El fraude digital se disfraza de muchas formas: puede llegarte a través de un correo electrónico con una atractiva acción promocional, una llamada haciéndose pasar por tu compañía eléctrica, o un mensaje de texto en nombre de tu banco alertando sobre una incidencia en tu cuenta. Entre las técnicas más comunes que utilizan los ciberdelincuentes para robar tu información personal y financiera están el phishing, el vishing y el smishing.
Seguro que has escuchado muchas veces hablar de ellas, pero, ¿sabes en qué se diferencian? La principal diferencia entre ellas radica en el canal que emplean para llevar a cabo el fraude.
Conocer sus diferencias es fundamental para protegerte y evitar caer en sus trampas. Por eso, en este artículo, te explicamos en qué consiste cada una y cómo identificarlas antes de que sea demasiado tarde.
Phishing: el correo electrónico como anzuelo
El phishing, explican desde el Instituto Nacional de Ciberseguridad (INCIBE), es una técnica que consiste en el envío de correos electrónicos fraudulentos que simulan venir de una entidad legítima (red social, banco, compañía, institución pública, etc.) con el objetivo de robar información privada, realizar un cargo económico o infectar el dispositivo. Para ello, lo más habitual es que se adjunten en el texto del correo archivos infectados o enlaces a páginas fraudulentas.

Los correos electrónicos suelen imitar la apariencia de la entidad suplantada para ganar credibilidad. Pero suelen incluir algunos indicios de alarma: mala redacción y llamadas urgentes a la acción, “buscando que el usuario actúe ‘inmediatamente’ para reclamar una recompensa y no consulte con terceros”, agregan desde Microsoft.
Vishing: la estafa por llamada telefónica
- Hola, muy buenas tardes, ¿tiene usted contratado el gas con XXXXX?
- Sí.
- Le llamo de la compañía telefónica XXXXX en relación a su última factura. Parece que ha habido un error, pues debería habérsele descontado una parte. Para su comodidad, le haremos la devolución de esta parte proporcional a su cuenta bancaria, para lo que necesito que me valide sus datos bancarios.
Este es un ejemplo clásico de vishing, una estafa en la que los delincuentes se hacen pasar por teléfono por una entidad confiable, como un banco, un servicio técnico o una empresa energética, como es este caso, para ganarse tu confianza y que reveles información sensible.
Desde INCIBE advierten que su modus operandi se divide en dos pasos. Primero, el atacante debe haber obtenido información confidencial sobre su víctima, como su nombre y apellidos, el correo, domicilio, parte de los datos de su tarjeta de crédito, etc. Esto lo obtiene gracias a otros ataques realizados sobre sus víctimas, como el phishing.

“Una vez obtenida esta información, es el momento de realizar una llamada telefónica al cliente, haciéndose pasar por su banco, una empresa de mensajería o un servicio técnico para utilizar la información anterior y que su víctima confíe en él. Tras esto, tratará de obtener más información, conseguir que el usuario instale algún malware en su equipo o realice algún tipo de pago”, agregan.
Es importante destacar que las entidades legítimas nunca solicitan claves personales ni códigos de seguridad por teléfono. Ante una llamada sospechosa, lo recomendable es colgar y contactar directamente con la institución o compañía oficial a través de los canales oficiales.
Smishing: el fraude que se cuela en los mensajes de texto
El smishing es una variante del phishing. Esta táctica utiliza mensajes de texto (SMS) o aplicaciones de mensajería para engañar a las personas. Desde la Asociación Española de Banca (AEB) definen esta técnica como “el intento de los estafadores de conseguir información personal, financiera o de seguridad mediante un mensaje de texto. Actúan como una fuente fiable, y se hacen pasar por un banco, emisor de tarjeta o proveedor de servicios.”
El mensaje suele incluir un enlace malicioso o solicita que envíes datos sensibles. Al hacer clic en el enlace, la víctima puede ser redirigida a un sitio falso donde se le solicita ingresar información confidencial, o puede descargar sin querer malware que compromete el dispositivo.

Para protegerse del smishing, es importante no responder ni hacer clic en enlaces de mensajes sospechosos, verificar siempre la fuente contactando directamente con la entidad oficial y mantener actualizado el software de seguridad en el teléfono.
Seis tips para protegerse de estos fraudes:
- Desconfía de mensajes urgentes o alarmistas: Los estafadores suelen crear sensación de urgencia para que actúes sin pensar.
- No compartas información confidencial: Ninguna entidad legítima te pedirá claves, contraseñas o códigos de seguridad por email, teléfono o SMS.
- Verifica siempre la fuente: Si recibes una comunicación sospechosa, contacta directamente con la entidad o la compañía usando canales oficiales.
- No hagas clic en enlaces ni descargues archivos de remitentes desconocidos: Comprueba la dirección de email, número de teléfono o enlace antes de interactuar.
- Mantén actualizado tu software de seguridad: Usa antivirus y mantén el sistema operativo de tus dispositivos al día.
- Bloquea y reporta comunicaciones sospechosas: Ayuda a evitar que otros caigan en la trampa.
Fuentes
Instituto Nacional de Ciberseguridad (INCIBE)
Asociación Española de Banca (AEB)
Página web de Microsoft con consejos para evitar el phishing