Los ataques de phishing se están convirtiendo en la amenaza digital más común para individuos y empresas en la actualidad. Los ciberdelincuentes utilizan diversas tácticas para engañar a las víctimas y que compartan información confidencial o autoricen transferencias de dinero, lo que puede provocar daños financieros, legales y de reputación.
Este artículo explica todo lo que necesitas saber sobre los ataques de phishing, cómo identificar los diferentes tipos de phishing y cómo prevenir estos ataques antes de que ocurran.
¿Qué es un ataque de phishing?

Un ataque de phishing es un ciberataque que engaña a las personas para que revelen información confidencial, como contraseñas u otros datos personales.
Implica contactar a la víctima potencial a través de la comunicación electrónica y hacerse pasar por otra persona, generalmente una figura de autoridad, un proveedor de confianza o un cliente.
El phishing es una forma de ataque de ingeniería social donde los delincuentes utilizan herramientas psicológicas para manipular a sus víctimas para que realicen acciones que pongan en peligro su seguridad cibernética personal o laboral. Estas son algunas de las acciones que los correos electrónicos de phishing suelen provocar:
- Revelar información personal, incluidas contraseñas, números de seguro social, datos de cuentas bancarias y otros datos confidenciales.
- Hacer clic en enlaces a sitios web maliciosos que imitan a otros auténticos, pero que están diseñados para robar credenciales de inicio de sesión o información personal.
- Descargar archivos adjuntos maliciosos que contienen malware, spyware o ransomware.
- Autorizar transferencias de dinero.
- Compartir tokens o códigos de seguridad para la autenticación de dos factores con el pretexto de verificación de cuenta o actualizaciones de seguridad.
- Proporcionar acceso remoto a atacantes que se hacen pasar por soporte técnico.
Las estafas de phishing son cada vez más sofisticadas, por lo que las personas y las organizaciones deben estar atentas para prevenirlas a través de medidas de seguridad avanzadas y educación continua.
¿Cómo funcionan los ataques de phishing?
Los ataques de phishing explotan la psicología humana y la confianza al intentar obtener información confidencial. Así es como funciona un ataque de phishing:
- Identificación del objetivo: Dependiendo de su estrategia, los delincuentes o bien lanzan una red amplia, dirigiéndose a un gran número de personas, o bien buscan individuos específicos para un ataque personalizado y más insidioso.
- Creación del mensaje: Los atacantes crean un mensaje imitando el estilo y el lenguaje de una entidad de confianza, creando generalmente una sensación de urgencia o miedo para que el receptor reaccione impulsivamente.
- Entrega del mensaje: El mensaje se entrega por correo electrónico, mensaje de texto, llamada telefónica o redes sociales.
- Cebo (Baiting): El mensaje contiene una llamada a la acción que incita a la víctima a hacer clic en un enlace sospechoso o a descargar un archivo adjunto que contiene un virus que elude los sistemas de seguridad para robar datos.
- Recopilación de datos: Una vez que el ciberdelincuente entra en el sistema, roba datos como un evento único o repetidamente.
- Explotación: El atacante utiliza la información robada para realizar otras actividades fraudulentas, como transferencias de dinero, robo de identidad o venta de datos a terceros.
- Cubrir huellas: Los atacantes suelen cubrir sus huellas para que sus ataques pasen desapercibidos. Esto les permite volver a entrar en el sistema sin ser detectados y continuar con sus actividades delictivas.
Tipos de Phishing

Hay muchos tipos de phishing que las personas y las organizaciones deben tener en cuenta:
- Phishing por correo electrónico: Este es el tipo de phishing más común. Normalmente contiene enlaces dañinos o archivos adjuntos sospechosos que eluden las carpetas de correo no deseado y terminan directamente en la bandeja de entrada de la víctima.
- Spear phishing: Este es un ataque más específico dirigido a personas u organizaciones concretas.
- Whaling: Este ataque está dirigido a un individuo de alto rango específico, como un ejecutivo o un alto funcionario, para causar el máximo daño posible.
- Vishing (phishing de voz): Este ataque se realiza a través de una llamada telefónica, donde el atacante pretende ser una entidad de confianza para engañar a su objetivo.
- Smishing (phishing por SMS): Este ataque llega como un mensaje de texto que contiene enlaces o archivos adjuntos sospechosos.
- Pharming: Este ataque redirige a los usuarios de sitios web legítimos a otros fraudulentos mediante la explotación de DNS o la infección de los dispositivos de los usuarios.
- Phishing de clonación: Este ataque clona correos electrónicos entregados previamente para que parezcan reenvíos legítimos o actualizaciones del correo electrónico original; el correo electrónico clonado contiene enlaces o archivos adjuntos maliciosos.
- Compromiso de correo electrónico empresarial (BEC): El atacante se hace pasar por un ejecutivo de la empresa o un empleado para engañar al objetivo y que transfiera dinero o comparta datos.
- Phishing de Angler: Este ataque se dirige a los usuarios de las plataformas de redes sociales haciéndose pasar por cuentas de servicio al cliente que intentan hablar de un producto o servicio.
- Phishing emergente: Este ataque se entrega a través de una ventana emergente en un sitio web que solicita a los visitantes que introduzcan información personal.
Datos sobre el Phishing
Aquí hay algunos datos y estadísticas interesantes sobre el phishing que demuestran su alcance y la gravedad de las consecuencias que conlleva:
- El primer ataque de phishing registrado ocurrió a mediados de la década de 1990 en la red AOL (America Online) a través de algoritmos que generaban números de tarjetas de crédito aleatorios que luego se utilizaban para enviar spam a otros usuarios.
- El número de ataques de phishing aumentó un 220 % durante la pandemia de COVID-19, ya que los delincuentes aprovecharon el aumento de la actividad en línea de los usuarios.
- El phishing representa el 22 % de las violaciones de datos, lo que lo convierte en la forma de ciberdelincuencia más frecuente.
- El phishing se ha convertido en un modelo de negocio gracias a las plataformas de Phishing como servicio (PhaaS) que ofrecen kits de software de phishing por una tarifa.
- Los costes del phishing han aumentado significativamente en los últimos años. De media, un ataque de phishing a una empresa mediana puede costar hasta 1,6 millones de dólares.
- Los avances en la IA han ayudado a los ciberdelincuentes a diseñar ataques de phishing cada vez más sofisticados que son más difíciles de detectar y prevenir.
Tipos de malware utilizados en ataques de phishing
Las estafas de phishing se basan en malware que compromete los sistemas de la empresa para robar datos confidenciales. Estos son los tipos de malware utilizados en los ataques de phishing:
- Los virus se adjuntan a archivos limpios y se propagan por todo el sistema informático, infectando archivos con código malicioso que afecta a la funcionalidad.
- Los troyanos se hacen pasar por software legítimo, pero están diseñados para crear puertas traseras de seguridad para el malware, el robo de datos y las infecciones del sistema.
- El spyware espía la actividad del usuario para recopilar datos, credenciales y realizar robos de identidad.
- El ransomware bloquea y cifra los datos de la víctima hasta que se paga un rescate.
- El adware socava la seguridad con anuncios dañinos que rastrean los datos de navegación y roban datos personales.
- Los rootkits obtienen acceso no detectado al control de nivel administrativo (acceso/privilegios de root) para modificar las funciones del sistema.
- Los registradores de pulsaciones de teclas (Keyloggers) registran las pulsaciones de teclas realizadas por los usuarios para recopilar nombres de usuario, contraseñas y datos de tarjetas de crédito.
- Los bots se controlan de forma remota y se utilizan para realizar ataques de phishing coordinados a gran escala.
- Los gusanos son similares a los virus, pero se propagan de forma independiente sin adjuntarse a un archivo host.
- Los troyanos bancarios están diseñados específicamente para robar información financiera, como datos bancarios e información de tarjetas de crédito.
Cómo prevenir el phishing

Afortunadamente, hay muchas maneras de prevenir el phishing. Estas son algunas de las estrategias que las organizaciones y los individuos deben emplear para minimizar las posibilidades de ataques de phishing:
- Educar a sus empleados para que reconozcan los intentos de phishing antes de que ocurran a través de la formación en concienciación sobre la seguridad.
- Emplear las mejores prácticas de seguridad del correo electrónico, como el filtrado y el cifrado del correo electrónico, para proteger su organización.
- Instalar software antimalware para detectar y bloquear intentos de phishing, virus, troyanos y otras amenazas.
- Actualizar regularmente el software y aplicar parches a los sistemas, navegadores y programas antivirus.
- Verificar toda comunicación que parezca extraña, que requiera una acción inmediata, que solicite información personal o que se refiera a usted de forma genérica.
- Utilizar la autenticación multifactor (MFA) en todas las cuentas y dispositivos para añadir una capa de seguridad adicional, incluso si las credenciales están comprometidas.
- Desconfiar de las solicitudes no solicitadas, como las que piden información personal o transferencias de dinero.
- Comprobar la seguridad del sitio web visitando únicamente aquellos con “https” en la URL. Si no lo tienen, no son seguros y deben evitarse.
- No hacer clic en enlaces o archivos adjuntos sospechosos, y pasar el ratón por encima para asegurarse de que la URL no ha sido secuestrada.
- Emplear una estrategia de copia de seguridad de datos para garantizar una rápida recuperación de desastres en caso de que los datos y los sistemas se vean comprometidos.
- Utilizar una VPN en redes Wi-Fi públicas para cifrar su conexión a Internet y proteger los datos de la interceptación.
- Implementar un plan de respuesta a incidentes que describa los pasos que se deben seguir si usted o su organización son víctimas inesperadamente de un ataque de phishing. Esto asegurará que pueda restaurar las operaciones normales de la empresa lo antes posible.
Asegurando el horizonte digital
Los ataques de phishing plantean importantes retos a las personas y las organizaciones en el panorama digital actual. Son particularmente insidiosos, ya que explotan la psicología humana y las vulnerabilidades tecnológicas para robar datos y dinero. Por lo tanto, es esencial que las organizaciones implementen prácticas de seguridad avanzadas y estén atentas a estos intentos maliciosos.
Pingback: ¿Qué es Ataque APT (Amenaza Persistente Avanzada) y Cómo Detenerlo?