El fraude digital ha evolucionado: ya no es un simple correo masivo con errores ortográficos y fotos pixeladas. Hoy es una amenaza multicanal que alcanza todas nuestras plataformas cotidianas a través de tácticas como el QRishing, el smishing, el vhishing o estafas segmentadas en redes sociales o portales de compraventa. “La superficie de ataque se ha multiplicado mientras la atención del usuario se ha fragmentado; esa es la combinación perfecta para el atacante”, advierten desde la Consultora en Ciberseguridad Jiratek.
Además, la incorporación de la Inteligencia Artificial generativa en el cibercrimen ha marcado un antes y un después. Los ciberdelincuentes ahora cuentan con herramientas para diseñar mensajes y webs fraudulentas prácticamente idénticas a las originales, operando a gran escala, con costes mínimos y a una velocidad sin precedentes. Pero la IA también puede utilizarse para cometer delitos sofisticados —según el Informe de Amenazas de Europol 2025/2026— que implican el uso indebido de datos biométricos y tecnología deepfake. Esto permite suplantar identidades o crear huellas digitales falsas capaces de eludir medidas de seguridad como la autenticación de dos factores (2FA). El resultado es un engaño de alta precisión que se filtra por cualquier canal de comunicación.
A continuación, analizamos las variantes más peligrosas y las claves para no caer en la trampa.
Phishing por correo electrónico
El más clásico y el que registra mayor volumen. Suplanta bancos, servicios de paquetería (Correos, DHL, FedEx), plataformas de streaming, organismos públicos como la Agencia Tributaria o la Seguridad Social, y grandes tecnológicas como Apple, Google o Microsoft. El pretexto más común es una alerta urgente: un pago pendiente, una cuenta bloqueada, un paquete retenido.
El término viene del inglés fishing (pescar), bajo la idea de lanzar un anzuelo y esperar a que alguien pique. “La clave es que no requiere vulnerabilidades técnicas sofisticadas: el atacante no «hackea» un sistema, sino que convence a una persona de que lo haga ella misma. Por eso es tan efectivo y tan difícil de eliminar”, indican desde Jiratek.
Técnicamente, el phishing combina tres elementos: ingeniería social (manipulación psicológica), suplantación de identidad y un mecanismo de acción (un enlace, archivo o formulario) que lleva a la víctima a comprometer su seguridad. “Lo que varía entre ataques es el canal, el objetivo y el nivel de personalización”, puntualizan.
Smishing
Se trata de un phishing por SMS. “Ha crecido enormemente porque los usuarios asocian el SMS a comunicaciones legítimas y urgentes”, indican desde Jiratek. Los ataques más habituales simulan ser entidades bancarias, Correos o la DGT.
Pero la amenaza no está en el mensaje en sí, “sino en el extraño enlace que llevan, que redirige a una página falsa desde la que intentarán que o bien realice un pago o bien que dejes tus datos personales o confidenciales como contraseñas o direcciones”, indican desde la Organización de Consumidores y Usuarios (OCU).
Vishing
Es un phishing por llamada telefónica. A menudo, el atacante ya posee información previa de la víctima (nombre, correo o parte de su tarjeta), obtenida a partir de filtraciones masivas de datos. Con esa información, realizan una llamada haciéndose pasar por soporte técnico, empleados de banca o funcionarios.
La síntesis de voz por IA ha redefinido el vishing mediante el uso de deepfakes que imitan voces de confianza (familiares o gestores). Según el informe ‘El estado de los ataques de Vishing Deepfake en 2025’, elaborado por Right-Hand Cybersecurity, “estos ataques crecieron un 1.600% entre el último trimestre de 2024 y el primero de 2025”.
Phishing en redes sociales
Las redes sociales se han convertido en uno de los entornos más fértiles para el phishing. “La gente está más relajada que ante un correo corporativo, la confianza en contactos conocidos es alta, y es muy fácil crear perfiles falsos convincentes. Las modalidades más frecuentes, señalan desde Jiratek, son varias:
Suplantación de cuentas de soporte: el usuario publica una queja sobre una compañía aérea, un banco o una plataforma, y en minutos recibe una respuesta de un perfil falso de «atención al cliente» que le pide que contacte por privado y le solicita sus credenciales o datos de pago.
Secuestro de cuentas para distribuir phishing: cuando un atacante compromete la cuenta de alguien, la usa para enviar mensajes fraudulentos a todos sus contactos. El receptor baja la guardia porque el mensaje aparentemente viene de un amigo. «Mira esto, te va a encantar» con un enlace malicioso tiene una tasa de apertura muy superior a cualquier correo de desconocido.
Concursos y sorteos falsos: perfiles que imitan a marcas conocidas y anuncian premios a cambio de datos personales, participación en encuestas o un pago inicial para «gestionar el envío del premio».
Romance scam o estafa sentimental: perfiles falsos que construyen una relación de confianza durante semanas o meses antes de solicitar dinero bajo pretextos de emergencia. Este tipo de fraude genera pérdidas económicas muy elevadas y un daño emocional añadido, ya que muchas víctimas no denuncian por vergüenza.
Phishing en plataformas de compraventa
Las plataformas de compraventa como Wallapop, Vinted o Milanuncios concentran hoy una actividad fraudulenta muy elevada porque reúnen condiciones ideales para el atacante: usuarios que esperan transacciones económicas, cierto anonimato y una confianza en el sistema que los estafadores explotan. Los esquemas más habituales son los siguientes, desvelan desde Jiratek:
El comprador falso con envío. El estafador contacta como comprador interesado, dice que no puede quedar en persona y propone pagar por transferencia más el envío. A continuación, envía un enlace falso que simula ser la plataforma de pagos de Wallapop, Vinted o incluso de un banco, donde la víctima introduce sus datos bancarios para cobrar el importe de la transacción, pero, en realidad, está entregando las credenciales de su cuenta.
El overpayment o pago en exceso. El comprador realiza un supuesto pago por un importe mayor al acordado (con un cheque o transferencia falsa) y pide a la víctima que le devuelva la diferencia. Cuando la víctima transfiere ese dinero «de más», el pago original se revela como fraudulento o se cancela. La víctima pierde el dinero devuelto y, en muchos casos, también el artículo.
La suplantación de la plataforma. Mensajes de texto o correos que simulan ser Vinted o Wallapop informando de que hay un pago pendiente de confirmar o que la cuenta ha sido suspendida. El enlace lleva a una web clonada donde se roban datos de acceso o bancarios.
QR malicioso. En encuentros presenciales, el supuesto comprador presenta un código QR para «hacer la transferencia» que en realidad inicia un pago en sentido contrario o redirige a una web de captura de datos.
Para evitar estas estafas, la recomendación fundamental es siempre operar dentro de los sistemas de pago oficiales de la plataforma, no salir nunca al correo o WhatsApp para completar la transacción, y desconfiar de cualquier enlace recibido, aunque parezca oficial. “Si la plataforma tiene sistema de pagos integrado, úsalo exclusivamente. Si alguien propone saltárselo, es una señal de alerta casi garantizada”, señalan desde Jiratek.
Consejos para evitar caer en la trampa
Para evitar caer en estas trampas, el Instituto Nacional de Ciberseguridad (INCIBE) recomienda aplicar siempre el principio de precaución y la verificación proactiva. La regla de oro es nunca hacer clic en enlaces que provengan de correos o mensajes inesperados, incluso si parecen legítimos; en su lugar, se debe acceder siempre escribiendo la dirección oficial en el navegador.
Asimismo, es fundamental desconfiar de la urgencia o de las amenazas de bloqueo de cuenta, ya que las entidades oficiales nunca solicitan claves, datos bancarios o códigos de un solo uso (OTP) a través de canales no seguros como el SMS o el correo electrónico.
Además, el organismo insta a usar gestores de contraseñas y habilitar el doble factor de autenticación (2FA) en todos los servicios posibles, lo que añade una capa extra de seguridad si nuestras credenciales fueran filtradas. En el caso específico de las plataformas de compraventa o redes sociales, se aconseja no abandonar nunca el sistema de chat y pago oficial de la aplicación, ya que los estafadores suelen intentar trasladar la conversación a canales externos como WhatsApp para eludir los controles de seguridad y las garantías de protección al usuario.
Fuentes
Informe El estado de los ataques de Vishing Deepfake en 2025, elaborado por Right-Hand Cybersecurity
Informe de Amenazas de Europol 2025/2026
Declaraciones de la Consultora de Ciberseguridad Jiratek
Organización de Consumidores y Usuarios (OCU)
Instituto Nacional de Ciberseguridad (INCIBE)