5

Consejos de seguridad

¿Qué es el phishing y cómo funciona? Guía de prevención 2026

¿Recibiste un mensaje que te pide datos personales? ¡Cuidado! Conoce cómo funciona el phishing.

5

El phishing es una técnica de ciberdelincuencia basada en la ingeniería social. Su objetivo principal es engañar a las personas para que compartan información confidencial —como contraseñas, números de tarjeta de crédito, CURP o claves bancarias— haciéndose pasar por instituciones legítimas.

¿Por qué es vital protegerse ahora? De acuerdo con El País, en México, más de 13 millones de personas han sido víctimas de phishing en los últimos años y las tácticas han evolucionado rápidamente hacia la inteligencia artificial y la suplantación de voz.

De cara al 2026, los estafadores no solo envían correos; ahora te contactan por WhatsApp, SMS y llamadas. En esta guía actualizada, te explicamos cómo funcionan algunas de las nuevas modalidades y qué hacer para blindar tu información.

Los 5 fraudes financieros más comunes en México durante 2025 (y cómo evitarlos)

¿Cómo funciona el phishing? El ciclo del engaño

Para que este ataque tenga éxito, no hace falta que el estafador sea un genio informático; solo necesita que tú bajes la guardia por un segundo. El proceso siempre sigue un guión diseñado para manipular tus emociones: activan tu miedo, tu urgencia o tu curiosidad para que actúes rápido y pienses poco.

Así se ve el phishing en acción:

1. La suplantación

Todo empieza con un mensaje que puede pasar por inofensivo y legítimo. Puede llegar por correo, WhatsApp o SMS. Los estafadores copian logos, colores y el tono de las empresas que usas a diario como instituciones financieras, Netflix, Amazon o el SAT.

El truco está en el mensaje. Siempre te dirán algo para asustarte o emocionarte:

  • Miedo: “Detectamos un movimiento inusual en tu cuenta, verifica tu identidad”.
  • Urgencia: “Tu servicio será suspendido hoy si no actualizas tu token”.
  • Premio: “¡Felicidades! Tienes un crédito preaprobado listo para cobrar”.

2. La acción

Ya que tienen tu atención, te piden realizar una acción sencilla: hacer clic en un enlace o descargar un archivo adjunto.

Si haces clic, te llevarán a una página web que es un “clon” visualmente idéntico al sitio oficial. Verás la misma casilla para poner tu usuario y el mismo botón de “Entrar”. Todo parece estar en orden, pero es una fachada; en realidad, estás navegando en una página controlada por los delincuentes.

3. El robo de información

Este es el momento crítico. Creyendo que estás en la página de la marca o institución, y que es seguro, escribes tus datos confidenciales: usuario, contraseña, NIP o incluso los números de tu tarjeta.

Al dar clic en “Enviar” o “Iniciar sesión”, tus datos no viajan al banco ni a la plataforma de streaming. Se envían directamente a la base de datos del estafador. Sin darte cuenta, acabas de entregarles las llaves de tu vida digital y, quizá, estás siendo víctima de un robo de identidad.

Tipos de phishing y nuevas variantes a vigilar en 2026

Como mencionamos, el phishing ha evolucionado. Olvida la idea de que estos fraudes solo llegan por correos electrónicos mal redactados o con letras extrañas. Hoy en día, los ciberdelincuentes diversifican sus canales para encontrarte donde menos lo esperas: en tu teléfono, en tus apps de mensajería o incluso escuchando tu voz.

Estas son las variantes más activas y peligrosas que debes conocer:

Spear Phishing: ataque personalizado 

A diferencia del phishing tradicional, que lanza la red a ver quién cae, el Spear Phishing te apunta directamente a ti (como una lanza). Los estafadores investigan previamente tus redes sociales o bases de datos filtradas. 

El mensaje llega con tu nombre real, tu dirección o los últimos dígitos de tu tarjeta. Al ver tus datos personales, tu cerebro tiende a confiar y creer que es un comunicado oficial.

Vishing: fraude por llamada

El término viene de la unión de “Voice” (voz) y “Phishing”. Aquí, el ataque ocurre a través de una llamada telefónica. Lo típico es recibir una llamada de alguien que se identifica como “ejecutivo de seguridad de tu banco”. 

Te alertan sobre un cargo no reconocido y, con un tono muy profesional y amable, te guían para que tú mismo les des tus claves o códigos de acceso para “cancelar” la operación.

Vishing y spear phising: ¿qué son y cómo protegerte?

Phishing con IA: la nueva amenaza

Esta es la tendencia más alarmante que ha crecido mucho en 2025. Los estafadores ahora pueden usar inteligencia artificial para perfeccionar sus engaños:

  • Adiós a los errores: redactan correos y mensajes con gramática y tono corporativo perfectos, haciendo muy difícil distinguirlos de los reales.
  • Clonación de voz (deepfakes de audio): en casos más avanzados, la IA puede imitar la voz de un familiar en apuros o de un jefe solicitando una transferencia urgente.

Smishing y SIM Swap 

El celular también es uno de los nuevos objetivos de fraude. El smishing puede tomar dos formas distintas:

  • Smishing (SMS): te llega un mensaje de texto corto. Algunos ejemplos comunes son:
    • “Tu paquete no se pudo entregar, reprograma aquí”. 
    • “Tu cuenta ha sido bloqueada”. 

Como son mensajes muy cortitos y con un llamado a la acción urgente, es más fácil que, sin pensarlo, hagamos clic.

  • SIM Swap (secuestro de línea): esta variante es más técnica y peligrosa. Los criminales logran duplicar tu tarjeta SIM. Entonces, de repente, tu celular pierde señal y ellos activan tu número en otro dispositivo. Su objetivo es recibir los mensajes SMS de verificación de dos factores (2FA) para entrar a tus cuentas.
Scam: No todo lo que brilla es oro

Ejemplos de mensajes de phishing

Identificar el phishing puede ser más fácil si entendemos la psicología que hay detrás de este tipo de engaño. Los estafadores no envían mensajes al azar; diseñan textos específicos para activar “botones” en tu cerebro.

Generalmente, utilizan tres grandes disparadores emocionales: miedo, oportunidad y curiosidad. Aquí tienes ejemplos clásicos de cada uno:

1. Miedo y urgencia

El objetivo es ponerte agarrarte desprevenido para que actúes sin pensar. Si sientes que vas a perder dinero o acceso a una cuenta, es probable que hagas clic rápido:

  • “Encontramos un problema con tu registro: haz clic aquí para actualizar tus datos antes de 24 horas”.
  • “Tu cuenta ha sido bloqueada preventivamente por seguridad. Verifica tu identidad aquí”.

2. Oportunidad y beneficio

Aquí el gancho es la oportunidad de “ganar” algo o la necesidad financiera. Este tipo de mensajes suelen ofrecerte algo “demasiado bueno para ser verdad”. ¿Has recibido algún mensaje como estos?:

  • “¡Felicidades! Tienes un aumento en tu tarjeta de crédito: llena este formulario para aceptarlo”.
  • “¿Quieres un préstamo fácil sin garantía y sin buró? Haz clic aquí”.
  • “Aprovecha esta temporada de compras con descuentos exclusivos del 80%”.

3. Curiosidad y rutina

Estos son los más sutiles porque se mezclan con tu día a día. Simulan situaciones cotidianas para que bajes la guardia.

  • “Tu pedido será entregado hoy, solo necesitamos una confirmación de domicilio”. Este, en particular, es muy común en temporada de descuentos; aunque no hayas comprado nada.
  • “Alguien intentó entregar un paquete pero no había nadie. Reprograma aquí”.

Ahí es donde realmente ocurre la estafa: el usuario cree que está en la página real e ingresa los datos solicitados. Y vale la pena estar atento: el riesgo de phishing no es solo compartir la contraseña de tu tarjeta.

  • Si confirmas tu nombre de usuario y contraseña para un sitio de compras, por ejemplo, los estafadores pueden acceder a tu cuenta, realizar compras, cambiar la dirección de entrega (e incluso tener acceso a los datos registrados por ti en ese sitio, como tu método de pago).

¿Hay alguna manera de prevenir el phishing?

Decir que los usuarios son los únicos responsables de detectar estas estafas sería injusto; los delincuentes usan técnicas cada vez más pulidas para engañarnos. Sin embargo, tú tienes el control de cómo reaccionas.

Para proteger tu vida en línea y mantener tu información a salvo, aplica siempre la regla de oro: desconfía y verifica. Estas 5 acciones pueden ayudarte a proteger tu dinero y tus datos ante cualquier intento de phishing:

1. Nunca entregues datos por reacción inmediata

Grábate esto en la memoria: ni tu institución financiera, ni el SAT tendrían por qué pedirte contraseñas, NIP o códigos de seguridad por teléfono, correo o WhatsApp. Si recibes una llamada o mensaje pidiéndote estos datos con urgencia, cuelga o borra el mensaje. 

Es una estafa segura.

2. Evita los enlaces

Si te llega una notificación alarmante (ej: “Tu cuenta será bloqueada”), no hagas clic en el enlace que te envían. En su lugar, ve a la fuente original y verifica información:

  • Cierra el mensaje sospechoso.
  • Abre la app oficial de tu institución financiera o ve a la página web (www.tubanco.com) en el navegador.

Si el problema es real, verás la notificación dentro de la plataforma oficial. Si no hay nada ahí, era un intento de phishing.

3. Activa la verificación en dos pasos (2FA)

Esta herramienta puede ser como tu chaleco antibalas. Activa la autenticación de dos factores en tu correo, redes sociales y en la app de tu institución financiera. Con la verificación en dos pasos, aunque los estafadores logren robar tu contraseña, no podrán entrar a tu cuenta porque les faltará el segundo código que cambia cada 30 segundos y que solo tú tienes en tu teléfono.

4. Cuidado con las descargas ocultas

No instales programas ni descargues archivos adjuntos (como supuestas facturas en ZIP o PDF) si no conoces al remitente. A veces, el phishing no necesariamente quiere tus datos o contraseñas, sino instalar un virus en tu computadora para espiar todo lo que escribes.

5. ¿Crees que ya fuiste víctima? Actúa rápido

Si sospechas que tus datos han sido expuestos o ingresaste tu información en un sitio falso:

  • Bloquea tu tarjeta física (y las virtuales) inmediatamente desde la app de tu institución financiera.
  • Cambia tus contraseñas de inmediato desde un dispositivo seguro.
  • Comunícate con la institución financiera para bloquear tus cuentas, y que te asesoren sobre qué más puedes hacer.

Retoma el control de tu seguridad digital

Recuerda: el phishing no es un virus que entra por fuerza bruta, es un ataque oportunista. La única ventaja real que tiene el estafador es lograr sacarte de un entorno seguro para llevarte al suyo (ese sitio web falso o esa llamada engañosa).

Por eso, la estrategia más efectiva es cambiar tus hábitos:

  • No reacciones, pausa: la urgencia es su mejor arma; la calma es tu mejor escudo.
  • Toma la iniciativa: si tú controlas el acceso (entrando directamente a la app de la institución financiera o marca, o yendo a su página web), eliminas la posibilidad de caer en la trampa.

La tecnología avanza y las estafas también, pero con sentido común y verificación, tu seguridad siempre irá un paso adelante.

En Nu México queremos que nuestros clientes y lectores tengan la información necesaria para tomar decisiones mejor informadas con su dinero y así ayudarles a recuperar el control de su vida financiera. Este contenido se ofrece de forma educativa e informativa para ayudarlos a lograr ese fin. Si deseas conocer más detalles sobre los productos y servicios que ofrece Nu México Financiera S.A. de C.V., SFP visita nuestro sitio web oficial https://nu.com.mx/   

5

Redacción Nu

Conoce al autor

Recomendado

Un candado color gris y morado floto en un limbo negro para recordar la importancia de la protección de datos personales
Consejos de seguridad

16 may. 2025

¿Qué son los derechos ARCO?

¿Sabías que a través de los derechos ARCO puedes revocar el acceso a tus datos personales? Tu información sensible vale oro ¡No la pierdas de vista!

Consejos de seguridad

12 mar. 2025

¿Qué son los montadedudas y cómo reconocerlos?

Entender qué son los montadeudas es el primer paso para protegerte ante este esquema de fraude financiero. En este artículo te decimos cómo identificar estas trampas, y te compartimos cinco estrategias prácticas para mantener tu dinero a salvo.

un código sobre un fondo de color lila invita a reflexionar sobre los fraudes con códigos QR
Consejos de seguridad

10 mar. 2025

Fraudes con códigos QR: ¿cómo identificarlos y protegerte?

Los fraudes con códigos QR están a la orden del día y es mejor saber cómo cuidar tus datos y tu dinero. Antes de escanear, checa bien de dónde viene, a dónde va, y corre la voz para que nadie caiga en la trampa.

Temas relacionados

ciberfraude fraude Seguridad y Tecnología