BeValk Logo
phishing

Phishing, Smishing y Vishing: La guía definitiva para no caer en engaños

María Aperador

06/03/2026

27 min

Phishing, Smishing y Vishing: La guía definitiva para no caer en engaños

Cada 10 segundos se produce un intento de phishing en España. En 2025, el INCIBE gestionó más de 83.000 incidentes relacionados con phishing, smishing y vishing, un 35% más que el año anterior. Y eso contando solo los casos que se reportan: la cifra real es varias veces mayor.

Si alguna vez has recibido un SMS de tu “banco” pidiendo que verifiques datos, un email de “Netflix” avisando de que tu cuenta está suspendida o una llamada del “departamento de seguridad” de tu entidad, ya has estado en el punto de mira de estos tres ataques.

El problema es que la mayoría de la gente confunde estos términos o cree que son lo mismo. No lo son. Cada uno usa un canal diferente, una técnica diferente y requiere una defensa diferente. En esta guía te explico todo lo que necesitas saber sobre phishing, smishing y vishing para que no te la cuelen. Nunca.

Si quieres una visión más amplia de todas las estafas que circulan en España, consulta nuestra guía completa anti-estafas 2026.

Qué es el phishing, el smishing y el vishing

Los tres son variantes de un mismo tipo de ataque: la ingeniería social. Es decir, no hackean tu ordenador ni tu móvil. Te hackean a ti. Explotan mecanismos psicológicos como la urgencia, el miedo y la confianza para que tú mismo les entregues tus datos o tu dinero.

La diferencia está en el canal que utilizan:

Phishing: la estafa por email

El término phishing viene de “fishing” (pescar en inglés). Los ciberdelincuentes lanzan el anzuelo –un email que parece legítimo– y esperan a que alguien pique. Es la variante más antigua y sigue siendo la más extendida a nivel mundial.

Ejemplo típico: recibes un correo de “tu banco” diciendo que han detectado actividad sospechosa y debes verificar tu identidad haciendo clic en un enlace. Ese enlace te lleva a una web falsa idéntica a la de tu banco, donde introduces tu usuario y contraseña. Los estafadores los capturan en tiempo real.

Smishing: la estafa por SMS

Smishing = SMS + phishing. Mismo principio, pero a través de mensajes de texto. En España es la variante que más ha crecido en los últimos dos años, porque los SMS generan más confianza que los emails: la gente asocia los SMS con comunicaciones oficiales del banco, de Correos o de la Administración.

Ejemplo típico: recibes un SMS que dice “CORREOS: su paquete no ha podido ser entregado. Confirme sus datos aquí”. El enlace te lleva a una web falsa que imita a Correos y te pide datos personales o de pago.

Vishing: la estafa por llamada telefónica

Vishing = voice + phishing. En este caso, los estafadores te llaman por teléfono haciéndose pasar por tu banco, la policía, Hacienda o una empresa. La voz humana genera una confianza que ni los emails ni los SMS consiguen, y además permite al estafador adaptarse a tus respuestas en tiempo real.

Ejemplo típico: suena el teléfono y el identificador muestra “BBVA”. Una persona con tono profesional te dice que han detectado un cargo sospechoso de 500 EUR y necesitan que confirmes tu identidad. Mientras hablas, están accediendo a tu cuenta con los datos que les vas dando.

Las diferencias entre phishing, smishing y vishing

Aunque los tres ataques comparten objetivo (robarte datos o dinero mediante ingeniería social), tienen diferencias fundamentales que es importante conocer:

La conclusión clave: el phishing y el smishing dependen de que hagas clic en un enlace. El vishing es más peligroso porque hay una persona real manipulándote en tiempo real, lo que dificulta pensar con claridad.

Phishing: la estafa por email en profundidad

El phishing por email sigue siendo el método más utilizado por los ciberdelincuentes en todo el mundo. Según INCIBE, el phishing bancario representó el 40% de todos los incidentes de ciberseguridad en España en 2025.

Tipos de phishing por email

Phishing bancario

El más común en España. Suplantan a Santander, BBVA, CaixaBank, ING, Bankinter y otras entidades. Los asuntos típicos son:

  • “Actividad sospechosa detectada en su cuenta”
  • “Su tarjeta ha sido bloqueada temporalmente”
  • “Confirme su identidad para evitar la suspensión de su cuenta”
  • “Tiene un reembolso pendiente de 389 EUR”

Si quieres ver capturas de emails reales y aprender a distinguirlos de los auténticos, consulta nuestro análisis detallado de phishing bancario con ejemplos reales de Santander, BBVA y CaixaBank.

Phishing de servicios de streaming y tecnología

Suplantan a Netflix, Spotify, Amazon Prime, Disney+, Apple o Google con mensajes como:

  • “Tu suscripción ha sido suspendida por un problema de pago”
  • “Actualiza tu método de pago para seguir disfrutando del servicio”
  • “Se ha detectado un inicio de sesión sospechoso en tu cuenta”

Funcionan porque millones de personas están suscritas a estos servicios y el susto de perder el acceso provoca una reacción impulsiva.

Spear phishing (phishing dirigido)

A diferencia del phishing masivo, el spear phishing va dirigido a una persona concreta. Los atacantes investigan previamente a la víctima: su nombre, empresa, cargo, contactos. El email está tan personalizado que resulta casi imposible de distinguir de uno real.

En España se ha detectado un aumento de spear phishing dirigido a autónomos y pymes, donde suplantan a la Agencia Tributaria o a la Seguridad Social durante las campañas de la renta y cotización.

Phishing de Hacienda y Administración Pública

Especialmente activo de abril a junio (campaña de la renta) y a final de año. Los mensajes suplantan a la Agencia Tributaria, la Seguridad Social o la DGT:

  • “Tiene una devolución de 284,76 EUR pendiente. Confirme sus datos bancarios”
  • “Notificación de la Agencia Tributaria. Expediente n.o 2026-48291”
  • “Su declaración de la renta tiene incidencias. Revise aquí”

Cómo detectar un email de phishing

Estas son las seis señales que delatan a un email falso:

  1. El remitente no cuadra: El nombre puede decir “Santander”, pero la dirección real es algo como [email protected]. Siempre revisa la dirección completa, no solo el nombre que aparece.
  2. El enlace apunta a un dominio extraño: Antes de hacer clic, pasa el ratón por encima del enlace (sin pulsar) para ver la URL real. Si no corresponde al dominio oficial (santander.es, bbva.es, agenciatributaria.gob.es), no hagas clic. Aprende a verificar si un enlace es seguro antes de hacer clic.
  3. Te pide actuar con urgencia: “En 24 horas”, “inmediatamente”, “último aviso”. Las entidades legítimas te dan tiempo y raramente te presionan.
  4. Te pide datos que ya deberían tener: Tu banco conoce tu DNI, tu número de cuenta y tu dirección. Hacienda tiene tus datos fiscales. Si te piden “verificar” información que ya poseen, es sospechoso.
  5. Errores sutiles: Aunque la IA ha eliminado los errores de ortografía evidentes, aún puedes detectar inconsistencias: tratamientos genéricos (“Estimado cliente” en vez de tu nombre), logos ligeramente distintos o formatos que difieren de comunicaciones reales del mismo remitente.
  6. Archivos adjuntos no solicitados: Un banco jamás te enviará un ejecutable (.exe), un archivo comprimido (.zip) o un documento con macros por email.

Smishing: la estafa por SMS en profundidad

El smishing es la estrella de las ciberestafas en España. Los SMS generan una sensación de urgencia y oficialidad que los emails ya no consiguen, porque asociamos los mensajes de texto con comunicaciones de nuestro banco, de la Administración o de empresas de mensajería.

Los tipos de smishing más comunes en España

Smishing de paquetería

Es el más extendido. Suplantan a Correos, DHL, SEUR, Amazon y otras empresas de transporte. Los mensajes típicos:

  • “Tu paquete no ha podido ser entregado. Programa una nueva entrega aquí”
  • “Paquete retenido en aduana. Pague 2,99 EUR de tasas”
  • “Tu paquete ha sido devuelto al almacén. Actualiza tu dirección”

Funciona porque todos esperamos paquetes. Tenemos una guía específica sobre el smishing de Correos y DHL: cómo detectarlo con ejemplos reales.

Smishing bancario

Suplantan a tu banco con mensajes que te alarman:

  • “Tu tarjeta ha sido limitada. Verifica tu identidad”
  • “Cargo sospechoso de 489 EUR. Si no lo reconoces, cancela aquí”
  • “Hemos detectado un acceso no autorizado a su cuenta”

Este tipo de smishing es particularmente peligroso porque los SMS pueden colarse en el mismo hilo de mensajes donde tu banco real te ha enviado notificaciones. Para profundizar, lee nuestra guía sobre estafas bancarias por SMS y email.

Smishing de la DGT

Se ha disparado desde 2025. Los mensajes avisan de multas pendientes o de retiradas de puntos:

  • “DGT: Multa de 200 EUR pendiente de pago. Último aviso”
  • “Tiene una notificación pendiente de la DGT. Consulte aquí”

Recordatorio fundamental: la DGT no cobra multas por SMS. Las notificaciones oficiales llegan por correo postal certificado o por la sede electrónica.

Smishing de Hacienda y Seguridad Social

Especialmente activo durante la campaña de la renta:

  • “AEAT: Devolución de 389 EUR pendiente. Confirme datos bancarios”
  • “Seguridad Social: Su prestación ha sido suspendida. Regularice su situación”

Por qué el smishing funciona tan bien

Hay cinco factores que hacen al smishing especialmente efectivo:

  1. Confianza en el SMS: Seguimos asociando los SMS con comunicaciones oficiales
  2. Pantalla pequeña: En un móvil es más difícil verificar URLs y remitentes
  3. Inmediatez: Los SMS se leen en menos de 3 minutos de media
  4. Contexto creíble: Siempre hay paquetes que esperar, multas que pagar o cuentas que revisar
  5. Suplantación del remitente: Los estafadores pueden falsificar el nombre del remitente (SMS spoofing) para que el mensaje aparezca como enviado por “BBVA” o “Correos”

Vishing: la estafa por llamada en profundidad

El vishing es la variante más peligrosa de las tres. Según datos del sector, aumentó un 442% en España en 2025. La razón: una persona hablando contigo al teléfono genera un nivel de confianza y presión que ningún mensaje escrito consigue.

Cómo funciona un ataque de vishing

Los ataques de vishing siguen casi siempre el mismo guion:

Fase 1: El contacto

Recibes una llamada. El identificador muestra el nombre o número real de tu banco (usan una técnica llamada caller ID spoofing). Una voz profesional te saluda por tu nombre.

Fase 2: La alerta

Te informan de una situación urgente: - “Hemos detectado un cargo sospechoso de 500 EUR en su cuenta” - “Alguien está intentando acceder a su banca online desde otro dispositivo” - “Necesitamos verificar una operación antes de que se ejecute”

Fase 3: La verificación falsa

Para “proteger” tu cuenta, te piden datos: - Tu PIN o contraseña de banca online - El código que te acaba de llegar por SMS (que en realidad es el código de confirmación de una transferencia que ellos han iniciado) - Que instales una app de “soporte remoto”

Fase 4: El vaciado

Mientras hablas, están accediendo a tu cuenta, autorizando transferencias y moviendo tu dinero a cuentas de intermediarios. Todo ocurre en minutos.

Hemos preparado una guía específica sobre vishing y llamadas falsas del banco con más ejemplos y variantes.

Variantes de vishing en España

El falso técnico de Microsoft o Apple

Te llaman diciendo que tu ordenador está infectado y necesitan acceso remoto para “limpiarlo”. Te guían para instalar un software de control remoto (AnyDesk, TeamViewer) con el que acceden a todo tu equipo.

El combo SMS + llamada

Primero recibes un SMS falso de tu banco alertando de un cargo sospechoso. Minutos después, te llaman “del banco” para ayudarte a resolverlo. La doble vía hace que bajes la guardia completamente.

El falso policía o funcionario de Hacienda

Te llaman diciendo que estás investigado por un delito fiscal o por un fraude. Para resolverlo, necesitan tus datos bancarios. En ocasiones amenazan con detención inmediata si no colaboras.

El vishing emocional

Variante de la estafa del hijo en apuros. Te llaman haciéndose pasar por un familiar en problemas. Con los deepfakes de voz de 2026, pueden clonar la voz de tus hijos con solo 3 segundos de audio extraído de redes sociales.

Las nuevas variantes de 2026

La inteligencia artificial ha cambiado las reglas del juego. Los ataques de phishing, smishing y vishing de 2026 son radicalmente más sofisticados que los de hace dos años.

Phishing generado con IA

Los emails de phishing escritos con inteligencia artificial ya no tienen errores de ortografía, usan el tono exacto del remitente que suplantan y pueden personalizarse a escala masiva. El viejo consejo de “busca las faltas de ortografía” ya no sirve.

Deepfakes de voz en vishing

Con tecnología de clonación de voz, los estafadores pueden replicar la voz de cualquier persona –tu hijo, tu jefe, tu pareja– con 3-10 segundos de audio obtenido de vídeos en redes sociales. Las llamadas de vishing con deepfake de voz son casi indetectables por oído.

QRishing: el phishing por código QR

El QRishing consiste en colocar códigos QR maliciosos en lugares públicos: pegatinas sobre los QR reales de parkings, restaurantes, patinetes eléctricos o falsos avisos de multa. Al escanearlos, accedes a una web fraudulenta.

Phishing por WhatsApp y Telegram

Las estafas se han trasladado masivamente a aplicaciones de mensajería. Ofertas de empleo falsas, premios inexistentes, suplantación de familiares y robo de cuentas son las variantes más comunes en WhatsApp.

SIM swapping + vishing

Los ciberdelincuentes consiguen duplicar tu tarjeta SIM a través de ingeniería social con la operadora. Una vez tienen tu línea, interceptan los SMS de verificación del banco y vacían tu cuenta.

Cómo detectar cualquier ataque: checklist universal

No importa si es un email, un SMS o una llamada. Si te hacen alguna de estas cosas, es una estafa:

Las 7 señales de alarma

  1. Te piden actuar con urgencia: “En las próximas 24 horas”, “inmediatamente”, “si no actúa ahora, perderá el acceso”. Las entidades legítimas te dan tiempo de sobra.
  2. Te piden datos sensibles: Tu banco NUNCA te pedirá por teléfono, SMS o email: tu PIN completo, tu contraseña de banca online, un código SMS de verificación o que transfieras dinero a una “cuenta segura”.
  3. Te piden hacer clic en un enlace: Las comunicaciones reales de bancos, Administración y empresas te dicen que accedas directamente a su app o web oficial. No te envían enlaces directos.
  4. El remitente, número o enlace no cuadra: La dirección de email no es del dominio oficial. La URL tiene caracteres extraños. El número de teléfono no corresponde al real. Verifica siempre.
  5. Te generan miedo o amenaza: “Su cuenta será bloqueada”, “tiene una multa pendiente”, “está siendo investigado”. El miedo paraliza el pensamiento crítico. Los estafadores lo saben.
  6. La oferta es demasiado buena: Devoluciones inesperadas de Hacienda, premios de sorteos en los que no has participado, ofertas de empleo con sueldos irreales. Si parece demasiado bueno, es que no es real.
  7. Te piden instalar algo o dar acceso remoto: Ninguna entidad te pedirá que instales TeamViewer, AnyDesk ni ninguna app de control remoto. Nunca.

La regla de oro ante cualquier sospecha

Para, verifica y actúa por tu cuenta. No hagas clic en el enlace del mensaje: abre la app oficial o escribe tú la dirección web. No des datos por teléfono: cuelga y llama tú al número oficial de tu banco (el que aparece en el reverso de tu tarjeta o en la web oficial). No tengas prisa: ningún trámite real se pierde por esperar 5 minutos.

Qué hacer si has caído en un ataque de phishing, smishing o vishing

Si ya has dado datos o has hecho clic en un enlace sospechoso, actúa rápido. Cada minuto cuenta.

Primeros 30 minutos: acción inmediata

  1. Contacta con tu banco: Llama al número de emergencia (el del reverso de tu tarjeta). Pide bloqueo de tarjetas y revisión de operaciones recientes. Si has dado códigos SMS, solicita la anulación de transferencias pendientes.
  2. Cambia contraseñas: De la banca online, del email asociado y de cualquier cuenta donde uses la misma contraseña. Hazlo desde un dispositivo diferente al que hayas utilizado para hacer clic en el enlace sospechoso.
  3. No borres nada: Guarda capturas de pantalla de todo: el SMS, el email, la web falsa, la conversación, el registro de llamadas. Son pruebas fundamentales para la denuncia.

Primeras 24-48 horas: denuncia

  1. Policía Nacional: Puedes denunciar online en denuncias.policia.es o presencialmente en comisaría.
  2. Guardia Civil: En cualquier cuartel, presencialmente.
  3. INCIBE: Llama al 017 (gratuito y confidencial, disponible de 08:00 a 23:00 los 365 días del año). También puedes reportar a través de su web o por WhatsApp al 024 590 017.
  4. Tu banco: Presenta reclamación formal por escrito con copia de la denuncia policial.

Tenemos una guía paso a paso sobre cómo denunciar una estafa online en España con todos los detalles, plazos y derechos del consumidor.

Y si la estafa involucra Bizum

Si te han engañado a través de Bizum (por ejemplo, has aceptado una solicitud de cobro creyendo que te enviaban dinero), actúa igual: contacta con tu banco inmediatamente y denuncia. Las estafas por Bizum son irreversibles por diseño, pero la denuncia puede ayudar a bloquear la cuenta del estafador y a que otros no caigan.

Cómo denunciar phishing en España

En España existen varios canales para denunciar ataques de phishing, smishing y vishing:

INCIBE - Línea de ayuda 017

El Instituto Nacional de Ciberseguridad es tu primer recurso:

  • Teléfono 017: Gratuito y confidencial. Atienden de 08:00 a 23:00 todos los días.
  • WhatsApp: 024 590 017
  • Formulario web: incibe.es/linea-de-ayuda-en-ciberseguridad
  • Correo: [email protected] para reenviar emails de phishing

Además, INCIBE publica avisos actualizados de campañas de phishing activas. Si recibes un email o SMS sospechoso, puedes comprobar en su web si ya lo han reportado.

Policía Nacional y Guardia Civil

Para denunciar formalmente (necesario para cualquier reclamación bancaria):

  • Policía Nacional: denuncias.policia.es (online) o en comisaría
  • Guardia Civil: Presencialmente en cualquier cuartel
  • Denuncia online: Solo para estafas por internet, no por teléfono

Lleva capturas, extractos bancarios, registros de llamadas y cualquier dato del estafador.

Tu banco

Si la estafa afecta a tu cuenta bancaria:

  • Presenta reclamación formal por escrito al Servicio de Atención al Cliente del banco
  • Incluye copia de la denuncia policial
  • Si el banco no responde en 2 meses o rechaza la devolución, eleva la queja al Banco de España

La normativa PSD2 establece que las operaciones no autorizadas deben ser reembolsadas por el banco, salvo que este demuestre negligencia grave por parte del titular. Varios tribunales españoles están fallando a favor de las víctimas de phishing sofisticado.

Herramientas para protegerte

BeValk: ciberseguridad en tu bolsillo

BeValk es la app de ciberseguridad diseñada para personas que quieren protegerse sin complicaciones. Con BeValk puedes:

  • Escanear enlaces sospechosos: Copia cualquier enlace de un SMS, email o WhatsApp y verifícalo antes de hacer clic. La IA analiza el dominio, el contenido y la reputación del sitio.
  • Analizar códigos QR: Escanea cualquier QR y comprueba si la URL es segura antes de acceder.
  • Consultar con MarIA: Nuestra inteligencia artificial de ciberseguridad responde a tus dudas en tiempo real. Puedes reenviar un SMS sospechoso y te dice si es phishing.
  • Alertas proactivas: Te avisamos de las campañas de phishing activas que afectan a España para que estés prevenido.

Verificación en dos pasos (2FA)

Activa la verificación en dos pasos en todas tus cuentas críticas:

  • Banca online (ya suele venir activada)
  • Email (Gmail, Outlook, etc.)
  • WhatsApp (Ajustes > Cuenta > Verificación en dos pasos)
  • Redes sociales
  • Servicios de streaming

Preferiblemente, usa una app de autenticación (Google Authenticator, Microsoft Authenticator, Authy) en lugar de SMS, ya que los SMS pueden ser interceptados mediante SIM swapping.

Gestores de contraseñas

Un gestor de contraseñas (1Password, Bitwarden, el llavero de Apple o el de Google) te permite:

  • Usar una contraseña diferente y robusta para cada servicio
  • No tener que recordar ninguna
  • Autocompletar solo en el dominio correcto (lo que te protege de webs falsas: si el gestor no rellena la contraseña, es que el dominio no es el oficial)

Alertas bancarias

Configura las notificaciones de tu app bancaria para recibir un aviso con cada movimiento. Así detectarás operaciones fraudulentas al instante, antes de que sea tarde para actuar.

Preguntas frecuentes

¿Cuál es la diferencia principal entre phishing, smishing y vishing?

La diferencia está en el canal: el phishing usa email, el smishing usa SMS y el vishing usa llamadas telefónicas. Los tres buscan lo mismo (que entregues tus datos o tu dinero mediante engaño), pero el vishing es el más peligroso porque implica una persona real adaptándose a tus respuestas en tiempo real.

¿Mi banco me pedirá datos personales por teléfono?

No. Tu banco jamás te pedirá por teléfono, SMS o email tu PIN completo, tu contraseña de banca online ni un código SMS de verificación. Tampoco te pedirá que transfieras dinero a una “cuenta segura”. Si alguien te pide esto, es una estafa.

¿Si un SMS llega al mismo hilo que los SMS reales de mi banco, es seguro?

No necesariamente. Los estafadores pueden falsificar el remitente del SMS (técnica llamada SMS spoofing) para que el mensaje aparezca en el mismo hilo de conversación que los mensajes legítimos de tu banco. El hecho de que el SMS aparezca junto a los reales no garantiza nada.

¿Puedo recuperar el dinero si me estafan por phishing?

Depende del caso. Si alguien accedió a tu cuenta sin tu consentimiento, el banco debe devolverte el dinero según la normativa PSD2. Si tú autorizaste la operación engañado (por ejemplo, diste códigos voluntariamente), es más complicado, pero la tendencia de los tribunales españoles está siendo favorable a las víctimas de phishing sofisticado. Denuncia siempre.

¿Los deepfakes de voz se usan ya en España?

Sí. En 2025 y 2026 se han detectado casos de vishing con clonación de voz en España. Los ciberdelincuentes extraen audio de vídeos en redes sociales y generan réplicas de la voz de familiares para hacer llamadas pidiendo dinero. La recomendación: establece una palabra clave familiar que solo conozcáis vosotros para verificar llamadas de emergencia.

¿Cómo sé si una web es de phishing?

Comprueba el dominio: debe ser exactamente el oficial (santander.es, bbva.es, correos.es). Desconfía de variaciones como santander-es.com o correos-envio.com. Verifica siempre el enlace antes de introducir datos. Y recuerda: el candado HTTPS no garantiza que la web sea legítima; muchas webs falsas también lo tienen.

¿Qué hago si he hecho clic en un enlace de phishing pero no he introducido datos?

Si solo has hecho clic pero no has introducido ningún dato personal, bancario ni contraseña, el riesgo es bajo. Aun así, por precaución: cierra la página, borra el historial, ejecuta un análisis antivirus en tu dispositivo y vigila tus cuentas los días siguientes por si detectas algo anormal.

Protégete con BeValk

El phishing, el smishing y el vishing no son problemas que vayan a desaparecer. Al contrario: cada año son más sofisticados, más personalizados y más difíciles de detectar. Pero también es cierto que, con la información adecuada y las herramientas correctas, puedes reducir drásticamente el riesgo de caer.

BeValk está diseñada exactamente para eso: para que tengas un experto en ciberseguridad en tu bolsillo, disponible las 24 horas. Escanea enlaces, analiza QR, consulta dudas con nuestra IA y mantente informado de las últimas amenazas.

Porque la mejor defensa contra la ingeniería social es el conocimiento. Y ahora ya lo tienes.

Descarga para iOS y Android y empieza a protegerte hoy.