Los tipos incluyen phishing masivo genérico, spear-phishing dirigido a ejecutivos o roles concretos, whaling contra el C-level y smishing/vishing a través de SMS, mensajería instantánea o llamadas.
Qué es phishing
Phishing es un ataque mediante email o mensaje que finge ser de una entidad legítima para engañar al destinatario y hacerle revelar información sensible o pulsar enlaces maliciosos. El atacante construye mensajes convincentes con logos falsos, remitentes manipulados y urgencia artificial para que la víctima reaccione antes de pensar. Es simple, escalable y devastadoramente efectivo: sigue siendo uno de los vectores iniciales más habituales en las grandes brechas corporativas.
Por qué importa
No hace falta explotar una vulnerabilidad de día cero si puedes engañar a alguien en cinco minutos para que escriba sus credenciales en un sitio falso. Phishing es el ataque con mejor relación coste-beneficio para el adversario: bajo coste, automatizable y efectivo incluso con tasas de clic muy bajas. En una campaña masiva a miles de empleados basta con que un porcentaje marginal muerda el anzuelo y un subconjunto introduzca credenciales para que el atacante obtenga múltiples puertas de entrada a la red corporativa. El CISO puede tener la infraestructura impecable, pero si una sola credencial válida se pierde por phishing, el atacante ya está dentro. El phishing moderno no llega lleno de faltas de ortografía: imita con precisión el estilo real de un proveedor, un ejecutivo o un trámite legítimo.
Puntos clave
Los indicadores técnicos habituales son: remitentes falsificados (spoofing), URLs que no coinciden con el dominio visible, adjuntos inesperados con macros o HTML, y ausencia de personalización real coherente con el contexto.
El pretexto cambia pero se repite: urgencia falsa ('tu cuenta será desactivada'), autoridad ('verificación de seguridad obligatoria'), escasez ('oferta solo hoy'), curiosidad ('informe confidencial adjunto') o confianza ('te reenvío esta factura').
La efectividad depende más de ingeniería social que de la técnica: conocer el nombre del CEO, el banco de la empresa o el proyecto en curso basta para sonar legítimo.
El compromiso de cuentas legítimas (BEC) es una de las variantes más peligrosas: el correo sale de un dominio real, sin alertas anti-spoofing, y suele solicitar transferencias, cambios de IBAN o acceso a documentos.
La defensa requiere capas: filtrado avanzado de email, autenticación multifactor resistente a phishing, DMARC/SPF/DKIM bien configurado y formación continua con simulacros periódicos.
Ejemplo: Phishing sofisticado en una empresa de seguros
Un CISO recibió un correo aparentemente de su corredor de seguros solicitando actualizar información de póliza. El mensaje incluía el logo correcto y un formato muy parecido al de comunicaciones anteriores. El enlace parecía legítimo, pero apuntaba a un clon casi idéntico del portal del proveedor.
En la investigación posterior se vio el patrón clásico: una parte de la plantilla pulsó el enlace, una fracción menor intentó autenticarse en el portal falso y las credenciales capturadas terminaron vendidas a un grupo de ransomware. El impacto no fue solo técnico: semanas de análisis forense, notificaciones regulatorias y erosión reputacional. El correo se envió a toda la organización, pero con que una sola persona cediera ya era suficiente.
Errores habituales
- Asumir que los filtros de email detienen el phishing sofisticado. Los mejores motores fallan ante ataques dirigidos porque los mensajes son genuinamente creíbles; la tecnología sola no basta, hace falta defensa en profundidad.
- No actualizar la formación. Los atacantes adaptan tácticas constantemente: si el simulacro de hace dos años iba de enlaces falsos, hoy va de adjuntos maliciosos, QR-phishing y cuentas legítimas comprometidas. El training tiene que evolucionar con la amenaza.
- Ignorar el phishing interno. Cuando una cuenta legítima se ve comprometida, los correos salen de un dominio real sin banderas de seguridad; conviene establecer verificación independiente para cualquier solicitud inusual de dinero, cambios de cuenta o accesos privilegiados.
- Tratar MFA como inmune al phishing. Los kits modernos de AiTM (adversary-in-the-middle) interceptan token de sesión incluso con MFA activo; apoyarse en factores resistentes a phishing (FIDO2/passkeys) es hoy el estándar defensivo.
- Penalizar al empleado que cae. Si el simulacro se usa para castigar, la siguiente vez nadie reportará. El objetivo es aumentar la tasa de reporte y reducir el tiempo medio hasta la notificación del equipo de seguridad.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre phishing y spear-phishing?
Phishing es masivo y genérico: 'Hola usuario, verifica tu cuenta'. Spear-phishing es dirigido: el atacante investiga y ataca específicamente a ejecutivos o roles con acceso privilegiado, usando nombres reales, contexto de negocios, relaciones profesionales para sonar genuino. Spear-phishing es más sofisticado, menos escala, más alta tasa de éxito.
¿Cómo hacer simulacros de phishing sin invadir la privacidad ni generar pánico?
Diseñando campañas realistas pero seguras: plantillas que imitan phishing real sin malware activo, y exposición inmediata a material educativo para quien cae. Los datos se agregan a nivel de departamento para identificar colectivos de mayor riesgo y reforzar formación, no para señalar personas. El objetivo es medir concienciación y mejorar el tiempo de reporte, no castigar la ignorancia.
¿DMARC y SPF previenen phishing?
Reducen spoofing de dominio pero no lo cierran completamente. Un atacante aún puede comprar un dominio parecido ('amazón.com' en lugar de 'amazon.com') o hackear una cuenta legítima. DMARC/SPF son capas de defensa, no solución única. Combínalas con filtrado de contenido, UEBA para detectar comportamiento anormal post-compromise, y MFA.
¿Por qué los ataques de phishing siguen siendo tan efectivos si todos saben del riesgo?
Porque phishing ataca en la intersección de psicología y tecnología. Crea urgencia artificial que sobrescribe pensamiento racional. Usa autoridad y confianza. Y escala: si envías 100,000 emails, 99% ignora pero 1% (1000 personas) hace clic. Solo necesitas que un pequeño porcentaje tenga éxito. La educación ayuda pero no es bala de plata.