, pedir una actualización inmediata o asegurar que detectaron movimientos irregulares. El objetivo es provocar una reacción rápida antes de que la persona tenga tiempo de verificar la información.

El fraude ya no se limita al correo electrónico. Cuando llega mediante mensajes SMS se conoce como smishing. Si la suplantación ocurre mediante una llamada telefónica, se denomina vishing. También pueden aparecer enlaces peligrosos en redes sociales, aplicaciones de mensajería o códigos QR manipulados.

Detente antes de tocar el enlace

La regla más importante es sencilla: no abras enlaces ni descargues archivos incluidos en un mensaje inesperado. Si el aviso parece provenir de una empresa o institución con la que mantienes una cuenta, abre directamente su aplicación oficial o escribe la dirección habitual en el navegador. También puedes llamar al número que aparece en tu tarjeta, estado de cuenta o página oficial, no al teléfono incluido en el mensaje sospechoso.

Revisar la dirección del remitente también puede revelar el engaño. Los dominios extraños, las letras intercambiadas, los errores ortográficos y las frases que exigen actuar inmediatamente son señales de alerta. Sin embargo, un mensaje bien escrito tampoco garantiza que sea auténtico: las técnicas de suplantación pueden imitar comunicaciones legítimas con un alto nivel de detalle.

El candado del navegador y el protocolo https son útiles porque indican que la conexión está cifrada, pero no bastan para comprobar que una página pertenece realmente al banco o empresa que dice representar. Los delincuentes también pueden utilizar certificados digitales en sitios falsos. Antes de capturar información personal, conviene revisar cuidadosamente el dominio completo.

Qué hacer si ya compartiste tus datos

Si ingresaste tu contraseña en una página sospechosa, debes cambiarla inmediatamente y reemplazarla también en cualquier otra cuenta donde utilices la misma clave. Después, activa la autenticación en dos pasos cuando esté disponible. Esta medida añade una barrera adicional incluso si los delincuentes ya conocen tu contraseña.

Cuando el incidente involucra información bancaria, cargos no reconocidos o transferencias, la prioridad es comunicarse directamente con la institución financiera para bloquear tarjetas, revisar movimientos y reportar las operaciones. La Condusef cuenta con un Portal de Queja Electrónica para gestionar controversias relacionadas con productos y servicios financieros.

También es recomendable actualizar el sistema operativo, el navegador y las aplicaciones, ejecutar un análisis de seguridad y revisar si existen cambios no autorizados en las cuentas. Mantener activas las actualizaciones automáticas ayuda a corregir vulnerabilidades aprovechadas por archivos o páginas maliciosas.

Las víctimas de un ciberdelito pueden llamar al 088 para recibir orientación de la Guardia Nacional. En la Ciudad de México, la Policía Cibernética atiende reportes durante todo el año en el teléfono 55 5242 5100, extensión 5086, y mediante el correo policia.cibernetica@ssc.cdmx.gob.mx.

El mejor filtro contra el phishing no es una herramienta sofisticada, sino una pausa. Antes de abrir un enlace, entregar un código o responder una llamada, vale la pena detenerse, cerrar el mensaje y comprobar la información mediante un canal independiente.

Guía rápida

1. No abras el enlace: entra directamente a la aplicación o página oficial.
2. No compartas códigos: tu NIP, token, CVV y contraseñas no deben entregarse por mensaje o llamada.
3. Desconfía de la urgencia: una amenaza de bloqueo inmediato puede ser parte del engaño.
4. Revisa el dominio: el candado no garantiza por sí solo que el sitio sea legítimo.
5. Activa la autenticación en dos pasos: añade una capa extra de seguridad.
6. Reporta el incidente: llama a tu banco y conserva capturas del mensaje sospechoso.