Cómo identificar y evitar el phishing en 2025: guía completa para no caer en las estafas más sofisticadas
El phishing con IA ya no tiene errores ortográficos, las señales que siempre aplican, smishing en WhatsApp y SMS en México, protección con 2FA y gestor de contraseñas y qué hacer si ya caíste en uno.
El phishing —el intento de engañar a usuarios para que revelen contraseñas, datos bancarios o información personal mediante comunicaciones fraudulentas— es el vector de ataque más efectivo de los ciberdelincuentes en 2025. El 91% de los ataques cibernéticos comienzan con un email de phishing, y la nueva generación de ataques generados por IA es tan convincente que engaña incluso a expertos en seguridad. Esta guía te enseña a reconocerlos y a protegerte efectivamente.
Por qué el phishing es más peligroso en 2025
Los ataques de phishing de 2025 son cualitativamente diferentes a los del pasado. Los correos con errores ortográficos y logos pixelados que eran fáciles de identificar han sido reemplazados por mensajes generados con IA que imitan perfectamente el tono, el formato visual y el lenguaje de las empresas que suplantan. El spear phishing —ataques dirigidos a personas específicas— usa información de redes sociales y filtraciones de datos para personalizar el ataque con tu nombre, empresa, colegas y datos reales que hacen la falsificación casi indistinguible del original. Los ataques de voz clonada (vishing) con IA que imitan la voz de familiares o jefes han estafado millones de dólares en México en los últimos meses.
Las señales de alerta que siempre aplican
Independientemente de qué tan sofisticado sea el ataque, hay señales que siempre están presentes: Urgencia artificial — «Tu cuenta será suspendida en 24 horas», «Acción requerida inmediatamente». Los actores legítimos rara vez crean presión de tiempo extrema para decisiones importantes. Solicitud de datos sensibles por email — ningún banco, institución pública o empresa legítima te pedirá contraseña, NIP, número de seguro social o código de verificación por email o WhatsApp. URL sospechosa — pasa el cursor sobre cualquier enlace antes de hacer clic para ver la URL real; busca variaciones sutiles (bbva-mexico.com.phishing-site.ru, por ejemplo). Remitente no coincide con el dominio — un email «de BBVA» enviado desde gmail.com o un dominio con errores tipográficos.
Phishing en WhatsApp y SMS: la amenaza más inmediata
El smishing (phishing por SMS) y el phishing por WhatsApp son especialmente peligrosos porque muchos usuarios tienen guardia baja en mensajería instantánea. Los ataques más comunes en México: mensajes de «SAT» notificando devoluciones de impuestos con link fraudulento, mensajes de «tu paquete está detenido en aduanas» con link a un formulario que roba datos, mensajes de «tu número ganó un premio» con link a sitio falso, y mensajes de WhatsApp de «tu hijo tuvo un accidente» que llevan a estafas de rescate de emergencia. La regla de oro: nunca hagas clic en links de mensajes no solicitados, nunca llames al número que el mensaje te da — busca el número oficial de la empresa en su sitio web.
Cómo protegerte técnicamente
Las protecciones técnicas más efectivas: Autenticación de dos factores (2FA) en todas las cuentas importantes — incluso si un atacante obtiene tu contraseña, no puede acceder sin el segundo factor. Gestor de contraseñas (Bitwarden, 1Password) — nunca reutiliza contraseñas y detecta cuando intentas ingresar en un sitio falso porque no tiene las credenciales del sitio verdadero guardadas. Extensión de navegador anti-phishing — uBlock Origin y Microsoft Defender SmartScreen bloquean dominios de phishing conocidos. Cuenta de email separada para registros en tiendas y servicios poco confiables, diferente a la cuenta que usas para banco y servicios críticos.
Qué hacer si ya caíste en un ataque
Si hiciste clic en un link sospechoso o ingresaste datos: cambia inmediatamente las contraseñas de las cuentas comprometidas desde otro dispositivo. Llama directamente a tu banco para alertarles y potencialmente bloquear transacciones. Revisa los movimientos bancarios de los últimos días. Activa alertas de transacciones en tiempo real en tu banco si no las tienes. Reporta el incidente a la CONDUSEF (condusef.gob.mx) y en México puedes reportar fraudes cibernéticos ante la Policía Cibernética de la SSC (policiacibernetica.cdmx.gob.mx) o la Guardia Nacional.
About The Author
