En 2025, el INCIBE gestionó más de 122.000 incidentes de ciberseguridad en España, con 25.133 casos específicos de phishing: una media de casi 70 ataques al día. Lo que ha cambiado en 2026 no es la cantidad, sino la calidad del engaño: los correos y SMS fraudulentos ya no tienen faltas de ortografía, replican el tono exacto de la Agencia Tributaria y llegan con número de referencia real. La buena noticia es que el Instituto Nacional de Ciberseguridad ha publicado cuatro señales técnicas que cualquier ciudadano puede aplicar antes de pulsar ningún enlace.
Lo más importante que debes saber es que estas cuatro alertas no requieren ningún conocimiento técnico. Basta con saber dónde mirar. El INCIBE las ha detallado en sus avisos oficiales de 2026 precisamente porque los indicadores clásicos —mala gramática, remitente desconocido— han dejado de funcionar como filtro. Lo que te protege ahora es un procedimiento, no la intuición.
Las cuatro señales del INCIBE para detectar el phishing
La primera señal es el dominio del remitente. El INCIBE advierte que ningún organismo público o banco operará desde una dirección de correo genérica como @gmail.com o @outlook.com, y que un dominio oficial siempre terminará en la extensión institucional correspondiente: .gob.es, .hacienda.es o el dominio corporativo de la entidad. Si el remitente usa cualquier variante distinta —aunque sea un solo carácter cambiado, como "haciend4.es"— es fraude confirmado.
La segunda señal es la urgencia artificial. Según el INCIBE, cualquier mensaje que te obligue a actuar en minutos o en pocas horas bajo amenaza de consecuencias graves —bloqueo de cuenta, multa, suspensión de servicio— está diseñado para que no tengas tiempo de contrastar la información. Ningún organismo real te presionará de esa forma: si la urgencia te impide pensar, es exactamente la trampa que han preparado para ti.
INCIBE alerta: la solicitud de credenciales bancarias es siempre una estafa
La tercera señal, y la más definitiva según el INCIBE, es la solicitud de credenciales bancarias para gestionar un cobro. Ninguna administración pública, ningún banco y ningún organismo legítimo te pedirá la contraseña de acceso a tu cuenta para "verificar" que puedes recibir una devolución o una ayuda. La INCIBE y la ingeniería social están íntimamente vinculadas: los atacantes explotan la plausibilidad del escenario —cobrar dinero del Estado parece completamente normal— para bajar tus defensas en el momento justo.
La cuarta señal es la invitación a responder directamente al correo. Los sistemas oficiales españoles —Cl@ve, Sede Electrónica, banca online— nunca te pedirán que respondas a un email para identificarte. Si el mensaje te solicita que contestes con tus datos o que hagas clic para "confirmar tu identidad" mediante correo, tienes delante una campaña de phishing activa. El INCIBE recuerda que esta técnica es especialmente frecuente en campañas que suplantan a "Mi Carpeta Ciudadana".
Cómo funciona la ingeniería social detrás de estos ataques
El phishing moderno no es tecnología: es psicología aplicada con tecnología. La ingeniería social que hay detrás de estas campañas analiza datos públicos y filtraciones anteriores para personalizar el ataque. Un correo que incluye tu nombre, tu número de referencia fiscal o el importe exacto de tu última factura no es casualidad: los atacantes combinan bases de datos filtradas con herramientas de IA generativa para construir mensajes que superan cualquier filtro de spam convencional.
El INCIBE ha documentado que en estos ataques sofisticados la web de destino simula una pasarela de pago legítima y, tras introducir las credenciales, aparece una pantalla de "conexión segura con el banco" que en realidad está enviando los datos directamente a los atacantes. En muchos casos el fraude activa en tiempo real una transferencia desde la cuenta de la víctima. El margen de reacción es muy estrecho: si has llegado a ese punto, la primera llamada es al banco, antes incluso de presentar la denuncia.
Qué debes revisar antes de pulsar cualquier enlace
Antes de hacer clic en cualquier enlace que llegue por correo o SMS, el INCIBE recomienda seguir estos cuatro pasos:
- Revisa el dominio del remitente completo, no solo el nombre que aparece visible.
- Desconfía de cualquier urgencia que te impida tomarte 30 segundos para contrastar.
- Comprueba manualmente la URL escribiéndola en el navegador en lugar de pulsar el enlace.
- Recuerda la regla INCIBE: solicitud de datos bancarios más datos personales es siempre fraude.
Cómo protegerse si ya has pulsado el enlace
Si has llegado a introducir tus credenciales en una web fraudulenta, el protocolo oficial del INCIBE empieza por desconectar el dispositivo de internet de inmediato. Esa acción corta cualquier comunicación activa entre tu equipo y el servidor malicioso, impidiendo que el malware, si lo hay, siga enviando información en tiempo real. No borres nada: las capturas de pantalla del mensaje y de la web falsa son pruebas fundamentales para la denuncia.
El siguiente paso es llamar al 017, la línea gratuita y confidencial del INCIBE disponible todos los días del año. Sus operadores guiarán exactamente qué hacer con el banco, cómo presentar la denuncia ante la Policía Nacional o la Guardia Civil y cómo verificar si tus datos ya circulan en la red. El Real Decreto-ley 19/2018 obliga al banco a devolver el importe de operaciones no autorizadas antes del fin del día hábil siguiente: conocer ese derecho marca la diferencia entre perderlo todo o recuperar el control.
El phishing de 2026 solo tiene solución ciudadana
La tecnología defensiva avanza, pero el INCIBE insiste en que ningún antivirus reemplaza el hábito. Las herramientas de inteligencia artificial que usan los atacantes para crear mensajes perfectos son las mismas que usamos para trabajar, y su capacidad de personalización seguirá creciendo. Lo que no cambia es la lógica del engaño: siempre habrá un dominio incorrecto, una urgencia artificial, una petición de credenciales que nadie debería pedir.
Compartir estas cuatro señales con las personas de tu entorno —especialmente con quienes menos relación tienen con la tecnología— es hoy uno de los actos más útiles en materia de ingeniería social y ciberseguridad ciudadana. El INCIBE gestiona decenas de consultas diarias de personas que cayeron en la trampa; la diferencia entre ellas y quien no cae no es la edad ni el nivel técnico: es haber aprendido a leer las señales.
