Logo de Nuverso: agencia de Marketing Digital.
Pide presupuesto

Cuentas trampa: qué son y cómo usarlas

Imagen de Alberto Fernández - Consultor SEO Senior
Alberto Fernández - Consultor SEO Senior

Actualizado el: diciembre 14, 2025

11 min de lectura
Tabla de contenidos

Te llega un SMS de Correos: “Su paquete no ha podido ser entregado. Siga este enlace para reprogramar”. O un email de tu banco con un asunto urgente: “Actividad sospechosa detectada en su cuenta. Verifique su identidad ahora”. Suena familiar, ¿verdad? A mí me llegan varios a la semana. Llevo más de 10 años metido hasta el cuello en el mundo digital y he visto cómo estas tácticas, lejos de desaparecer, se han vuelto cada vez más sofisticadas. Son las famosas cuentas trampa, y su único objetivo es engañarte para robarte.

La verdad es que ya no vale con tener un antivirus. El eslabón más débil, te lo digo claro, somos nosotros. La prisa, un despiste, el miedo a que pase algo… Los ciberdelincuentes juegan con nuestra psicología. Por eso he decidido escribir esta guía. No te voy a soltar un rollo técnico infumable. Te voy a contar, desde mi experiencia, cómo funcionan estas trampas, cómo olerlas a kilómetros y qué hacer si, por desgracia, ya has picado el anzuelo.

Lo que aprenderás en este artículo:

  • Qué es una cuenta trampa (explicado sin rodeos) – Te cuento el mecanismo que usan para que entiendas la psicología detrás del engaño.
  • Los 3 tipos más comunes con ejemplos reales – Email, WhatsApp y redes sociales. Verás casos prácticos para que no te la cuelen nunca más.
  • Mi checklist personal para detectar un fraude – 5 pasos que aplico a diario para identificar un engaño en menos de 30 segundos.
  • Guía de acción paso a paso – Qué hacer exactamente si ya has hecho clic o has dado tus datos. Calma, hay solución.

¿Qué son exactamente las cuentas trampa?

Imagina que estás pescando. Pones un cebo apetitoso en el anzuelo para que el pez pique. Pues una cuenta trampa es exactamente eso: un cebo digital. Es cualquier perfil, correo electrónico, mensaje de texto o página web diseñada para parecer legítima (de un banco, una empresa de paquetería, una red social…) con el único fin de que interactúes con ella y «piques».

Su objetivo final varía, pero casi siempre se reduce a tres cosas:

  1. Robar tus credenciales: Conseguir tu usuario y contraseña del banco, del correo, de Amazon… lo que sea.
  2. Infectar tus dispositivos: Que te descargues un archivo con malware (un virus, vaya) que les dé acceso a tu ordenador o móvil.
  3. Obtener tus datos personales y bancarios: Nombre completo, DNI, número de tarjeta de crédito, etc., para suplantar tu identidad o hacer compras en tu nombre.

Lo que las hace tan peligrosas es que se basan en la ingeniería social. No intentan romper un sistema de seguridad complejo; intentan romper el tuyo, el humano, jugando con la urgencia, el miedo o la curiosidad.

Los tipos de cuentas trampa más comunes que veo a diario

Aunque la técnica de fondo es la misma, el canal cambia. En mi trabajo, auditando la seguridad y la reputación online de empresas, estos son los tres frentes donde veo más ataques. Ojo, porque te afectan tanto a nivel personal como profesional.

El clásico: Phishing por correo electrónico

Es el abuelo de todas las estafas online, pero sigue siendo brutalmente efectivo. Recibes un email que parece ser de una entidad de confianza: Netflix, tu banco, Hacienda, PayPal… El mensaje suele alertar de un problema grave: «Su cuenta será suspendida», «Factura impagada», «Reembolso de impuestos pendiente».

El correo incluye un enlace. Si haces clic, te lleva a una página web que es un clon casi perfecto de la original. Metes tu usuario y tu contraseña y… listo. Ya los tienen. He visto casos de pymes en Madrid que han perdido el control de sus cuentas de correo corporativo por un solo clic de un empleado despistado.

La amenaza móvil: Smishing y WhatsApp

Esto es el phishing, pero por SMS (de ahí «Smishing») o mensajería instantánea. Como usamos el móvil para todo, nos pilla con la guardia más baja. El mensaje de Correos que te comentaba al principio es el ejemplo perfecto. También los de la DGT con una supuesta multa, o tu banco pidiendo que confirmes una operación.

Su poder reside en la inmediatez. Un SMS parece más personal y urgente que un email. Te meten prisa para que no pienses y actúes por impulso.

El engaño en redes sociales

Aquí el campo es enorme. Desde perfiles falsos que se hacen pasar por un amigo en apuros que te pide dinero, hasta sorteos fraudulentos de grandes marcas que te piden registrarte en una web sospechosa para participar. En Instagram y Facebook es muy común ver anuncios de ofertas increíbles (unas zapatillas de marca por 20€) que te llevan a tiendas online falsas que se quedan con tu dinero y tus datos.

Para mis clientes, el mayor riesgo es la suplantación de su marca. Un perfil falso puede estafar a sus seguidores, dañando una reputación que ha costado años construir.

Cómo detectar una cuenta trampa: Mi checklist de 5 puntos

Con los años, he desarrollado un método casi infalible para oler el engaño. Es un checklist mental que hago en segundos antes de interactuar con cualquier comunicación sospechosa. Te lo comparto:

  1. Analiza el remitente con lupa. No te quedes con el nombre que aparece. Mira la dirección de correo o el número de teléfono completo. Un banco NUNCA te escribirá desde un correo que acaba en @gmail.com. En los emails, pasa el ratón por encima del nombre del remitente para ver la dirección real.
  2. Desconfía de la urgencia y el drama. «Acción inmediata requerida», «Última oportunidad», «Su cuenta ha sido bloqueada». Los estafadores crean una sensación de pánico para que no pienses con claridad. Una empresa seria se comunica de forma más profesional y calmada.
  3. Busca errores de ortografía y gramática. Muchos de estos ataques vienen de traducciones automáticas. Frases mal construidas, faltas de tildes o expresiones raras son una bandera roja gigante. Una comunicación oficial de una gran empresa suele estar impecable.
  4. NUNCA hagas clic en el enlace directamente. Pasa el ratón por encima del enlace o del botón (sin hacer clic) y mira la URL que aparece en la esquina inferior de tu navegador. Si la dirección no coincide con el dominio oficial de la empresa (ej: en lugar de bancosantander.es ves algo como banco.santander.login-seguro.com), es una trampa.
  5. Aplica la regla del sentido común. ¿Te están regalando algo increíble? ¿Te piden datos que ya deberían tener? ¿Te contactan por un canal inusual? Si algo te huele raro, es que probablemente lo sea. Ante la duda, borra el mensaje y contacta a la empresa por sus canales oficiales.

Señales de alerta: Cómo diferenciar lo real de lo falso

Para que lo veas todavía más claro, te he preparado una tabla. Es un resumen visual de lo que debes buscar para diferenciar una comunicación legítima de una cuenta trampa.

Característica Señal de Alerta (Cuenta Trampa) Indicador de Legitimidad (Cuenta Real)
Remitente Dirección de email extraña, dominio público (Gmail, Hotmail) o un número de teléfono desconocido. Dirección de correo con el dominio oficial de la empresa (ej: @miempresa.com).
Tono del mensaje Urgente, alarmista, amenazante. Te presiona para que actúes ya. Profesional, informativo y calmado. Te da tiempo para reaccionar.
Personalización Saludo genérico como «Estimado cliente» o «Hola usuario». Usa tu nombre y apellidos. Una comunicación real suele estar personalizada.
Enlaces (URLs) Dominios extraños, acortadores de URL (bit.ly) o subdominios que no encajan. Enlaces que apuntan directamente al dominio principal y seguro (https://) de la empresa.
Solicitud de datos Te pide contraseñas, PIN, número de tarjeta completo o datos sensibles por email/SMS. NUNCA te pedirá información confidencial por un canal no seguro. Te dirigirá a su app o web oficial.

¿Has caído en la trampa? Pasos a seguir

Si estás leyendo esto y te das cuenta de que has picado, lo primero: que no cunda el pánico. Actuar rápido es clave. Sigue estos pasos:

  1. Desconecta el dispositivo de internet. Si crees que has podido descargar malware, quita el Wi-Fi y los datos móviles para cortar la comunicación del atacante con tu equipo.
  2. Cambia tus contraseñas INMEDIATAMENTE. Empieza por la de la cuenta que crees que ha sido comprometida (banco, email, red social) y luego todas las demás donde uses la misma clave. Usa un gestor de contraseñas para crear claves únicas y fuertes.
  3. Contacta con tu banco. Si has introducido datos bancarios, llama a tu entidad AHORA MISMO. Explica lo sucedido. Pueden anular tus tarjetas, bloquear transferencias sospechosas y asesorarte.
  4. Analiza tus dispositivos con un antivirus. Pasa un análisis completo en el ordenador o móvil afectado para detectar y eliminar cualquier software malicioso.
  5. Denuncia. Avisa a las Fuerzas y Cuerpos de Seguridad del Estado. Puedes hacerlo en una comisaría o a través de organismos como el INCIBE (Instituto Nacional de Ciberseguridad). Tu denuncia puede ayudar a que otros no caigan.

Mi consejo final: La prevención es tu mejor defensa

Lo que debes llevarte claro de todo esto es que la mejor herramienta contra las cuentas trampa es una buena dosis de escepticismo saludable. En el mundo digital, la desconfianza es tu mejor aliada. No te fíes por defecto de nadie que te pida algo con urgencia.

Activa siempre la autenticación de dos factores (2FA) en todas tus cuentas importantes (banco, correo, WhatsApp). Es esa capa extra de seguridad (un código que te llega al móvil) que, aunque el ladrón tenga tu contraseña, le impedirá entrar.

Y si gestionas un negocio, forma a tu equipo. Como te decía, un solo clic de un empleado puede comprometer a toda la empresa. La ciberseguridad ya no es cosa de informáticos, es responsabilidad de todos.

Dudas que siempre me preguntan sobre este tema

Para terminar, respondo a algunas de las preguntas que más me hacen mis clientes y seguidores sobre las cuentas trampa. Voy al grano.

¿Cuál es la diferencia entre phishing, smishing y vishing?

Es muy sencillo: es la misma estafa (suplantación de identidad para robar datos) pero por un canal diferente. Phishing es por correo electrónico. Smishing es por SMS. Y Vishing (de «voice phishing») es a través de una llamada telefónica, donde una persona o un robot intenta engañarte de viva voz.

¿Las empresas pueden hacer algo para que no suplanten su identidad?

Sí, aunque es una lucha constante. A nivel técnico, se pueden implementar protocolos de seguridad en el correo electrónico como DMARC, SPF y DKIM, que dificultan que alguien envíe emails en tu nombre. Además, es fundamental monitorizar la web en busca de dominios y perfiles falsos y denunciarlos rápidamente para que los cierren.

Si no he dado datos bancarios, ¿sigo en peligro?

Sí. Ojo con esto. Aunque solo hayas dado tu email y contraseña, esa información es oro. Muchos usamos la misma clave para varios servicios. Con esa pareja de datos, los ciberdelincuentes probarán a entrar en tu Amazon, Netflix, Facebook… hasta que alguno funcione. Por eso es vital usar contraseñas únicas para cada servicio.

¿Puedo recuperar el dinero si me han estafado?

Es complicado, pero no imposible. Depende de la rapidez con la que actúes y de la política de tu banco. Si notificas el fraude de inmediato, hay más posibilidades de que el banco pueda revertir la operación o de que el seguro de la tarjeta cubra el importe. La clave es llamarles en cuanto te des cuenta del engaño.

Imagen de Alberto Fernández
Alberto Fernández

Tabla de contenidos