← Volver al blog
Phishing phishing personalizado

Phishing con tu nombre: por qué ya no basta con mirar el remitente

Llega un correo. Pone tu nombre. Menciona tu banco. Dice que hay un problema con tu última transferencia. El remitente parece correcto. El logo está bien puesto. Y tú, que llevas años diciendo que no picas, estás a punto de hacer clic.

Esto no es un caso hipotético. Es lo que le ocurrió a miles de clientes de entidades bancarias españolas durante la oleada de phishing personalizado que el Instituto Nacional de Ciberseguridad (INCIBE) documentó en sus informes de 2023 y 2024. El timo evolucionó. Ya no es el príncipe nigeriano. Ahora sabe cómo te llamas.

La anatomía del timo: cómo funciona por dentro

El phishing clásico era un disparo al aire. Un mensaje genérico enviado a millones de direcciones con la esperanza de que alguien, el que fuera, mordiera el anzuelo. Fácil de detectar porque no sabía nada de ti.

El phishing personalizado es diferente. Antes de escribirte una sola línea, quien está detrás ha recopilado datos tuyos. Tu nombre completo. Tu banco. Tu operador de telefonía. A veces, incluso el número de los últimos cuatro dígitos de tu tarjeta o la fecha de tu última compra.

¿De dónde salen esos datos? De varias fuentes combinadas: filtraciones de bases de datos vendidas en mercados ilegales, información pública en redes sociales, respuestas a formularios fraudulentos anteriores o simplemente datos cruzados de múltiples brechas de seguridad acumuladas a lo largo de años. Puedes comprobar si tu dirección de correo ha aparecido en alguna filtración conocida en herramientas como Have I Been Pwned.

Con esa materia prima, el proceso es sencillo: se construye un mensaje creíble, se suplanta una marca de confianza, se añade urgencia y se incluye un enlace a una página falsa que imita la original con precisión quirúrgica. El objetivo es siempre el mismo: que introduzcas tus credenciales o tus datos bancarios en un formulario que no pertenece a quien dice pertenecer.

Asunto: Acción requerida: verificación de seguridad en tu cuenta

De: seguridad@bancocliente-alertas.com

Para: marta.garcia@correo.es

Hola, Marta.

Hemos detectado un acceso inusual a tu cuenta desde un dispositivo no reconocido en Madrid (22/05/2025, 14:32h). Por tu seguridad, hemos limitado temporalmente algunas funciones.

Para restaurar el acceso completo, verifica tu identidad en los próximos 24 horas a través del siguiente enlace:

https://banco-seguro.net/verificar?id=MG2025

Si no realizas la verificación, tu cuenta quedará suspendida de forma preventiva.

Atentamente,
Equipo de Seguridad

Marta existe. Su banco existe. La fecha parece reciente. El tono es el de un servicio de atención al cliente real. Y sin embargo, todo es falso.

Las señales que lo delatan

1. El dominio del remitente no cuadra con la empresa

El nombre visible en el campo "De" puede ser cualquier cosa. Lo que importa es la dirección real. En el ejemplo de arriba, el banco sería, digamos, CaixaBank o Santander. Pero la dirección es bancocliente-alertas.com. Eso no es el dominio oficial de ninguna entidad. Comprueba siempre la dirección completa del remitente, no solo el nombre que aparece en pantalla.

2. La urgencia está diseñada para anular tu criterio

"24 horas", "suspensión inmediata", "acceso bloqueado". Estos mensajes no te dan tiempo a pensar porque no les interesa que pienses. Cualquier entidad real te permite contactar con su servicio de atención al cliente, ir a una oficina o tomarte un día para resolver el asunto. La prisa es la herramienta, no la realidad.

3. El enlace no lleva adonde dice llevar

Pasa el cursor por encima del enlace sin hacer clic. En la parte inferior de tu navegador o cliente de correo aparecerá la URL real. Si el texto del enlace dice "accede a tu banco" pero la URL muestra banco-seguro.net/verificar, no son lo mismo. El banco tiene su propio dominio. Búscalo tú directamente en el navegador.

4. Te piden datos que tu banco ya tiene

Tu entidad bancaria no necesita que le confirmes tu número de cuenta completo, tu PIN o la clave de acceso a la banca digital. Ya los tiene. Si un mensaje te pide que "verifiques" esos datos introduciéndolos de nuevo, es porque quien está al otro lado no los tiene y quiere que se los des.

5. El saludo personalizado no garantiza nada

Que el correo te llame por tu nombre no significa que venga de quien dice venir. Los datos personales se filtran, se compran y se cruzan. Tu nombre en un correo fraudulento solo prueba que alguien hizo los deberes antes de escribirte. No es una prueba de autenticidad, es una táctica de confianza.

6. La página de destino tiene algo raro

Si llegas a hacer clic, observa la URL con atención antes de introducir cualquier dato. Busca errores sutiles: bancosantanderr.es, caixa-bank.com, ingdirecto.net. También comprueba si tiene el candado de conexión segura (HTTPS), aunque ojo: el candado solo garantiza que la conexión está cifrada, no que el sitio sea legítimo. Un sitio fraudulento puede tener candado.

Qué hacer ahora mismo si recibes uno

Primero: no hagas clic en ningún enlace ni descargues ningún adjunto. Si ya lo hiciste, cierra la pestaña y no introduzcas ningún dato.

Segundo: accede a tu banco directamente. Escribe la URL oficial en el navegador o usa la aplicación oficial. Comprueba si hay alguna alerta real en tu cuenta. En la mayoría de los casos, no habrá nada.

Tercero: si has introducido tus credenciales en una página fraudulenta, cambia tu contraseña de inmediato desde el canal oficial y contacta con tu banco para que bloqueen posibles operaciones no autorizadas.

Cuarto: reporta el mensaje. En España puedes hacerlo a través de la Oficina de Seguridad del Internauta (OSI), dependiente de INCIBE, o directamente a la Policía Nacional o la Guardia Civil a través de sus formularios de denuncia en línea. También puedes reenviar el correo fraudulento a la empresa suplantada para que tomen medidas.

Quinto: guarda el correo como prueba antes de eliminarlo. Una captura de pantalla o el mensaje completo con cabeceras puede ser útil si necesitas presentar una denuncia formal.

Veredicto

El phishing personalizado no es más difícil de esquivar que el clásico. Es más fácil de confundir con algo real. La diferencia está en saber que tu nombre en un correo no es una garantía de nada. SCAM. Siempre que haya urgencia, enlace externo y petición de datos.

Decálogo: diez reglas para no picar

  1. Lee la dirección completa del remitente. El nombre visible no vale. El dominio real, sí.
  2. Pasa el cursor por los enlaces antes de hacer clic. Comprueba adónde llevan de verdad.
  3. Entra a tu banco escribiendo la URL tú mismo. Nunca desde un enlace en un correo.
  4. Desconfía de cualquier mensaje que te meta prisa. La urgencia es el mecanismo, no el problema.
  5. Tu banco no te pide datos que ya tiene. Si los piden, algo falla.
  6. Tu nombre en el correo no prueba que sea legítimo. Los datos se filtran. Tu nombre también.
  7. Comprueba si tu correo ha aparecido en filtraciones. Herramientas como Have I Been Pwned te lo dicen gratis.
  8. El candado HTTPS no es sinónimo de sitio seguro. Solo cifra la conexión, no valida el origen.
  9. Si dudas, llama. El teléfono oficial de tu banco está en el reverso de tu tarjeta o en su web oficial.
  10. Reporta el intento. Cada aviso a la OSI o a tu banco ayuda a cortar la cadena antes de que llegue a otra persona.

Entrena tu instinto.

La app es gratis. El juego físico, bajo pedido. En ambos, 54 casos reales para entrenar el ojo.

Ver el manual