Persona preocupada revisando un enlace sospechoso en su computadora después de ingresar datos personales

Phishing en Ecuador: qué hacer si diste tus datos

Si acabas de darte cuenta de que entraste a un enlace falso, diste tus credenciales bancarias en un sitio que no era el de tu banco, o respondiste un mensaje con información personal que no debías, cada minuto cuenta. Esta guía te dice exactamente qué hacer, en qué orden.

Aviso: La información de este artículo es de carácter informativo y no constituye asesoría legal.

Qué es el phishing y cómo opera

El phishing es una técnica de fraude digital que consiste en engañar a la víctima para que entregue información confidencial —contraseñas, datos bancarios, números de tarjeta, códigos de verificación— mediante la suplantación de identidad de una entidad de confianza.

En Ecuador, las modalidades más frecuentes incluyen:

  • Correos electrónicos falsos de bancos: Mensajes que simulan ser del Banco Pichincha, Produbanco, Banco del Pacífico u otras entidades, con el logo y formato de la institución, que piden «verificar» la cuenta haciendo clic en un enlace que lleva a un sitio falso.
  • SMS con enlaces fraudulentos: Mensajes de texto que aparentan ser del banco o del SRI, alertando sobre un problema con la cuenta o una devolución de impuestos, con un enlace acortado que lleva a una página de captura de datos.
  • Llamadas de «ejecutivos» bancarios: El estafador llama haciéndose pasar por un funcionario del banco, alerta sobre una transacción sospechosa y pide que el cliente «confirme» su clave, token o código OTP. Nunca des esta información por teléfono.
  • Páginas web falsas de instituciones públicas: Sitios que imitan al SRI, IESS, Registro Civil u otras instituciones para capturar datos personales o de acceso.
  • Phishing en redes sociales: Mensajes directos o publicaciones con concursos, sorteos o premios que solicitan hacer clic en un enlace y registrarse con datos personales.
Correo electrónico falso con enlace para verificar una cuenta bancaria

Señales de alerta: cómo identificar un intento de phishing

  • La URL del sitio tiene diferencias sutiles respecto al sitio legítimo (ej. «bancop1chincha.com» en lugar de «pichincha.com»).
  • El correo electrónico remitente usa un dominio genérico (@gmail.com, @hotmail.com) en lugar del dominio oficial de la institución.
  • El mensaje crea urgencia: «Su cuenta será bloqueada en 24 horas si no verifica.» «Tiene un pago pendiente que vence hoy.»
  • Se solicita información que las instituciones legítimas nunca piden por correo o mensaje: claves completas, tokens, números de tarjeta con CVV.
  • El diseño del correo o sitio tiene errores tipográficos, logos con baja resolución o formatos inconsistentes.

Qué hacer en las primeras horas

Si crees que fuiste víctima de phishing, actúa de inmediato. Cada hora que pasa aumenta el riesgo de que los datos comprometidos se usen para transacciones fraudulentas.

Paso 1 — Cambia tus contraseñas. Si diste tu contraseña bancaria, de correo electrónico o de cualquier otra cuenta, cámbiala de inmediato. Usa un dispositivo diferente al que usaste cuando ocurrió el incidente, por si está comprometido. Activa la verificación en dos pasos en todas las cuentas que lo permitan.

Paso 2 — Contacta a tu banco. Si compartiste datos bancarios, llama al número oficial de atención al cliente de tu banco (el que aparece en tu tarjeta física o en el sitio oficial) y reporta el incidente. Solicita el bloqueo preventivo de tu tarjeta o cuenta si es necesario. Revisa los movimientos recientes para identificar transacciones no autorizadas.

Paso 3 — Revisa otras cuentas vinculadas. Si usas la misma contraseña en varias plataformas (correo, redes sociales, otras apps bancarias), cámbialas todas. Los atacantes prueban las credenciales obtenidas en múltiples servicios automáticamente.

Paso 4 — Documenta el incidente. Guarda el correo, SMS o captura del sitio falso. No lo borres: es evidencia. Anota la URL exacta del sitio falso, el número de teléfono si fue por llamada, y la fecha y hora del incidente.

Paso 5 — Reporta el sitio o número falso. Puedes reportar sitios de phishing a Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phishing/) y a la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) en Ecuador.

Persona cambiando contraseñas en su computadora después de un incidente de seguridad

Evidencia y documentación

Si ya ocurrieron transacciones no autorizadas como consecuencia del phishing, esta es la documentación clave para cualquier acción legal o reclamación:

  • El correo, SMS o captura de la página falsa que indujo al engaño.
  • Los estados de cuenta bancarios que muestren las transacciones no autorizadas.
  • El número de reporte o ticket generado por el banco al reportar el incidente.
  • Cualquier comunicación posterior con el banco sobre el caso.
  • Si hubo llamada, cualquier dato del número de teléfono del llamante.
Persona guardando capturas y documentos relacionados con un intento de phishing

Solicitar evaluación

Solicitar evaluación confidencial del caso

Si el phishing derivó en pérdidas económicas y quieres saber si existe una vía legal para tu caso, en RL Abogados evaluamos la situación de forma confidencial.

Otros Post que te pueden interesar

Scroll al inicio