Los tipos incluyen phishing masivo genérico, spear-phishing dirigido a ejecutivos específicos, whaling dirigido a C-level, y smishing via SMS o servicios de mensajería.
Qué es phishing
Phishing es un ataque mediante email o mensaje que finge ser de una entidad legítima para engañar a usuarios a revelar información sensible o hacer clic en enlaces maliciosos. El atacante crea emails convincentes con logos falsos, direcciones de remitente manipuladas, y urgencia artificial para que clicks rápido sin pensar. Es simple, escalable y devastadoramente efectivo: el vector inicial en más del 80% de brechas corporativas que Hard2bit ha investigado.
Por qué importa
No necesitas explotar una vulnerabilidad de día-cero si puedes engañar a alguien en 5 minutos para que entre sus credenciales en un sitio falso. Phishing es el ataque de mayor ROI para atacantes: bajo coste, fácil de automatizar, altamente efectivo. Una campaña de phishing masivo enviada a 10,000 empleados: si solo 0.5% hace clic (50 personas) y 20% de quienes hacen clic dan credenciales válidas (10 personas), tienes 10 puertas de entrada a la red corporativa. El CISO puede tener infraestructura perfecta, pero si una sola credencial de empleado se compromete via phishing, ganó el atacante. Hard2bit ve phishing sofisticado ahora: no emails con faltas de ortografía, sino emails que parecen genuinamente de tu proveedor o ejecutivo porque copian exactamente su estilo.
Puntos clave
Los indicadores técnicos son: direcciones de remitente falsificadas (spoofing), URLs que no coinciden con el dominio visible, archivos adjuntos sospechosos, y falta de personalizacion real.
El pretexto varía: urgencia falsa ('tu cuenta será desactivada'), autoridad ('se requiere verificación de seguridad'), escasez ('oferta solo hoy'), o curiosidad ('informe confidencial adjunto').
La efectividad depende de ingeniería social más que técnica: conocer el nombre del CEO, el nombre del banco de la empresa, el nombre del proyecto actual para sonar legítimo.
La defensa requiere capas: filtrado de email, autenticación multifactor, DMARC/SPF/DKIM, y entrenamiento de usuarios con testing periódico.
Ejemplo: Phishing sofisticado en una empresa de seguros
Un CISO recibió email aparentemente de su proveedor de seguros pidiendo actualizar información de póliza. El email incluía logo correcto, formato similar a otros emails del proveedor que había recibido. El link parecía legítimo pero apuntaba a un sitio falso casi idéntico. Hard2bit audité después del incidente: 47 empleados hicieron clic. De estos, 12 intentaron logearse en el sitio falso. El atacante capturó las credenciales y las vendió a un grupo de ransomware. El impacto: 30 días de investigación forense, notificación de breaches, perdidas reputacionales. El email fue enviado a 5000 empleados, pero uno solo fue suficiente.
Errores habituales
- Asumir que los filtros de email detienen phishing sofisticado. Los mejores filtros fallan contra ataques dirigidos porque parecen genuinos. No es suficiente tecnología, necesitas defensa en profundidad.
- No actualizar training de phishing. Los atacantes adaptan tácticas constantemente. Si hace 2 años training fue sobre fake links, ahora es sobre attachment maliciosos o compromiso de email legítimo. Training debe evolucionar.
- Ignorar phishing interno. Cuando un email legítimo es comprometido (un exec's email es hackeado), ese email viene de un dominio real, sin banderas de seguridad. Hard2bit recomienda verificación independiente para solicitudes inusual de dinero o acceso.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre phishing y spear-phishing?
Phishing es masivo y genérico: 'Hola usuario, verifica tu cuenta'. Spear-phishing es dirigido: el atacante investiga y ataca específicamente a ejecutivos o roles con acceso privilegiado, usando nombres reales, contexto de negocios, relaciones profesionales para sonar genuino. Spear-phishing es más sofisticado, menos escala, más alta tasa de éxito.
¿Cómo hacemos testing de phishing sin violar privacidad o generar pánico?
Hard2bit diseña tests realistas pero seguros. Creamos campañas que imitan phishing real sin malware. Si alguien cae, no los penalizamos. Los exponemos a material educativo inmediato. Los datos se usan para identificar departamentos de alto riesgo e intensificar training. Los tests deben medir consciencia, no castigar ignorancia.
¿DMARC y SPF previenen phishing?
Reducen spoofing de dominio pero no lo cierran completamente. Un atacante aún puede comprar un dominio parecido ('amazón.com' en lugar de 'amazon.com') o hackear una cuenta legítima. DMARC/SPF son capas de defensa, no solución única. Combínalas con filtrado de contenido, UEBA para detectar comportamiento anormal post-compromise, y MFA.
¿Por qué los ataques de phishing siguen siendo tan efectivos si todos saben del riesgo?
Porque phishing ataca en la intersección de psicología y tecnología. Crea urgencia artificial que sobrescribe pensamiento racional. Usa autoridad y confianza. Y escala: si envías 100,000 emails, 99% ignora pero 1% (1000 personas) hace clic. Solo necesitas que un pequeño porcentaje tenga éxito. La educación ayuda pero no es bala de plata.