You get an email from your bank saying your account has been suspended. Or from Correos saying there's a parcel waiting. Your heart skips a beat — and that's exactly what the scammer is counting on. Phishing emails are designed to make you panic and click before you think. The good news is that once you know what to look for, most of them are surprisingly easy to spot.
What Is a Phishing Email?
Phishing (pronounced "fishing") is when a criminal sends you an email pretending to be a trusted organisation — your bank, Amazon, PayPal, the Spanish tax office (Agencia Tributaria), Apple, or even a courier company. The goal is always the same: to trick you into handing over your password, card details, or personal information, or to get you to install malicious software on your device.
The name comes from the idea of baiting a hook and waiting for someone to bite. Millions of these messages are sent every day, and they catch a lot of people — not because those people are foolish, but because the emails can look very convincing.
7 Tell-Tale Signs of a Phishing Email
1. The Sender's Address Looks Slightly Wrong
This is the single biggest giveaway. The display name might say "PayPal" or "Santander", but click or tap on it to see the actual email address underneath. You might find something like support@paypa1.com (note the number 1 instead of the letter l), or noreply@santander-secure-alert.net. A real bank or major company will always email you from its own official domain — nothing else.
2. It Creates Urgent Panic
"Your account will be closed in 24 hours." "Suspicious activity detected — act now." "Your parcel will be returned unless you pay a fee today." Urgency is the phisher's favourite weapon. Legitimate companies rarely demand you do something within hours or face dire consequences. When an email makes your pulse race, slow down — that's a deliberate trick.
3. Generic Greetings
Your real bank knows your name. If an email starts with "Dear Customer", "Dear User", or just your email address, be suspicious. Personalised scams do exist, but mass-phishing emails almost always use vague greetings because they're sent to millions of people at once.
4. Dodgy Links That Don't Match
Before you click any link, hover your mouse over it (on a phone, press and hold). The actual web address that pops up is what matters — not the blue underlined text you can see. If the link says "Click here to verify your account" but the address shown is http://verify-account-secure.ru/paypal, do not click it. Real companies use clean, recognisable addresses starting with https:// and their own domain.
5. Attachments You Weren't Expecting
An invoice you didn't request. A "document" that needs your signature. A "delivery receipt" in a .zip file. Unexpected attachments are one of the most common ways malware gets onto computers. If you weren't expecting a file, don't open it — even if the sender appears to be someone you know (their account may itself have been hacked).
6. Poor Spelling and Odd Formatting
Many phishing emails come from non-English-speaking criminals, and the grammar or phrasing can feel slightly off — a word used in an unusual way, a sentence that doesn't quite flow. Logos may be blurry or slightly the wrong colour. Legitimate companies have professional design and proofreading teams; their emails look polished.
7. Requests for Personal or Financial Information
No legitimate bank, government body, or company will ever ask you to confirm your password, full card number, or PIN by email. Full stop. If an email asks for this, it is a scam — no exceptions.
A Quick Comparison: Real Email vs Phishing Email
Feature
Legitimate Email
Phishing Email
Sender address
Matches official domain exactly
Misspelled or unrelated domain
Greeting
Uses your real name
"Dear Customer" or similar
Tone
Calm, informational
Urgent, threatening, alarming
Links
Point to the company's own domain
Redirect to suspicious addresses
Attachments
Expected, clearly described
Unexpected; .zip, .exe, odd file types
Asks for passwords/card details
Never
Almost always
What to Do If You Receive a Suspicious Email
Don't click any links or open attachments.
Don't reply — replying confirms your address is active.
If it claims to be from your bank or a service you use, go directly to their website by typing the address yourself, or call them on a number you find independently.
Mark it as spam/junk in your email programme to help train the filter.
In Spain, you can report phishing to the INCIBE (Instituto Nacional de Ciberseguridad) at incibe.es.
What to Do If You Already Clicked
Don't panic — but do act quickly. If you entered a password, change it immediately on the real website, and change it anywhere else you use the same password. If you entered card details, call your bank straight away to block the card. If you opened an attachment, your device may have malware on it — bring it in and we'll check it over for you.
Staying Safe Day-to-Day
Use a different password for every account — a password manager makes this easy.
Turn on two-factor authentication (2FA) wherever it's offered. Even if a scammer gets your password, they can't log in without the second code.
Keep your operating system and browser up to date — updates patch the security holes phishers exploit.
Trust your instincts. If something feels wrong about an email, it probably is.
If you're worried about the overall health and security of your device, it's also worth knowing the warning signs that your laptop needs attention — sometimes a slow or misbehaving machine is a sign something more serious is going on.
When to Call in a Professional
If you've clicked a link, downloaded a file, or entered details somewhere you shouldn't have, the safest move is to get your device checked by someone who knows what to look for. At Campoverde Repair in Pinar de Campoverde, we've been sorting out exactly these situations for over 30 years — for local residents, expats, and remote clients alike. We'll tell you honestly what we find and what, if anything, needs doing. No scare tactics, no unnecessary work.
FAQ
Can phishing emails look exactly like real ones from my bank?
Yes — modern phishing emails can copy logos, colours, and layouts almost perfectly. That's why you should never rely on how an email looks. Always check the sender's actual email address and go to your bank's website directly rather than clicking links in the email.
I clicked a link but didn't enter any details — am I safe?
Possibly, but not definitely. Simply visiting a malicious website can sometimes install tracking software or malware, depending on your browser and device. Run a reputable malware scanner, and if you're unsure, bring the device in for a check.
How do I report a phishing email in Spain?
You can report it to INCIBE (Instituto Nacional de Ciberseguridad) via incibe.es — they have an online form and a helpline (017). You can also forward suspicious emails to your email provider's abuse address and mark them as spam.
Is two-factor authentication really worth the hassle?
Absolutely. Two-factor authentication (2FA) means that even if a scammer steals your password, they still can't access your account without a second code sent to your phone. It takes seconds to set up and is one of the most effective security steps you can take.
Recibes un correo de tu banco diciéndote que tu cuenta ha sido suspendida. O de Correos avisando de que hay un paquete retenido. El corazón te da un vuelco — y eso es exactamente lo que busca el estafador. Los correos de phishing están diseñados para que entres en pánico y hagas clic antes de pensar. La buena noticia es que, una vez que sabes qué buscar, la mayoría son sorprendentemente fáciles de detectar.
¿Qué es el phishing?
El phishing (del inglés «fishing», pescar) consiste en enviarte un correo electrónico haciéndose pasar por una organización de confianza: tu banco, Amazon, PayPal, la Agencia Tributaria, Apple o una empresa de mensajería. El objetivo es siempre el mismo: engañarte para que facilites tu contraseña, los datos de tu tarjeta o información personal, o para instalar software malicioso en tu dispositivo.
Cada día se envían millones de estos mensajes y atrapan a mucha gente — no porque sean tontas, sino porque los correos pueden resultar muy convincentes.
7 señales de alerta de un correo de phishing
1. La dirección del remitente tiene algo raro
Esta es la pista más clara. El nombre visible puede poner «PayPal» o «Santander», pero haz clic o toca encima para ver la dirección de correo real. Puedes encontrar algo como support@paypa1.com (con un «1» en lugar de una «l»), o noreply@santander-secure-alert.net. Un banco o empresa de verdad siempre escribe desde su dominio oficial — nada más.
2. Genera urgencia y alarma
«Tu cuenta se cerrará en 24 horas.» «Hemos detectado actividad sospechosa — actúa ahora.» «Tu paquete será devuelto si no pagas hoy.» La urgencia es el arma favorita del estafador. Las empresas legítimas rara vez te exigen actuar en pocas horas bajo amenaza de consecuencias graves. Cuando un correo te acelera el pulso, frena — es un truco deliberado.
3. Saludos genéricos
Tu banco de verdad sabe tu nombre. Si un correo empieza con «Estimado cliente», «Estimado usuario» o directamente con tu dirección de correo, desconfía. Los correos de phishing masivo usan saludos vagos porque se envían a millones de personas a la vez.
4. Enlaces sospechosos que no coinciden
Antes de hacer clic en cualquier enlace, pasa el ratón por encima (en el móvil, mantén pulsado). La dirección web que aparece es lo que importa — no el texto azul subrayado que ves. Si el enlace dice «Haz clic aquí para verificar tu cuenta» pero la dirección que se muestra es http://verify-account-secure.ru/paypal, no hagas clic. Las empresas reales usan direcciones limpias y reconocibles que empiezan por https:// y su propio dominio.
5. Archivos adjuntos que no esperabas
Una factura que no pediste. Un «documento» que necesita tu firma. Un «justificante de envío» en un archivo .zip. Los adjuntos inesperados son una de las formas más habituales de que el malware llegue a tu ordenador. Si no esperabas ningún archivo, no lo abras — aunque el remitente parezca alguien conocido (su cuenta puede haber sido hackeada).
6. Errores ortográficos y formato extraño
Muchos correos de phishing proceden de delincuentes que no dominan bien el idioma, y el texto puede sonar un poco forzado — una palabra fuera de lugar, una frase que no fluye bien. Los logotipos pueden aparecer borrosos o con colores ligeramente distintos a los originales. Las empresas reales cuidan mucho el diseño y la redacción de sus comunicaciones.
7. Te piden datos personales o bancarios
Ningún banco, organismo público ni empresa legítima te pedirá jamás que confirmes tu contraseña, el número completo de tu tarjeta o tu PIN por correo electrónico. Sin excepciones. Si un correo te pide esto, es una estafa — punto.
Comparativa rápida: correo real frente a phishing
Característica
Correo legítimo
Correo de phishing
Dirección del remitente
Coincide exactamente con el dominio oficial
Dominio mal escrito o desconocido
Saludo
Usa tu nombre real
«Estimado cliente» o similar
Tono
Tranquilo e informativo
Urgente, amenazante, alarmista
Enlaces
Apuntan al dominio propio de la empresa
Redirigen a direcciones sospechosas
Archivos adjuntos
Esperados y bien descritos
Inesperados; .zip, .exe, tipos raros
Pide contraseña o datos de tarjeta
Nunca
Casi siempre
Qué hacer si recibes un correo sospechoso
No hagas clic en ningún enlace ni abras archivos adjuntos.
No respondas — responder confirma que tu dirección está activa.
Si dice ser de tu banco o de un servicio que usas, entra directamente en su página web escribiendo tú mismo la dirección, o llama a un número que encuentres por tu cuenta.
Márcalo como correo no deseado (spam) en tu programa de correo para ayudar a entrenar el filtro.
En España puedes denunciar el phishing al INCIBE (Instituto Nacional de Ciberseguridad) en incibe.es, o llamando al 017.
Qué hacer si ya hiciste clic
No entres en pánico — pero actúa con rapidez. Si introdujiste una contraseña, cámbiala de inmediato en el sitio web real, y también en cualquier otro lugar donde uses la misma. Si diste datos de tu tarjeta, llama a tu banco enseguida para bloquearla. Si abriste un archivo adjunto, es posible que tu dispositivo tenga malware — tráelo y lo revisamos.
Consejos para el día a día
Usa una contraseña diferente para cada cuenta — un gestor de contraseñas lo hace fácil.
Activa la verificación en dos pasos (2FA) donde sea posible. Aunque un estafador robe tu contraseña, no podrá entrar sin el segundo código.
Mantén tu sistema operativo y navegador actualizados — las actualizaciones corrigen los agujeros de seguridad que aprovechan los phishers.
Fíate de tu instinto. Si algo en un correo te parece raro, probablemente lo es.
Si te preocupa el estado general de tu equipo, también conviene conocer las señales de aviso de que tu portátil necesita revisión — a veces un ordenador lento o que se comporta de forma extraña es síntoma de algo más serio.
Cuándo llamar a un profesional
Si has hecho clic en un enlace, descargado un archivo o introducido datos en algún sitio que no debías, lo más sensato es que alguien con experiencia revise tu dispositivo. En Campoverde Repair, en Pinar de Campoverde, llevamos más de 30 años resolviendo exactamente estas situaciones — para vecinos de la zona, expats y clientes en remoto. Te diremos con honestidad lo que encontramos y lo que hay que hacer, si es que hay algo. Sin alarmar innecesariamente y sin trabajo de más.
Preguntas frecuentes
¿Pueden los correos de phishing parecerse exactamente a los de mi banco?
Sí — los correos de phishing modernos pueden copiar logotipos, colores y diseños casi a la perfección. Por eso no debes fiarte solo del aspecto. Comprueba siempre la dirección de correo real del remitente y accede a la web de tu banco escribiendo tú mismo la dirección, sin hacer clic en ningún enlace del correo.
Hice clic en un enlace pero no introduje ningún dato — ¿estoy a salvo?
Es posible, pero no seguro. Según el navegador y el dispositivo, simplemente visitar una web maliciosa puede instalar software de seguimiento o malware. Ejecuta un buen antivirus o antimalware y, si no estás seguro, trae el equipo para que lo revisemos.
¿Cómo denuncio un correo de phishing en España?
Puedes denunciarlo al INCIBE (Instituto Nacional de Ciberseguridad) a través de incibe.es o llamando al 017, que es su línea de ayuda gratuita en ciberseguridad. También puedes reenviar el correo sospechoso al servicio de abusos de tu proveedor de correo y marcarlo como spam.
¿Merece la pena activar la verificación en dos pasos (2FA)?
Sin duda. La verificación en dos pasos significa que, aunque un estafador consiga tu contraseña, no podrá acceder a tu cuenta sin el segundo código que llega a tu móvil. Configurarla lleva solo unos minutos y es una de las medidas de seguridad más eficaces que existen.
Computer trouble on the Costa Blanca?
30+ years of repair experience — on-site within 30 km and remote worldwide. Tell me what's wrong and I'll sort it.
