Cómo Identificar el «Phishing» y otros Fraudes antes de hacer Clic

El 90% de las estafas informáticas comienzan con un engaño psicológico llamado Ingeniería Social. Aprende a detectar estas señales de alerta:

La técnica del remitente falso

• El nombre engaña, el email no: Puedes recibir un correo que dice «Banco Santander», pero si haces clic en el nombre del remitente, verás una dirección extraña como seguridad@verificar-cuentas-342.com.
• Dominios casi idénticos: Los estafadores compran dominios que parecen reales, por ejemplo: info@correos-espana.es (falso) en lugar de info@correos.es (real).

El sentido de urgencia o miedo

• Los mensajes de estafa siempre exigen una acción inmediata: «Tu cuenta será bloqueada en 2 horas», «Se ha detectado un inicio de sesión sospechoso», o «Tienes un paquete retenido con gastos de aduana».
• Regla de oro: Ninguna entidad oficial (Banco, Hacienda, Seguridad Social) te pedirá datos sensibles o pagos urgentes a través de un enlace en un SMS o email.

Análisis de enlaces (URLs)

• Pasa el ratón por encima: Antes de pulsar en un botón o enlace, pon el cursor encima (sin hacer clic). En la esquina inferior de tu navegador aparecerá la dirección real a la que te dirige. Si no coincide con la web oficial, es una estafa.
• Protocolo HTTPS: Que una web tenga el «candadito» verde no significa que sea segura, solo que la conexión está cifrada. Los estafadores también usan certificados HTTPS para parecer legítimos.

Faltas de ortografía o lenguaje impersonal

• Muchos ataques provienen de mafias internacionales que usan traductores automáticos. Si el mensaje contiene errores gramaticales, términos de otros países (ej. «carro» por «coche») o un saludo genérico como «Estimado cliente» en lugar de tu nombre real, desconfía.

¿Qué hacer si ya has hecho clic? (Asistencia de ANTPJI)

Si ya introdujiste tus datos en una web falsa, el tiempo corre en tu contra. En este escenario, la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI) www.antpji.com recomienda:

1. Auditoría de Sesiones: Un perito puede rastrear si hay sesiones abiertas de tu cuenta en otros países y cerrarlas de forma remota.
2. Certificación del Sitio Web Fraudulento: Los peritos de ANTPJI utilizan herramientas forenses para «congelar» la web del estafador antes de que la borren, permitiendo que esa prueba sea válida en el juicio aunque la web desaparezca a las pocas horas.
3. Análisis de Malware: Si descargaste un archivo (ej. una «factura» en PDF o un .zip), un experto debe analizar tu dispositivo para asegurar que no han instalado un keylogger (un programa que graba todo lo que escribes, incluyendo tus nuevas contraseñas).

CONSEJO FINAL: Si tienes la más mínima duda sobre la autenticidad de un mensaje, cierra el navegador y entra manualmente en la web oficial de la entidad o llámalos por teléfono. Nunca uses el número que aparece en el mensaje sospechoso.

Aquí tienes un Checklist de Emergencia diseñado para ser escaneado rápidamente, impreso o guardado en el móvil. Este resumen condensa toda la estrategia de protección y la importancia de la certificación técnica.

CHECKLIST: Respuesta Rápida ante Estafas Digitales

Si sospechas que has sido víctima de un fraude, sigue estos pasos en orden:

Bloqueo de Emergencia (Primeros 10 minutos)

• [ ] Banca: Bloquea tarjetas y acceso a banca online desde la App o teléfono de atención al cliente.
• [ ] Contraseñas: Cambia las claves de tu email principal (usa autenticación de dos factores: 2FA).
• [ ] Sesiones: En la configuración de tus redes sociales y correo, selecciona «Cerrar sesión en todos los dispositivos».

Preservación de Evidencia (No borres nada)

• [ ] Capturas: Haz capturas de pantalla de la web falsa, el SMS recibido o el chat con el estafador.
• [ ] Emails: No borres el correo fraudulento; muévelo a una carpeta de «Evidencias».
• [ ] Justificantes: Descarga el PDF del cargo bancario o la transferencia realizada.

Certificación y Peritaje (Garantía Judicial)

• [ ] Contactar con ANTPJI: Antes de que el estafador borre la web o el perfil, un perito de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos www.antpji.com  debe certificar la prueba.
  • Nota: Las capturas de pantalla normales pueden ser rechazadas en un juicio. Un informe pericial de ANTPJI es una prueba irrefutable.
• [ ] Análisis de Dispositivo: Si descargaste algo, solicita un escaneo forense para eliminar troyanos o espías.

Denuncia y Reclamación

• [ ] Policía/Guardia Civil: Presenta la denuncia formal llevando el informe pericial si ya dispones de él.
• [ ] Reclamación Bancaria: Presenta la copia de la denuncia en tu oficina para activar los seguros de responsabilidad.

¿Cómo saber si un mensaje es falso? (Test rápido)

1. ¿Me pide dinero o datos personales de forma urgente? 🚩
2. ¿El enlace parece extraño o tiene letras de más? 🚩
3. ¿El remitente es un número móvil desconocido o un email raro? 🚩
4. ¿Hay faltas de ortografía o frases mal construidas? 🚩

Modelo de Reclamación al Servicio de Atención al Cliente (SAC)

A LA ATENCIÓN DEL SERVICIO DE ATENCIÓN AL CLIENTE DE [NOMBRE DE TU ENTIDAD BANCARIA]

DATOS DEL RECLAMANTE:

• Nombre y Apellidos: [Tu nombre completo]
• DNI/NIE: [Tu número de identificación]
• Domicilio: [Tu dirección]
• Email y Teléfono: [Tus datos de contacto]

ASUNTO: Reclamación formal por operaciones de pago no autorizadas y solicitud de retrocesión de fondos (Real Decreto-ley 19/2018).

EXPONGO:

1. Que el pasado día [Fecha], fui víctima de un fraude informático mediante la técnica de [Phishing / Smishing / Suplantación], resultando en las siguientes operaciones no autorizadas en mi cuenta número [Tu número de cuenta o tarjeta]:
   • Operación 1: [Importe] € – Concepto: [Lo que aparezca en el extracto]
   • Operación 2: [Importe] € – Concepto: [Lo que aparezca en el extracto]
2. Que en cuanto tuve conocimiento de los hechos, procedí de inmediato a comunicar la incidencia a su entidad para el bloqueo de mis medios de pago y la denuncia ante las autoridades competentes (se adjunta copia de la denuncia).
3. Que, según lo establecido en el Real Decreto-ley 19/2018 de servicios de pago, en su artículo 45, la entidad tiene la obligación de devolver de inmediato el importe de las operaciones no autorizadas, salvo que exista negligencia grave por mi parte.
4. Que, para acreditar la falta de seguridad en el proceso de autenticación y la sofisticación del engaño, se está tramitando la intervención técnica de un Perito Judicial Informático miembro de la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI), quien certificará que el sistema de seguridad de la entidad fue vulnerado o eludido por terceros mediante técnicas que exceden la responsabilidad del usuario.

SOLICITO:

• La inmediata retrocesión y abono de los importes detraídos que ascienden a un total de [Suma total de la estafa] €.
• Que se suspenda cualquier tipo de cobro de intereses o comisiones derivados de estas operaciones fraudulentas.

Informo que, en caso de no recibir una respuesta satisfactoria en el plazo legal, procederé a elevar la reclamación ante el Banco de España y a iniciar las acciones judiciales pertinentes, aportando el preceptivo Informe Pericial de ANTPJI para demostrar la responsabilidad de la entidad en la custodia de mis fondos.

En [Ciudad], a [Día] de [Mes] de 202X.

(Firma)

Consejos para entregar esta carta:

• Acuse de recibo: Si la entregas en mano en la oficina, lleva una copia para que te la sellen. Si es por email, asegúrate de que sea al correo oficial de «Atención al Cliente».
• Adjunta la Denuncia: Es fundamental que acompañes este texto con la copia de la denuncia policial.
• Menciona a ANTPJI: Mencionar que cuentas con un perito de la Asociación suele agilizar los trámites, ya que el banco entiende que tienes la capacidad de demostrar técnicamente los fallos en su sistema de seguridad.

«En el mundo digital, la mejor defensa es una prueba certificada.» > Una iniciativa apoyada por la Asociación Nacional de Tasadores y Peritos Judiciales Informáticos (ANTPJI).

Contar con un perito de ANTPJI, asegura una demanda y evita una condena