¿Qué es el Phishing?

por
Tiempo de lectura 6 min
Qué es el Phishing

El phishing es el término anglosajón para referirse a un fraude cibernético donde los delincuentes suplantan la identidad de instituciones legítimas (como bancos, el SAT o servicios de mensajería) para robar contraseñas, números de tarjeta y NIPs mediante mensajes engañosos. Este fraude ha aumentado un 65% en el último año, y durante 2026 se ha registrado un incremento de ataques que utilizan Inteligencia Artificial para clonar voces y correos electrónicos corporativos.

Tipos de Phishing

El Phishing no son solo los clásicos correos electrónicos fraudulentos, algo que muchos de nosotros sabemos ya detectar. Los estafadores se han modernizado y ahora utilizan variantes que nos pueden pillar desprevenidos, como por ejemplo un SMS que, aparentemente, procede de nuestro banco y nos informa de una transferencia sospechosa. Puede ser de mucha ayuda conocer los tipos de phishing para detectar cuáles son los medios por los que podemos ser estafados.

ModalidadMedio de EstafaObjetivo Principal
Phishing TradicionalCorreo electrónicoRobar contraseñas de banca móvil y correos.
VishingLlamada telefónicaEngañar con “cargos no reconocidos” para pedir el NIP.
SmishingMensaje de texto (SMS / WhatsApp)Instalar malware o robar el código de verificación.
QRishingCódigos QR falsosRedirigir a sitios de pago clonados en restaurantes o parquímetros.

¿Cómo funciona el proceso de un ataque de phishing paso a paso?

Los delincuentes no necesitan ser hackers expertos; solo necesitan que el usuario tenga un momento de distracción o urgencia. El ciclo de un ataque suele seguir estos pasos:

  1. El Gancho de Urgencia: Recibes un correo o mensaje con una alerta crítica: “Su cuenta de BBVA ha sido bloqueada por seguridad” o “Tiene una devolución pendiente del SAT de $8,450 MXN”.
  2. La Redirección: El mensaje contiene un enlace que parece oficial (ejemplo: sat-gob-mx.com en lugar de sat.gob.mx). Al dar clic, llegas a una página que es idéntica a la original.
  3. La Captura de Datos: El sitio te pide “validar” tus datos. Ingresas tu número de tarjeta, fecha de vencimiento y, lo más peligroso, tu Token o código dinámico.
  4. La Extracción de Fondos: Con los datos en tiempo real, los atacantes realizan transferencias vía SPEI o compras en comercios electrónicos antes de que puedas reportarlo. En menos de 180 segundos, pueden vaciar una cuenta de ahorros promedio.

El phishing no es solo una estafa económica

El costo de un descuido digital no solo se mide en el saldo de tu cuenta, sino en el tiempo y el estrés del proceso de recuperación. Es posible que no te preocupe el phishing en exceso si cuentas con la tranquilidad (fundada o no) de que el banco pueda restituirte los fondos. Sin embargo, la experiencia invita a prestar mucha atención a posibles señales, ya que puedes acabar perdiendo grandes montos de dinero, tiempo y ganando muchísima ansiedad.

Según datos de la CONDUSEF en 2026:

  • Pérdida promedio por usuario: El monto sustraído en ataques de phishing a personas físicas oscila entre los $12,500 y $45,000 MXN.
  • Tasa de recuperación: Solo el 15% de las víctimas logra recuperar su dinero mediante reclamaciones bancarias, ya que el banco suele argumentar que el usuario “entregó voluntariamente” sus claves dinámicas.
  • Cargos no reconocidos: Las compras en línea realizadas con datos robados pueden tardar hasta 45 días hábiles en ser dictaminadas por las instituciones financieras.

¿A qué perfiles de usuarios suelen atacar más los defraudadores?

Aunque cualquier persona con un celular es un blanco potencial, los atacantes han segmentado sus estrategias para 2026:

  1. Adultos Mayores (Pensionados): Son el objetivo principal del vishing (llamadas). Los delincuentes se hacen pasar por personal del Banco del Bienestar o bancos comerciales para pedir datos de la tarjeta bajo el pretexto de “actualizar el sistema de pensiones”.
  2. Usuarios de E-commerce: Compradores frecuentes en plataformas como Mercado Libre o Amazon que reciben alertas de “problemas con el envío” para que ingresen sus datos de pago nuevamente.
  3. Contribuyentes en temporada de Declaración Anual: Entre marzo y abril, los ataques que suplantan al SAT aumentan un 300%, prometiendo saldos a favor inexistentes.
  4. Empleados con acceso a nómina: Mediante correos que parecen venir del área de Recursos Humanos de su empresa, solicitando “actualizar datos bancarios para el depósito de la quincena”.

¿Cómo puedes identificar un sitio falso antes de caer?

La clave está en los detalles técnicos que el ojo humano suele ignorar por la prisa:

  • El candado no es suficiente: Que un sitio tenga https:// y el icono del candado solo significa que la conexión es segura, no que el dueño del sitio sea honesto.
  • El dominio sospechoso: Revisa que después del punto sea .gob.mx o .com.mx oficial. Los estafadores usan guiones adicionales o letras cambiadas (ej. bananmex en lugar de banamex).
  • Solicitud de NIP: Ningún banco en México te pedirá tu NIP de cajero o tu contraseña de banca móvil por teléfono o correo electrónico. Nunca.

Preguntas Frecuentes sobre el Phishing en México

¿Qué debo hacer si ya ingresé mis datos en una página falsa?

Debes entrar inmediatamente a tu app bancaria y bloquear/apagar tus tarjetas. Posteriormente, comunícate a la línea de atención oficial de tu banco para solicitar un cambio de contraseñas y la cancelación de tu Token digital actual.

¿Cómo identifico si un mensaje de WhatsApp de mi banco es real?

Los bancos oficiales en México tienen una insignia de verificación verde junto a su nombre en WhatsApp. Si el mensaje proviene de un número personal (con foto de perfil del logo del banco pero sin verificación), se trata de un fraude de smishing en el 99% de los casos.

¿El SAT envía correos electrónicos con archivos para descargar?

No, el SAT nunca envía archivos adjuntos como .zip, .exe o enlaces de descarga directa por correo. Todas las notificaciones oficiales se reciben exclusivamente a través de tu Buzón Tributario, al cual debes acceder con tu RFC y contraseña o e.firma.

¿Cuánto tiempo tarda el banco en resolver una reclamación por phishing?

Por ley, el banco tiene hasta 30 días hábiles para darte una respuesta inicial. Sin embargo, si el fraude se realizó validando una clave dinámica (Token), la resolución suele ser “improcedente” a menos que demuestres que tu dispositivo fue robado o clonado físicamente.

Confirmo que he leído y acepto el Aviso de Privacidad, los Términos y Condiciones del sitio web.
En finan.mx no cobramos por el uso de nuestros servicios ni otorgamos préstamos directamente. Ofrecemos opciones de préstamos con plazos de 3 a 36 meses y una tasa de interés anual fija que va del 8.9% al 28.9% sin IVA, según el perfil del solicitante. Sujeto a aprobación de préstamo.
Ejemplo representativo de un préstamo de $15,000 a 6 meses con un CAT promedio de 18.5% con pagos mensuales de $2,634.37 y un total a pagar de $15,806.22.

Escrito por:

Autor Fernando

Fernando

Financial Advisor y SEO Specialist en Finan.mx - Le encanta la economía, la sociología y en general comprender los pequeños engranajes que mueven el mundo.

Finan.mx

Al hacer uso de este sitio aceptas que usemos cookies para mejorar tu experiencia.