Login Probar gratis
Qué hacer si caíste en un phishing: los pasos urgentes para minimizar el daño

Qué hacer si caíste en un phishing: los pasos urgentes para minimizar el daño

por MataSpam Phishing y Estafas

Si caíste en un phishing y acabas de darte cuenta, respira. No eres la primera persona ni serás la última. Cada año, millones de usuarios acaban siendo víctima de phishing —desde becarios hasta directivos con veinte años de experiencia—. La pregunta no es si eres tonto (no lo eres), sino qué hacer después del phishing para limitar los daños. Porque sí, si ya diste tus datos en un phishing, el reloj corre en tu contra. Los atacantes suelen explotar las credenciales robadas en cuestión de minutos. Esta guía está pensada para ese momento de pánico en que piensas "me la han colado" y necesitas un plan de acción inmediato para recuperar tu cuenta tras un phishing. Vamos al grano.

Los primeros 30 minutos: lo que haces ahora marca la diferencia

El tiempo es el recurso más valioso cuando has picado en un phishing. Los ciberdelincuentes suelen automatizar el uso de credenciales robadas, así que cuanto antes actúes, mejor. Esto es lo que tienes que hacer si ya diste tus datos en un phishing, en este orden exacto:

  1. Cambia la contraseña del servicio comprometido. Si no puedes acceder, usa la opción "He olvidado mi contraseña" para recuperar el control antes que el atacante.
  2. Activa la verificación en dos pasos (2FA) si no la tenías. Si ya la tenías y el atacante la ha desactivado, contacta con soporte técnico del servicio afectado inmediatamente.
  3. Revisa los dispositivos conectados a tu cuenta. En Gmail, Outlook, Instagram o cualquier servicio decente puedes ver las sesiones activas. Cierra todas las que no reconozcas.
  4. Comprueba si han configurado reglas de reenvío en tu correo. Es una táctica habitual: el atacante crea una regla que reenvía todos tus emails a su dirección, así sigue teniendo acceso a tu información aunque cambies la contraseña.
  5. Cambia la contraseña en cualquier otro servicio donde uses la misma clave. Sí, ya sé que no deberías reutilizar contraseñas. Pero la realidad es que mucha gente lo hace.

Si el phishing iba dirigido a datos bancarios (tarjeta, cuenta corriente, acceso a banca online), llama a tu banco ahora. No mañana. No después de comer. Ahora. La mayoría de entidades bancarias en España tienen líneas 24h para bloqueo de tarjetas y cuentas.

Qué datos diste y por qué importa saberlo

No todos los phishing son iguales y la gravedad depende de qué información entregaste. Este desglose te ayudará a priorizar acciones si fuiste víctima de phishing:

Datos comprometidosNivel de riesgoAcción prioritaria
Email y contraseñaAltoCambiar contraseña + 2FA + revisar servicios vinculados
Tarjeta de crédito/débitoCríticoBloquear tarjeta, contactar banco, vigilar movimientos
DNI / NIE / pasaporteMuy altoDenuncia policial + alerta en CIRBE (Banco de España)
Credenciales de empresaCríticoAvisar a IT, cambiar accesos, revisar logs
Solo hiciste clic (sin dar datos)MedioEscanear dispositivo con antimalware, vigilar comportamiento

Si entregaste tu DNI o documentos de identidad, el riesgo va más allá de la cuenta comprometida. Con esos datos, un atacante puede contratar servicios a tu nombre, solicitar préstamos rápidos online o incluso suplantar tu identidad ante la Agencia Tributaria. Según el INCIBE (Instituto Nacional de Ciberseguridad), la suplantación de identidad derivada de phishing es uno de los incidentes más reportados en España.

Por cierto, si el enlace de phishing te instaló algo —o crees que pudo hacerlo—, te interesa echar un vistazo a nuestra guía sobre rootkits y amenazas ocultas en tu sistema. A veces el phishing es solo la puerta de entrada a algo peor.

Denuncia, reporta y deja constancia

Una vez has contenido el daño inmediato, toca documentar y denunciar. No es burocracia inútil: la denuncia te protege legalmente si alguien usa tus datos para cometer fraude.

Dónde denunciar en España:

  • Policía Nacional: denuncia online en denuncias.policia.es o presencialmente. Aporta capturas del email/SMS fraudulento.
  • INCIBE: a través del 017 (línea gratuita de ayuda en ciberseguridad) o en incibe.es. Gestionan incidentes y pueden ayudarte a recuperar cuentas.
  • Banco de España (CIRBE): si comprometiste datos de identidad, solicita un informe de riesgos para detectar posibles préstamos fraudulentos a tu nombre.
  • AEPD: si una empresa que sufrió una brecha filtró tus datos y no te notificó, puedes reclamar ante la Agencia Española de Protección de Datos conforme al RGPD.

También reporta el phishing al servicio suplantado. Google, Microsoft, Apple, PayPal y los principales bancos tienen canales específicos para reportar suplantaciones. Esto ayuda a bloquear las campañas activas y protege a otros usuarios que podrían caer en la misma trampa.

Si quieres verificar si tus credenciales ya circulan por bases de datos filtradas, usa Have I Been Pwned (haveibeenpwned.com). Es gratuito y te dirá en qué brechas aparece tu email. Spoiler: probablemente en más de una.

Blindar tus cuentas para que no vuelva a pasar

Ya has apagado el fuego. Ahora toca instalar detectores de humo. Ser víctima de phishing una vez es comprensible; que te cuelen el mismo truco dos veces ya duele más. Aquí van medidas concretas, no teoría abstracta:

Gestor de contraseñas. Bitwarden (gratuito y open source), 1Password o KeePass. Un gestor genera contraseñas únicas de 20+ caracteres para cada servicio. Tú solo recuerdas una contraseña maestra. Si te roban una credencial, el daño se limita a esa cuenta.

2FA con app, no con SMS. El SMS como segundo factor es mejor que nada, pero es vulnerable a ataques de SIM swapping. Usa aplicaciones como Google Authenticator, Authy o Microsoft Authenticator. Si quieres el nivel máximo, las llaves físicas FIDO2/WebAuthn como YubiKey son prácticamente inmunes al phishing.

Revisa permisos de apps conectadas. ¿Cuántas aplicaciones tienen acceso a tu cuenta de Google o Microsoft? Ve a la configuración de seguridad y revoca permisos a todo lo que no reconozcas o no uses. Los atacantes a veces instalan apps OAuth maliciosas que mantienen acceso incluso después de cambiar la contraseña.

Configura alertas de acceso. La mayoría de servicios permiten recibir notificaciones cuando alguien inicia sesión desde un dispositivo nuevo. Actívalas. Unos segundos de molestia cada vez que te conectas desde un sitio nuevo a cambio de saber al instante si alguien entra sin permiso.

Otra capa de protección que mucha gente ignora: usar DNS privado y cifrado. No te salvará de un phishing por email, pero sí puede bloquear dominios maliciosos antes de que tu navegador los cargue.

El phishing de segunda ronda: cuidado con el "soporte técnico"

Aquí viene la parte que pocos te cuentan. Después de caer en un phishing, hay una probabilidad real de que recibas un segundo ataque disfrazado de ayuda. Los atacantes saben que estás nervioso y aprovechan ese estado para enviarte un email o llamarte haciéndose pasar por el servicio técnico del banco, de Google o de quien sea.

"Hemos detectado actividad sospechosa en su cuenta. Haga clic aquí para verificar su identidad." Suena familiar, ¿verdad? Es exactamente la misma técnica, reciclada. La conocemos como estafa del soporte técnico falso y funciona especialmente bien con gente que ya está asustada por un incidente previo.

Regla de oro: ningún servicio legítimo te va a pedir tu contraseña por email, teléfono o chat. Si alguien te contacta tras un incidente de phishing pidiéndote credenciales "para verificar", es otro ataque. Ve directamente a la web oficial del servicio (escribiendo la URL tú mismo, no haciendo clic en ningún enlace) y gestiona tu cuenta desde allí.

Las empresas tampoco son inmunes a estos ataques encadenados. El fraude del CEO funciona con la misma lógica: un primer ataque recopila información y el segundo la explota. Si trabajas en un entorno corporativo y comprometiste credenciales de empresa, avisa a tu equipo de IT aunque te dé vergüenza. El daño de no avisar siempre es mayor.

Preguntas frecuentes

¿Puedo recuperar el dinero si me robaron por phishing?

En muchos casos, sí. La normativa europea de servicios de pago (PSD2) obliga a los bancos a reembolsar operaciones no autorizadas salvo que demuestren negligencia grave del cliente. Presenta denuncia policial y reclama por escrito a tu entidad. Si el banco rechaza el reembolso, puedes acudir al Banco de España o a la vía judicial. Los tribunales españoles han fallado a favor del consumidor en numerosas sentencias recientes.

¿Qué hago si di mis datos pero no sé exactamente en qué página?

Revisa el historial de tu navegador para encontrar la URL. Si ya no está, cambia las contraseñas de los servicios que podrían estar afectados (email, banco, redes sociales) como medida preventiva. Activa 2FA en todo y monitoriza tus cuentas durante las siguientes semanas con especial atención a movimientos bancarios y emails de cambio de contraseña que tú no hayas solicitado.

¿El antivirus me habría protegido del phishing?

Parcialmente. Algunos antivirus con protección web detectan URLs de phishing conocidas y las bloquean. Pero las campañas nuevas usan dominios recién creados que aún no están en las bases de datos. La mejor protección sigue siendo la formación: aprender a identificar señales como URLs sospechosas, urgencia artificial en el mensaje y remitentes que no cuadran. Si quieres una capa extra, extensiones como uBlock Origin pueden bloquear dominios maliciosos.

¿Debo formatear mi ordenador después de caer en phishing?

Solo si el phishing incluía la descarga de un archivo y lo ejecutaste. Si simplemente introdujiste datos en un formulario web falso, con cambiar contraseñas, activar 2FA y escanear con Malwarebytes o Windows Defender debería ser suficiente. Si descargaste y abriste un adjunto, haz un escaneo completo con varias herramientas. También puedes subir archivos sospechosos a VirusTotal para analizarlos con más de 70 motores antivirus.

El siguiente paso

Abre ahora mismo haveibeenpwned.com, introduce tu email principal y comprueba en cuántas brechas de datos apareces. Por cada servicio filtrado donde sigas usando la misma contraseña, cámbiala hoy. No mañana. Instala un gestor de contraseñas si todavía no usas uno —Bitwarden es gratuito y te lleva diez minutos configurarlo—. Esos diez minutos son la diferencia entre que el próximo phishing sea un susto o un desastre. Y si quieres seguir aprendiendo a no caer en trampas digitales, en el blog de Piqture cubrimos las amenazas más recientes con la misma filosofía: sin rodeos y con soluciones reales.

caí en phishing víctima phishing qué hacer phishing phishing ya di datos recuperar cuenta phishing
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Phishing de Netflix y Disney+: correos falsos sobre tu suscripción
Phishing y Estafas

Phishing de Netflix y Disney+: correos falsos sobre tu suscripción

Pharming vs phishing: diferencias y cómo protegerte de ambos
Phishing y Estafas

Pharming vs phishing: diferencias y cómo protegerte de ambos

Phishing de Hacienda y la Agencia Tributaria: campañas de estafa más usadas
Phishing y Estafas

Phishing de Hacienda y la Agencia Tributaria: campañas de estafa más usadas

← Volver al blog