¿Qué es phishing? Cómo detectar y evitar estafas en México

Seguridad · 2026-03-30 · Escudo VPN

¿Qué es el phishing?

El phishing es una técnica de fraude cibernético en la que los atacantes se hacen pasar por empresas, bancos o instituciones gubernamentales para engañarte y robarte información personal. El objetivo es que entregues voluntariamente tus contraseñas, datos bancarios, números de tarjeta o información fiscal a través de correos electrónicos, mensajes de texto o sitios web falsos.

El término proviene de la palabra inglesa "fishing" (pescar): los delincuentes lanzan un anzuelo esperando que alguien muerda. En México, el phishing es uno de los delitos cibernéticos más frecuentes, con miles de intentos diarios dirigidos a usuarios de banca en línea, comercio electrónico y servicios gubernamentales.

Según datos de la CONDUSEF, las reclamaciones por fraude cibernético en México han crecido de forma constante, representando más del 70% de todas las reclamaciones por fraude financiero. Entender qué es phishing y cómo funciona es el primer paso para protegerte.

Tipos de phishing más comunes

No todos los ataques de phishing son iguales. Los ciberdelincuentes emplean distintas variantes según el canal y el nivel de personalización:

Phishing por correo electrónico: el método clásico. Recibes un correo que parece provenir del SAT, de tu banco o de Mercado Libre con un enlace a un sitio web falso que imita al original
Smishing (SMS phishing): mensajes de texto que aparentan ser de Telmex, CFE o tu banco, generalmente con un enlace corto y un mensaje urgente sobre un cargo o un corte de servicio
Vishing (voice phishing): llamadas telefónicas donde alguien se hace pasar por un ejecutivo bancario para pedirte tu NIP, token o código de seguridad
Spear phishing: ataques dirigidos a una persona específica usando información personal obtenida de redes sociales o filtraciones de datos previas
Phishing por WhatsApp: mensajes con ofertas falsas, supuestos premios de Liverpool o Costco, o enlaces que prometen regalos a cambio de compartir el mensaje

Todas estas variantes comparten una estrategia: crear urgencia para que actúes sin pensar. El mensaje siempre incluye una amenaza ("se cancelará tu cuenta") o una oferta ("ganaste un premio") que te presiona a hacer clic de inmediato.

Estafas de phishing en México: los casos más frecuentes

En México, el phishing se aprovecha de instituciones y marcas en las que los usuarios confían. Estos son los escenarios más reportados:

Correos falsos del SAT: mensajes que piden "actualizar tu situación fiscal" o "descargar tu constancia de situación fiscal" con un enlace que dirige a un sitio clonado del SAT. Los atacantes buscan tu RFC, CURP, contraseña del portal y e.firma
Fraudes bancarios (BBVA México, Banorte, Citibanamex): correos o SMS alertando sobre "cargos no reconocidos" o "bloqueo de tu tarjeta" con un enlace a un portal bancario falso. BBVA México es la marca más suplantada por el volumen de usuarios de su banca móvil
Estafas de Mercado Libre: correos de "confirmación de compra" o "problema con tu envío" que redirigen a una página idéntica a Mercado Libre donde te piden iniciar sesión. Los atacantes obtienen acceso a tu cuenta y a tu saldo de Mercado Pago
Mensajes falsos de Telmex y CFE: SMS advirtiendo que tu servicio será suspendido por falta de pago, con un enlace para "pagar en línea" que captura los datos de tu tarjeta

Estos fraudes funcionan porque replican con precisión el diseño visual de las instituciones legítimas. Los sitios falsos usan dominios parecidos como sat-mx.com, bbvamexico-verificar.com o mercadolibre-envios.net, que a primera vista parecen auténticos.

Cómo identificar un correo de phishing

Detectar un intento de phishing requiere atención a los detalles. Estos son los indicadores más confiables para identificar un correo o mensaje fraudulento:

Revisa el remitente: el correo puede mostrar "SAT México" como nombre, pero la dirección real será algo como [email protected] en lugar de @sat.gob.mx. Siempre verifica el dominio completo del remitente
Busca errores ortográficos: aunque los ataques son cada vez más sofisticados, muchos correos de phishing contienen errores sutiles de gramática, acentos faltantes o frases que suenan como traducciones automáticas
Pasa el cursor sobre los enlaces: sin hacer clic, coloca el cursor sobre cualquier enlace para ver la URL real. Si dice "Acceder a tu cuenta BBVA" pero el enlace apunta a bbva-mx-verificar.com, es phishing
Desconfía de la urgencia: frases como "tienes 24 horas para responder" o "tu cuenta será cancelada" son señales de alerta. Las instituciones legítimas no te amenazan por correo electrónico
No descargues archivos adjuntos: si un correo inesperado incluye un archivo .zip, .exe o incluso un PDF sospechoso, no lo abras. Puede contener malware diseñado para robar información de tu dispositivo

Si tienes duda sobre la autenticidad de un mensaje, no hagas clic en ningún enlace. Abre una ventana nueva del navegador y escribe directamente la URL oficial de la institución (sat.gob.mx, bbva.mx, mercadolibre.com.mx) para verificar si hay alguna notificación real.

Cómo reportar phishing en México

Si recibes un correo, mensaje o llamada de phishing, es importante reportarlo. Esto ayuda a las autoridades a rastrear y desactivar campañas de fraude activas:

Policía Cibernética: llama al 088 o envía un correo a [email protected]. La Policía Cibernética de la Guardia Nacional atiende denuncias las 24 horas
CONDUSEF: para fraudes financieros, llama al 800-999-8080 o presenta tu queja en gob.mx/condusef. La CONDUSEF puede mediar con tu banco para la recuperación de fondos
Tu banco: reporta inmediatamente cualquier transacción no autorizada. BBVA México (800-226-2663), Banorte (800-226-6783), Citibanamex (800-226-2639). Tienes derecho a solicitar la cancelación de cargos no reconocidos
SAT: si el phishing suplanta al SAT, repórtalo en denuncias.sat.gob.mx o al 55-627-22728

Conserva capturas de pantalla del correo o mensaje fraudulento, incluyendo la dirección del remitente y los enlaces. Esta evidencia es fundamental para que las autoridades puedan investigar el caso.

Cómo protegerte del phishing

Además de aprender a detectar correos fraudulentos, puedes tomar medidas técnicas para reducir significativamente el riesgo de ser víctima de phishing:

Activa la verificación en dos pasos: en tu banca en línea, correo electrónico y cuentas de Mercado Libre. Así, incluso si un atacante obtiene tu contraseña, no podrá acceder sin el segundo factor
Usa un gestor de contraseñas: los gestores como Bitwarden o 1Password no autocompletan contraseñas en sitios falsos. Si tu gestor no reconoce la URL, es una señal de que el sitio no es legítimo
Mantén tu software actualizado: las actualizaciones de tu navegador y sistema operativo incluyen parches contra vulnerabilidades que los atacantes explotan
Configura alertas bancarias: activa las notificaciones por cada transacción en tu app bancaria para detectar cargos no autorizados de inmediato
Revisa periódicamente si tus datos fueron filtrados: usa un verificador de filtraciones de datos para saber si tu correo o contraseña aparecen en bases de datos comprometidas

La protección contra el phishing es una combinación de hábitos de seguridad y herramientas técnicas. Ninguna medida individual es infalible, pero juntas forman una defensa sólida. Conocer tus derechos bajo la Ley de Protección de Datos Personales también te ayuda a exigir responsabilidad a las empresas que manejan tu información.

Cómo Escudo VPN te protege contra el phishing

Escudo VPN complementa tus hábitos de seguridad con protección técnica a nivel de red. El bloqueo de dominios maliciosos a nivel DNS impide que tu dispositivo se conecte a sitios de phishing conocidos, incluso si haces clic accidentalmente en un enlace fraudulento.

Cuando te conectas a una red Wi-Fi pública en un café, aeropuerto o centro comercial, los atacantes pueden crear puntos de acceso falsos o interceptar tu tráfico para redirigirte a sitios de phishing. Escudo VPN cifra todo tu tráfico con WireGuard y protección post-cuántica mediante Rosenpass, eliminando este vector de ataque por completo.

Además, Escudo bloquea rastreadores publicitarios y scripts de seguimiento que recopilan tus datos de navegación, información que los atacantes pueden usar para personalizar ataques de spear phishing dirigidos específicamente a ti.

Bloquea sitios de phishing automáticamente

Protección DNS contra dominios maliciosos. Cifrado post-cuántico. Sin registros.

Descargar Escudo VPN

Preguntas frecuentes sobre phishing

¿Qué es el phishing?

El phishing es un tipo de fraude cibernético donde los atacantes se hacen pasar por empresas o instituciones legítimas (como el SAT, bancos o tiendas en línea) para engañarte y robar tus datos personales, contraseñas o información financiera. Generalmente llega por correo electrónico, SMS o mensajes de WhatsApp con enlaces a sitios web falsos.

¿Cómo reportar phishing en México?

Puedes reportar intentos de phishing a la Policía Cibernética llamando al 088 o enviando un correo a [email protected]. Para fraudes financieros, también puedes denunciar ante la CONDUSEF al 800-999-8080 o a través de su portal en línea. Si el phishing involucra al SAT, repórtalo directamente en denuncias.sat.gob.mx.

¿Un VPN protege contra el phishing?

Un VPN por sí solo no bloquea correos de phishing, pero Escudo VPN incluye bloqueo de dominios maliciosos a nivel DNS, lo que puede impedir que accedas a sitios web falsos utilizados en ataques de phishing. Además, al cifrar tu tráfico, evita que atacantes en redes Wi-Fi públicas intercepten tus datos o redirijan tu navegación a páginas fraudulentas.

¿Cuáles son las estafas de phishing más comunes en México?

Las estafas más comunes incluyen correos falsos del SAT pidiendo actualizar datos fiscales, mensajes de BBVA México o Banorte sobre cargos no reconocidos, supuestas ofertas de Mercado Libre con enlaces fraudulentos, y SMS de Telmex o CFE amenazando con cortar el servicio. También son frecuentes los mensajes de WhatsApp con códigos de verificación falsos.

Todos los artículos Ley de datos personales Seguridad en WhatsApp Bloquear anuncios