Phishing: por qué te interesa
Seguro que te ha pasado alguna vez: abres el correo y te encuentras un mensaje que parece venir de tu banco, de la Agencia Tributaria o de Correos. Te dicen que tu cuenta se ha bloqueado, que tienes una multa pendiente o que tu paquete está retenido y debes pagar un euro con unos céntimos. El mensaje parece real, tiene el logo correcto, la tipografía adecuada e incluso un tono formal. Pero, en realidad, lo que tienes delante es un fraude.
Cada día, miles de españoles reciben estos intentos de engaño. El objetivo siempre es el mismo: robar dinero, datos personales o incluso tu identidad digital. Y aunque pueda parecer un problema lejano, la realidad es que cualquiera puede caer, desde un joven acostumbrado a la tecnología hasta una persona mayor que abre su correo con toda la confianza del mundo.
En esta guía vamos a repasar cuáles son los correos falsos más comunes en España en 2025, cómo operan los delincuentes, qué señales debes vigilar y qué pasos dar si ya has caído. También veremos cómo proteger a los más mayores y qué pueden hacer las empresas para evitar convertirse en víctimas.
Los correos falsos más comunes en España
El rey de todos los fraudes sigue siendo el phishing bancario. Llega un correo con asunto alarmante: tu cuenta ha sido bloqueada, se ha detectado un acceso sospechoso o necesitas verificar tus datos de inmediato. El mensaje te invita a pinchar en un enlace que, al abrirse, muestra una web casi idéntica a la del banco. Lo que buscan son tus claves, tus tarjetas o incluso los códigos de verificación que recibes en el móvil. La novedad en 2025 es que muchas veces, tras el correo, los estafadores te llaman por teléfono haciéndose pasar por el banco para sacarte esos códigos.
Muy cerca en popularidad están los correos de paquetería. Mensajes que imitan a Correos, DHL, GLS o Amazon y que te piden pagar una pequeña cantidad para liberar un envío. La trampa está en que, al introducir tu tarjeta, no solo pierdes ese euro, sino que les entregas todos tus datos bancarios.
La Agencia Tributaria también es carne de suplantación. Ahora que las campañas de impuestos se gestionan casi por completo online, los delincuentes envían correos que prometen devoluciones o que avisan de notificaciones pendientes. El usuario desprevenido pincha y acaba en una web clonada. Conviene recordar que Hacienda nunca pedirá claves ni pagos por e-mail: siempre utiliza la Sede Electrónica y certificados digitales.
Algo parecido ocurre con las multas de la DGT. Los estafadores saben que pocas cosas generan más miedo que una sanción. El correo asegura que tienes una multa pendiente con foto de radar incluida, y que debes pagar en 24 horas para evitar recargos. Es un engaño: la DGT no notifica multas por correo electrónico.
Otros fraudes habituales son los que suplantan a la Seguridad Social o a servicios sanitarios, pidiendo que actualices tu tarjeta sanitaria o tus datos de cotización. También circulan falsas citaciones policiales o de Europol que utilizan el miedo como gancho: correos que hablan de investigaciones abiertas y te obligan a descargar un archivo adjunto que, en realidad, instala un virus.
Por último, no podemos olvidar los correos de sextorsión, que aseguran tener vídeos íntimos tuyos y exigen un pago en Bitcoin. Nunca incluyen pruebas reales; todo se basa en la vergüenza y el miedo.
Cómo operan los delincuentes
La clave está en la ingeniería social. Los delincuentes saben que, bajo presión, actuamos sin pensar. Por eso, los correos falsos siempre transmiten urgencia: “pague ahora”, “responda en 24 horas”, “su cuenta será bloqueada”. También buscan la autoridad: imitan logos y colores de empresas conocidas para generar confianza. Y cada vez personalizan más los mensajes, utilizando tu nombre, tu correo o datos filtrados en Internet.
Los enlaces son otro de los trucos clásicos. Los atacantes registran dominios muy parecidos al real o juegan con subdominios que parecen legítimos. A veces usan acortadores o cadenas de redirecciones para que sea imposible ver la dirección real hasta que es demasiado tarde.
Los archivos adjuntos tampoco han pasado de moda. Muchos correos incluyen supuestos PDF o documentos de Word que, al abrirse, instalan programas maliciosos. Incluso se está extendiendo una técnica llamada HTML smuggling, que consiste en enviar un archivo aparentemente inofensivo que reconstruye el virus en tu propio ordenador.
En 2025 han cobrado fuerza nuevas modalidades. Una de ellas es el quishing, es decir, correos con códigos QR que llevan a webs falsas. Otra es el consent phishing, donde no te piden tu contraseña, sino que autorices a una aplicación. Esa autorización les abre la puerta a tu cuenta aunque cambies la clave después.
Y, como si todo esto no fuera suficiente, ahora muchos fraudes son híbridos: correo más llamada. Tras enviarte el e-mail, te llaman haciéndose pasar por soporte técnico para terminar de robarte los datos o códigos de acceso.
Quién está detrás y por qué es tan difícil atraparlos
Olvídate de la imagen del estafador solitario en un garaje. Detrás de estos fraudes hay auténticas mafias internacionales organizadas como empresas. Unos diseñan las plantillas, otros alquilan servidores, otros compran listas de correos y otros mueven el dinero a través de “mulas”. Incluso existen plataformas de suscripción llamadas Phishing-as-a-Service (PhaaS): pagas una cuota mensual y tienes acceso a todo lo necesario para lanzar tu propia campaña de estafas.
Los delincuentes utilizan servidores en distintos países, proxys, VPN y servicios en la nube legítimos como Google Drive o Forms para camuflar sus fraudes. Eso hace que rastrearlos sea un reto enorme para las fuerzas de seguridad.
Señales que nunca fallan
Aunque cada campaña evoluciona, hay patrones que se repiten. Casi siempre hay un tono de urgencia o amenaza. Siempre piden algo que ninguna entidad oficial pediría por correo: contraseñas, códigos de verificación o datos bancarios. A menudo los enlaces no coinciden con la web oficial si pasas el ratón por encima. Y no es raro encontrar pequeños fallos: teléfonos que no figuran en la web real, firmas raras o direcciones de remitente que en realidad pertenecen a servicios gratuitos.
Qué hacer si ya has caído
Lo primero es no entrar en pánico. Cambia tus contraseñas desde un dispositivo limpio y activa la verificación en dos pasos. Si has dado datos bancarios, llama inmediatamente a tu banco para bloquear la tarjeta o la cuenta. Pasa el antivirus y guarda capturas de pantalla del correo o de la web a la que te llevó. Luego, llama al 017 de INCIBE, donde te orientarán gratis, y presenta denuncia en Policía o Guardia Civil. Cuanto antes actúes, más posibilidades tendrás de minimizar el daño.
Cómo se pueden proteger las empresas
Las empresas no son inmunes; de hecho, muchas estafas apuntan a ellas con fraudes de facturas falsas o cambios de IBAN. Para protegerse, no basta con la tecnología. Es necesario configurar bien los sistemas de correo (SPF, DKIM, DMARC), utilizar herramientas de filtrado avanzadas y mantener los equipos actualizados. Pero lo más importante son las personas: formación continua, simulacros de phishing y procedimientos claros para verificar cualquier cambio en pagos o transferencias.
Conclusión
Los correos falsos son cada vez más creíbles, pero la buena noticia es que también son detectables si sabes en qué fijarte. La clave está en desconfiar de la urgencia, comprobar siempre la dirección real y no ceder a la presión de actuar sin pensar.
Si este tema te interesa, comparte esta guía con tu familia y, sobre todo, con los más mayores: siguen siendo el blanco favorito de los delincuentes. Cuanta más gente sepa cómo funcionan estas trampas, más difícil lo tendrán los estafadores.
Y si quieres ver ejemplos reales y aprender con casos prácticos, visita nuestro canal Alerta Fraude y suscríbete. Porque evitar caer en una estafa empieza con algo tan sencillo como estar informado.
Bibliografía y fuentes
Instituciones y organismos oficiales (España y UE)
- INCIBE (Instituto Nacional de Ciberseguridad) – Avisos y alertas actualizadas sobre campañas de phishing y fraudes online.
https://www.incibe.es/ciudadania/avisos - Agencia Tributaria (AEAT) – Portal oficial con ejemplos de correos falsos y repositorio actualizado en 2025.
https://sede.agenciatributaria.gob.es/Sede/ayuda/consultas-informaticas/informacion-casos-phishing.html - Dirección General de Tráfico (DGT) – Aviso oficial: la DGT nunca notifica multas por correo electrónico.
https://www.dgt.es/comunicacion/noticias/La-DGT-nunca-notifica-multas-a-traves-de-correo-electronico - Seguridad Social – Guías para evitar fraudes relacionados con cotizaciones y tarjetas sanitarias.
https://revista.seg-social.es/-/como-evitar-fraudes-relacionados-con-seguridad-social - Correos – Página oficial sobre phishing y seguridad en envíos.
https://www.correos.es/es/es/atencion-al-cliente/seguridad-de-la-informacion/phishing - Policía Nacional – Comunicados y alertas sobre fraudes en Internet.
https://www.policia.es/_es/comunicacion_prensa.php - Europol / ENISA – Informes sobre amenazas en la UE y guías de prevención contra el fraude online.
https://www.europol.europa.eu
https://www.enisa.europa.eu/topics/cyber-threats/threat-landscape
Laboratorios y empresas de ciberseguridad
- Microsoft Security Blog – Tendencias en phishing, malware y bypass de 2FA.
https://www.microsoft.com/security/blog - Proofpoint Threat Insight – Informes sobre campañas globales de phishing y kits PhaaS.
https://www.proofpoint.com/us/blog/threat-insight - Cisco Talos Blog – Técnicas avanzadas como AiTM y bypass de MFA.
https://blog.talosintelligence.com - Netcraft – Reportes sobre kits de phishing y tendencias en suplantación.
https://www.netcraft.com/blog - Barracuda Networks – Alertas sobre nuevas tácticas (ej. ataques con QR).
https://blog.barracuda.com
Informes internacionales
- FBI Internet Crime Complaint Center (IC3) – Informe anual 2024: phishing como delito más denunciado, con pérdidas récord de 16.600 M$.
https://www.ic3.gov/AnnualReport - Action Fraud (UK) – Alertas sobre fraudes con códigos QR y phishing en Reino Unido.
https://www.actionfraud.police.uk/news
Medios y divulgación en España
- Cadena SER – “La Guardia Civil alerta sobre una nueva estafa que suplanta a GLS”.
https://cadenaser.com/nacional/2025/05/31/la-guardia-civil-alerta-sobre-una-nueva-estafa-que-suplanta-a-gls-no-piques-es-phishing - El HuffPost – Avisos recientes sobre fraudes relacionados con la Seguridad Social.
https://www.huffingtonpost.es/sociedad