Evita estafas online: 10 señales para detectar un sitio web falso o un correo phishing

En 2026, los ciberdelincuentes utilizan herramientas de inteligencia artificial para que sus estafas parezcan más reales que nunca. Sin embargo, por muy sofisticado que sea el ataque, siempre hay «costuras» visibles si sabes dónde mirar. Esta guía te ayudará a agudizar el ojo para que tu información personal y financiera esté siempre a salvo.

El phishing y los sitios web fraudulentos son las herramientas preferidas para el robo de identidad. El objetivo es simple: engañarte para que entregues voluntariamente tus contraseñas o datos bancarios. La buena noticia es que la prevención es tu mejor defensa.

Aquí tienes las 10 señales de alerta que deben hacerte desconfiar de inmediato.

1. Sentido de urgencia o amenazas

Los estafadores quieren que actúes sin pensar. Si recibes un correo que dice «Tu cuenta será bloqueada en 2 horas» o «Se ha detectado un inicio de sesión sospechoso, haz clic aquí YA», detente. Las empresas serias rara vez usan tonos amenazantes para comunicaciones críticas.

2. Dirección de remitente «extraña»

No te fijes solo en el nombre que aparece (ej. «Soporte Netflix»). Haz clic o pasa el ratón sobre el nombre para ver la dirección de correo real.

• Legítimo: [email protected]
• Falso: [email protected] o [email protected]

3. Errores gramaticales o de formato

Aunque la IA ha mejorado las traducciones, muchos ataques todavía presentan errores sutiles: falta de tildes, palabras en otros idiomas o un diseño que se ve «pixelado» o descuadrado. Una gran corporación cuida su imagen al detalle.

4. Enlaces que no coinciden con el destino

Antes de hacer clic, pasa el cursor sobre el enlace (sin pulsar). En la esquina inferior de tu navegador o pantalla aparecerá la URL real a la que te dirige. Si el texto dice «www.tu-banco.com» pero el enlace apunta a «www.bitly.com/XyZ123«, es una estafa.

5. Saludos genéricos

Un correo legítimo de tu banco o de una tienda donde eres cliente suele dirigirse a ti por tu nombre. Desconfía de los correos que empiezan con «Estimado cliente», «Querido usuario» o simplemente no incluyen saludo.

6. El truco del «Homógrafo» en la URL

Los atacantes usan caracteres que se parecen a otros para engañar al ojo humano.

Ejemplo: Pueden usar una «o» griega (ο) en lugar de una «o» latina, o intercambiar una «l» minúscula por un «1». Siempre escribe tú mismo la dirección en la barra del navegador si tienes dudas.

7. Ausencia del candado o «HTTPS»

Si un sitio web te pide datos de tarjeta o contraseñas y la URL empieza por HTTP (sin la S de Secure), sal de ahí inmediatamente. El certificado SSL (el candado) es el estándar mínimo de seguridad hoy en día, aunque cuidado: que lo tenga no garantiza que el sitio sea legal, pero que no lo tenga es una señal definitiva de peligro.

8. Ofertas «demasiado buenas para ser verdad»

¿Un iPhone 17 Pro por 200 euros? ¿Zapatillas de marca con un 90% de descuento en una web desconocida? Si el precio desafía la lógica del mercado, lo más probable es que sea una web diseñada para robar tus datos de pago.

9. Métodos de pago inusuales

Las tiendas legítimas usan pasarelas de pago conocidas (Stripe, PayPal, tarjetas bancarias). Si un sitio solo acepta transferencias directas, criptomonedas o tarjetas de regalo (iTunes, Amazon), es casi seguro que se trata de una estafa donde no podrás reclamar tu dinero.

10. Falta de información legal o de contacto

Busca siempre las secciones de «Aviso Legal», «Política de Privacidad» o «Quiénes somos». Las webs falsas suelen tener estos enlaces rotos, vacíos o con textos genéricos copiados de otros sitios sin dar una dirección física o un CIF real.

Resumen de comprobación rápida

Regla de Oro: Si tienes la más mínima duda, cierra el mensaje, busca el teléfono oficial de la empresa en su web real y llama para verificar. Nunca uses los datos de contacto que vienen en el correo sospechoso.