Este correo se ve idéntico al de tu banco. El logo es el correcto. Los colores son los correctos. El formato es el correcto. Hasta tiene el número de servicio al cliente correcto al final del mensaje.
Solo hay UNA diferencia.
Y esa diferencia es lo que separa un correo legítimo de un correo que va a vaciar tu cuenta.
¿Puedes verla? Probablemente no. Porque está diseñada para que no la veas. Está diseñada para que tu cerebro la procese como normal y hagas clic sin pensar. Y funciona. En México, el phishing bancario es la forma más común de fraude digital. Más que el SIM swapping. Más que el fraude del familiar en apuros. Más que cualquier otro vector de ataque.
Y funciona no porque las personas sean descuidadas. Funciona porque los correos son buenos. Muy buenos. Tan buenos que profesionales de tecnología han caído. Tan buenos que personas que «saben» de phishing han caído. Tan buenos que la única manera de no caer es entender exactamente cómo están hechos, qué trucos usan, y dónde mirar para encontrar la diferencia invisible.
Llevo 17 años haciendo informática forense. He analizado cientos de correos de phishing como parte de investigaciones forenses. He desarmado páginas falsas línea por línea. He rastreado los servidores donde se hospedan. He visto cómo se mueve el dinero después de que la víctima hace clic. Y lo que me queda claro es que la única defensa real contra el phishing no es el antivirus, no es el filtro de spam, no es la tecnología del banco. La única defensa real eres tú. Tu capacidad de ver lo que el estafador no quiere que veas.
Este artículo te va a enseñar exactamente dónde mirar.
Qué es el phishing (sin diccionario, sin Wikipedia)
Phishing es cuando alguien se hace pasar por tu banco — o por cualquier otra entidad de confianza — para que tú le des tus datos voluntariamente.
No hackean tu cuenta. No rompen la seguridad del banco. No descifran tu contraseña. Simplemente te piden que se la des. Y tú se la das. Porque pensaste que se la estabas dando al banco.
Es el robo más elegante que existe. El ladrón no fuerza la cerradura. Te convence de que le des la llave.
Y lo hace con herramientas que se ven exactamente como las herramientas del banco: correos que parecen correos del banco, páginas web que parecen la página del banco, mensajes de texto que parecen mensajes del banco. La diferencia está en los detalles. Y los detalles están diseñados para ser invisibles.
Las 6 técnicas de phishing bancario que están vaciando cuentas en México
No voy a hablar en abstracto. Voy a mostrarte las técnicas que veo en mi laboratorio, una por una, con los detalles que los bancos no te explican.
Técnica 1: El correo de «actividad sospechosa»
Cómo se ve: recibes un correo electrónico que dice ser de tu banco. El asunto dice algo como: «Alerta de seguridad: Actividad sospechosa en su cuenta» o «Hemos detectado un acceso no autorizado» o «Su cuenta ha sido bloqueada temporalmente por seguridad.»
El correo tiene el logo del banco. Los colores institucionales. El formato de los correos reales del banco. A veces hasta incluye tu nombre: «Estimado Juan Carlos López.»
El mensaje te dice que se detectó actividad inusual en tu cuenta y que necesitas «verificar tu identidad» haciendo clic en un enlace para «desbloquear tu cuenta.» El enlace dice algo como «bancoenlinea.com.mx/verificar» — se ve igual a la dirección real del banco.
Pero no es el banco. Es una página clonada. Una réplica exacta. Y el enlace que ves en el texto del correo no es el enlace real al que te lleva. El texto del correo dice «bancoenlinea.com.mx.» Pero si pones el cursor encima del enlace — sin hacer clic — y miras en la parte inferior de tu navegador o cliente de correo, la dirección real es algo como «bancoenlinea-mx-verificar.com» o «seguridad-banco.xyz» o alguna variación que se parece pero no es.
Dónde está la diferencia:
- El remitente. El correo parece venir de «seguridad@tubanco.com.mx.» Pero si haces clic en el nombre del remitente para ver la dirección completa, dice algo como «seguridad-banco@outlook.com» o «alertas@tubanco-seguridad.net.» El dominio no es el del banco. Esa es la primera diferencia.
- El enlace. Nunca hagas clic sin verificar. Pon el cursor sobre el enlace (sin hacer clic) y mira la URL real. Si la URL no es exactamente la del sitio oficial de tu banco — exactamente, carácter por carácter –, no hagas clic. Los estafadores usan dominios que se parecen: «bbva-mexico.com» en lugar de «bbva.mx», «bancanet-banamex.com» en lugar de «banamex.com», «santander-mx.net» en lugar de «santander.com.mx.» Una letra de diferencia. Un guion extra. Un dominio distinto. Eso es todo.
- La urgencia. El banco real no te manda correos diciendo «tiene 24 horas para verificar o su cuenta será bloqueada permanentemente.» La urgencia fabricada es la firma del phishing. Te ponen un reloj encima para que no pienses.
Técnica 2: El SMS de «transferencia detectada»
Cómo se ve: recibes un mensaje de texto que dice: «BBVA: Se detectó una transferencia por $28,500.00 desde su cuenta. Si no la reconoce, ingrese a: [enlace] para cancelarla.»
El mensaje parece venir de tu banco. Incluye un monto específico (para que pienses «yo no hice esa transferencia»). Incluye un enlace para «cancelar.»
Por qué funciona: el miedo a perder dinero es inmediato. Ves $28,500 y piensas «me están robando.» Tu primer instinto es cancelar la transferencia lo más rápido posible. Haces clic. La página te pide tu número de cuenta, tu contraseña, tu token. Se los das. Y ahora sí, con esos datos, el estafador hace la transferencia real.
Es irónico: el mensaje que te avisa de una transferencia falsa es lo que provoca la transferencia real.
Dónde está la diferencia:
- El remitente. Los SMS de los bancos llegan desde nombres cortos registrados («BBVA», «Banamex», «Banorte»), no desde números de 10 dígitos. Si el SMS viene de un número de celular común (55XXXXXXXX), no es del banco.
- El enlace. Los bancos reales casi nunca incluyen enlaces en sus SMS de alerta. Las alertas reales dicen cosas como: «Se realizó una transferencia por $X. Si no la reconoce, llame a 800-XXX-XXXX.» Te dan un teléfono, no un link. Un SMS con link es sospechoso por definición.
- El monto. A veces el monto es exacto (para parecer real). A veces es alto (para asustarte más). Pero si tomas 10 segundos para abrir tu aplicación bancaria directamente — no desde el enlace, desde tu aplicación — y verificar tus movimientos, vas a ver que no hay ninguna transferencia. Esos 10 segundos destruyen el fraude.
Técnica 3: La página clonada con certificado SSL
Cómo se ve: haces clic en el enlace del correo o del SMS. Se abre una página que es idéntica a la de tu banco. Mismos colores. Mismo logo. Mismo menú. Mismo formulario de login. Y — aquí está lo que confunde a la gente que «sabe» de seguridad — la página tiene el candado verde de SSL. El candado que te dicen que significa que «el sitio es seguro.»
La verdad sobre el candado: el candado SSL no significa que el sitio sea del banco. Significa que la conexión entre tu navegador y el servidor está cifrada. Cualquier persona puede obtener un certificado SSL gratuito en 5 minutos a través de servicios como Let’s Encrypt. El estafador puede tener una página falsa con candado verde. El candado no verifica la identidad del sitio. Verifica la conexión.
Dónde mirar: la barra de direcciones. La URL. No el candado. La URL. Si la URL no es exactamente «https://www.bbva.mx» o «https://www.banamex.com» o la dirección oficial de tu banco, carácter por carácter, no ingreses tus datos. No importa que la página se vea idéntica. No importa que tenga candado. La URL es la identidad del sitio. Todo lo demás se puede copiar.
Técnica 4: El phishing por WhatsApp
Cómo se ve: recibes un mensaje de WhatsApp de un número desconocido con foto de perfil del logo de tu banco. «Estimado cliente, su cuenta presenta un adeudo vencido / una transferencia pendiente de confirmación / un beneficio no reclamado. Ingrese al siguiente enlace para resolver.»
Variación: te agregan a un grupo de WhatsApp que se llama «Servicio al Cliente BBVA» o «Soporte Banorte» y un «asesor» te manda un mensaje personalizado.
Por qué funciona: WhatsApp se siente más personal que un correo. Un mensaje de WhatsApp se siente como si alguien real te estuviera contactando. Y el logo del banco como foto de perfil le da una apariencia de legitimidad.
Dónde está la diferencia: tu banco no te contacta por WhatsApp desde números desconocidos. Si tu banco tiene WhatsApp Business, tiene una cuenta verificada (con palomita verde) y tú la agregaste, no al revés. Un número desconocido que te contacta con logo de banco es fraude. Siempre. Sin excepción.
Técnica 5: El pharming (envenenamiento DNS)
Esta es la técnica más sofisticada y la más difícil de detectar para el usuario común. Ya la expliqué en detalle en un artículo anterior sobre fraude bancario por router hackeado, pero aquí va el resumen.
Cómo funciona: el estafador accede a la configuración de tu router casero — el aparato que te da WiFi — y cambia los servidores DNS. Los DNS son los que traducen los nombres de los sitios web a direcciones IP. Cuando escribes «bbva.mx» en tu navegador, los DNS le dicen a tu navegador «bbva.mx está en esta dirección IP.» Si los DNS están alterados, cuando escribes «bbva.mx,» tu navegador te lleva a la página del estafador en lugar de a la del banco. La URL dice «bbva.mx.» El navegador muestra la dirección correcta. Pero la página que estás viendo no es la del banco.
Por qué es peligrosa: porque la URL se ve correcta. No hay un enlace raro. No hay un dominio extraño. Escribiste «bbva.mx» y eso es lo que dice la barra de direcciones. Pero la página es falsa.
Cómo protegerte: cambia la contraseña de tu router. La de fábrica (admin/admin, 1234, password) es la puerta de entrada. Cámbiala por algo fuerte. Verifica que los DNS de tu router apunten a servidores conocidos: 8.8.8.8 y 8.8.4.4 (Google DNS) o 1.1.1.1 (Cloudflare DNS). Si no sabes cómo hacerlo, pide ayuda a alguien técnico o llama a tu proveedor de internet. Esto aplica especialmente para empresas con redes de oficina.
Técnica 6: El phishing dirigido (spear phishing)
Cómo se ve: un correo que no solo tiene el logo de tu banco, sino que incluye información real sobre ti: tu nombre completo, tu número de cuenta parcial, tu último movimiento. «Estimado Juan Carlos López, en relación con su cuenta terminación 4527, le informamos que la transferencia realizada el 15 de marzo por $12,300.00 presenta una irregularidad.»
Por qué funciona: porque los datos son reales. Tu nombre es tu nombre. Tu cuenta termina en 4527. Hiciste una transferencia el 15 de marzo. Todo cuadra. Entonces el correo debe ser real, ¿verdad?
No necesariamente. El estafador pudo obtener esos datos de una filtración, de un estado de cuenta que alguien tiró a la basura, de un comprobante que te enviaron por correo y que fue interceptado, de ingeniería social previa. El hecho de que un correo tenga datos reales no prueba que sea del banco. Solo prueba que alguien tiene tus datos.
Dónde mirar: lo mismo de siempre. El remitente. La URL. La urgencia. Los datos reales no cambian las reglas del juego. Si el correo te pide que hagas clic en un enlace e ingreses tus credenciales, verifica la URL carácter por carácter antes de hacer cualquier cosa.
La regla de oro: Nunca entres a tu banco desde un enlace
Voy a simplificar todo lo anterior en una sola regla que, si la sigues siempre, te protege del 99% del phishing bancario:
Nunca entres a tu banca en línea haciendo clic en un enlace que te llegó por correo, por SMS o por WhatsApp. Nunca. Jamás. Bajo ninguna circunstancia.
Si tu banco te manda un correo diciendo que hay un problema con tu cuenta, cierra el correo. Abre tu navegador. Escribe tú mismo la dirección del banco — la que siempre usas, la que tienes guardada en tus favoritos. Entra desde ahí. Verifica si realmente hay un problema.
Si te llega un SMS diciendo que detectaron una transferencia, no hagas clic en el link. Abre la aplicación de tu banco directamente en tu celular. Verifica tus movimientos desde ahí.
Si te llega un WhatsApp de «tu banco» con un enlace, no lo abras. Llama al número oficial de tu banco (el que está en el reverso de tu tarjeta) y pregunta.
El enlace es la trampa. Siempre. Si eliminas el hábito de hacer clic en enlaces bancarios, eliminas el vector de ataque. Así de simple.
Cómo verificar un correo sospechoso en 30 segundos
Te llegó un correo que parece de tu banco. No sabes si es real o falso. Aquí está el checklist de 30 segundos:
Segundo 1-5: Mira el remitente. Haz clic en el nombre del remitente para ver la dirección completa. El dominio después del @ debe ser exactamente el dominio oficial del banco (bbva.mx, banamex.com, banorte.com, santander.com.mx, hsbc.com.mx). Si tiene cualquier variación — un guion extra, una palabra adicional, un dominio diferente — es falso.
Segundo 6-10: Busca la urgencia. ¿El correo te da un plazo? «24 horas para verificar.» «Su cuenta será suspendida.» «Último aviso.» La urgencia fabricada es la firma del phishing.
Segundo 11-15: Revisa el enlace sin hacer clic. Pon el cursor sobre el enlace (o mantén presionado en el celular sin soltar). Mira la URL real. ¿Es el dominio exacto del banco? ¿Carácter por carácter?
Segundo 16-20: Busca errores. Los correos de phishing a veces tienen errores gramaticales, acentos incorrectos, espacios raros, formato inconsistente. No siempre — algunos son impecables — pero cuando los tienen, es una señal.
Segundo 21-25: Pregúntate: ¿yo solicité esto? ¿El banco te está respondiendo a algo que tú hiciste? ¿Solicitaste un cambio de contraseña? ¿Pediste una transferencia? Si no hiciste nada y el banco te está «alertando,» desconfía.
Segundo 26-30: En caso de duda, no hagas clic. Cierra el correo. Abre tu banco desde tu navegador o tu aplicación. Verifica directamente. O llama al banco. Si el correo era real, el banco te va a confirmar la alerta. Si era falso, acabas de esquivar un fraude.
Casos reales que veo en mi laboratorio (sin nombres, con patrones)
No voy a contar historias con lujo de detalle porque no es el punto. Pero sí voy a compartir los patrones que veo repetirse, porque entender el patrón es lo que te salva la próxima vez.
Patrón 1: El empresario que «sabía» de phishing. Dueño de empresa mediana. Usuarios de banca empresarial. Recibió un correo que decía ser de su banco informando un «cambio en las políticas de seguridad» y que debía «actualizar sus credenciales de acceso.» El correo tenía el nombre del ejecutivo de cuenta real del banco (obtenido de ingeniería social previa). El empresario pensó: «si saben el nombre de mi ejecutivo, es real.» Hizo clic. Ingresó sus credenciales. Perdió varios millones.
El nombre del ejecutivo no prueba nada. Los estafadores pueden obtener ese dato llamando al conmutador del banco y preguntando, revisando LinkedIn, o incluso adivinando (los nombres de ejecutivos de cuenta no son secretos de estado). El dato real no valida el correo. Solo la URL valida el correo.
Patrón 2: El contador que recibió la «factura.» Un correo con asunto «CFDI – Factura pendiente de pago» y un enlace para «descargar el XML.» El contador, acostumbrado a recibir facturas por correo, hizo clic sin pensar. El enlace no descargó un XML. Abrió una página que le pidió sus credenciales del SAT. Las ingresó. Con esas credenciales, los estafadores accedieron al buzón tributario, descargaron información fiscal de la empresa, y la usaron para crear facturas falsas a nombre de la empresa.
Las facturas por correo son un vector de ataque perfecto porque los contadores las reciben decenas de veces al día. La rutina baja la guardia. La repetición elimina la sospecha.
Patrón 3: La notificación de «paquete retenido.» No es bancario directamente, pero termina en fraude bancario. Un SMS que dice: «Su paquete de Amazon/DHL/FedEx está retenido en aduanas. Pague $89 pesos de despacho aduanero en: [enlace].» La persona paga con su tarjeta. Los estafadores ahora tienen el número de tarjeta, la fecha de vencimiento y el CVV. No necesitan más para hacer compras en línea.
La tarjeta de crédito no es solo para pagar los $89. Es para que los estafadores la usen hasta que la canceles o hasta que el banco la bloquee. Algunos hacen la primera compra chica para probar que la tarjeta funciona, y luego hacen compras grandes.
Preguntas frecuentes sobre phishing bancario
¿Si hice clic en un enlace pero no ingresé mis datos, estoy en riesgo?
El riesgo es menor pero no nulo. Algunos sitios de phishing sofisticados instalan malware con solo visitarlos (drive-by download), aunque esto es menos común en celulares que en computadoras. Si hiciste clic pero no ingresaste datos, cierra la pestaña, borra el historial de navegación, ejecuta un escaneo con tu antivirus. Si ingresaste datos, cambia la contraseña de tu banco inmediatamente desde la aplicación o la URL que tú escribes directamente.
¿Mi banco me pide datos por teléfono. Es normal?
Depende. Si tú llamaste al banco, es normal que te pidan datos para verificar tu identidad: nombre, fecha de nacimiento, los últimos dígitos de tu cuenta. Si el banco te llamó a ti, desconfía. Cuelga. Llama tú al número oficial del banco (el del reverso de tu tarjeta). Si realmente había algo que tratar, el ejecutivo te va a atender. Si no había nada, era fraude.
¿Los correos de phishing solo vienen en español?
No. He visto correos de phishing bancario en inglés dirigidos a cuentahabientes de bancos mexicanos que tienen servicios internacionales. El idioma no es un indicador confiable. Lo que importa es el remitente y la URL.
¿Puedo denunciar un correo de phishing?
Sí. Puedes reportarlo a tu banco (la mayoría tiene un correo de reporte de phishing, como phishing@bbva.mx o similar). Puedes reportarlo a la Policía Cibernética de la Guardia Nacional (088). Puedes reenviarlo a la CONDUSEF si involucra un banco. Cada reporte ayuda a que se identifiquen y bloqueen los sitios falsos más rápido.
¿Si el correo llegó a mi correo empresarial, debo avisar a alguien?
Sí. Avisa al área de sistemas o TI de tu empresa inmediatamente. Un correo de phishing que llegó a tu correo probablemente llegó también a los correos de tus compañeros. Si uno solo hace clic, toda la empresa puede estar en riesgo. Las empresas que sufren los mayores fraudes no son las que reciben un ataque de phishing. Son las que no avisan a tiempo.
Lo que los bancos deberían hacer (y no están haciendo)
Voy a ser directo.
Los bancos en México gastan millones en publicidad de seguridad: «Nunca compartas tu NIP,» «Tu banco nunca te pedirá tu contraseña.» Frases genéricas que todo el mundo ha escuchado y nadie aplica porque son tan vagas que no sirven de nada.
Lo que los bancos no hacen es mostrarle al usuario cómo se ve un correo de phishing real. No te muestran la diferencia entre la URL falsa y la real. No te enseñan a revisar el remitente. No te explican que el candado SSL no significa que el sitio sea seguro. No te dicen que sus propios SMS de alerta son indistinguibles de los SMS de phishing porque usan el mismo formato.
El banco podría mandar un correo mensual a todos sus clientes con un ejemplo real de phishing (anonimizado) y las instrucciones para detectarlo. Podría incluir un botón de «reportar phishing» en su aplicación. Podría implementar notificaciones push en su app en lugar de SMS (que son interceptables). Podría exigir biometría para transferencias mayores en lugar de un código por SMS.
Podría. No lo hace. Porque es más fácil decir «la responsabilidad es del usuario» cuando el fraude ya ocurrió.
Lo que puedes hacer ahora mismo
- Revisa tu bandeja de entrada. Busca correos recientes que parezcan de tu banco. Verifica el remitente. Si hay alguno sospechoso, no lo abras — elimínalo.
- Guarda la URL de tu banco en favoritos. Y siempre entra desde ahí. Nunca desde un enlace.
- Activa las notificaciones push de tu aplicación bancaria. Las notificaciones push son más seguras que los SMS y te avisan en tiempo real de movimientos en tu cuenta.
- Cambia la contraseña de tu router. Si todavía tiene la contraseña de fábrica, cámbiala hoy. Es la puerta de entrada al pharming.
- Enséñale a tu familia. A tus papás, a tus hijos, a tus abuelos. Muéstrales la diferencia entre la URL real del banco y una falsa. Muéstrales cómo revisar el remitente de un correo. Muéstrales dónde mirar. Porque el phishing no discrimina por edad ni por educación. Ataca a quien no sabe dónde mirar.
Comparte este artículo con quien necesite leerlo. Porque el phishing bancario no es un problema técnico. Es un problema de información. Y la única solución es que más personas sepan dónde está esa UNA diferencia que lo cambia todo.