Phishing la herramienta más eficaz en el arsenal de los ciberdelincuentes. A pesar de décadas de campañas de concienciación sobre seguridad y miles de millones gastados en filtrado de correo electrónico, los atacantes siguen recopilando credenciales, desplegando malwarey vaciando cuentas corporativas mediante mensajes fraudulentos. Según el informe IBM Cost of Data Breach Report 2025, phishing el 16 % de todas las violaciones de datos confirmadas, con un coste medio de 4,8 millones de dólares por incidente. Con 3400 millones phishing enviados diariamente, comprender cómo funcionan estos ataques es esencial tanto para los profesionales de la seguridad como para los usuarios empresariales.
Esta guía cubre todo lo que necesita saber sobre phishing: los diferentes tipos de ataques, cómo detectarlos y qué hacer cuando falla la prevención.
Phishing un tipo de ataque de ingeniería social en el que los ciberdelincuentes envían comunicaciones fraudulentas que parecen provenir de una fuente confiable, diseñadas para engañar a los destinatarios y que revelen información confidencial, hagan clic en enlaces maliciosos o instalen software dañino. El término combina «fishing» (pescar), por las víctimas, con «phreaking», la antigua subcultura de piratería telefónica que inspiró muchas técnicas de ataque digital.
A diferencia de los exploits puramente técnicos que se centran en las vulnerabilidades del software, phishing la psicología humana. Los atacantes crean mensajes que provocan respuestas emocionales como urgencia, miedo o curiosidad para evitar la toma de decisiones racionales. Esto hace que phishing sea phishing efectivo, sin importar las defensas técnicas de una organización.
MITRE ATT&CK clasifica phishing técnica T1566 en Acceso inicial, con sub-técnicas que abarcan archivos adjuntos (T1566.001), enlaces (T1566.002), servicios (T1566.003) y phishing de voz phishing T1566.004). Comprender dónde phishing dentro de la cadena de ataque cibernético ayuda a los defensores a crear protecciones por capas.
La magnitud del phishing su impacto en los negocios exigen la atención de los equipos de seguridad. Tenga en cuenta estas estadísticas:
Phishing del spam en un aspecto fundamental. El spam es correo electrónico masivo no solicitado que puede resultar molesto, pero que por lo general no es malicioso. Phishing deliberadamente engañoso y está diseñado para robar credenciales, información financiera o acceso a sistemas. Todo phishing correo electrónico no deseado, pero no todo el correo electrónico no deseado es phishing.
Comprender el ciclo de vida phishing ayuda a las organizaciones a crear defensas eficaces. Los atacantes siguen un proceso coherente independientemente de la técnica específica que utilicen.
1. Investigación y reconocimiento
Los atacantes recopilan información sobre sus objetivos. En el caso de las campañas masivas, esta información puede ser mínima. Para phishing spear phishing dirigido, los atacantes recopilan información de perfiles de LinkedIn, sitios web corporativos y redes sociales para comprender las jerarquías organizativas, los estilos de comunicación y las actividades comerciales actuales.
2. Fabricación del señuelo
Utilizando la información recopilada, los atacantes crean mensajes convincentes. Registran dominios similares (como «micros0ft.com» con un cero), clonan plantillas de correo electrónico legítimas y redactan textos que imitan las comunicaciones comerciales auténticas.
3. Entrega
El mensaje malicioso llega al destinatario a través del correo electrónico, SMS, llamadas telefónicas, redes sociales u otros canales. phishing moderno phishing utilizar varios canales simultáneamente para aumentar su credibilidad.
4. Explotación
La víctima realiza la acción prevista: hacer clic en un enlace, abrir un archivo adjunto, proporcionar credenciales o transferir fondos. Las páginas de recolección de credenciales capturan nombres de usuario y contraseñas, mientras que los archivos adjuntos maliciosos pueden instalar puertas traseras o ransomware.
5. Exfiltración y persistencia de datos
Los atacantes utilizan las credenciales recopiladas para acceder a los sistemas, lo que a menudo conduce a la apropiación de cuentas. Pueden establecer mecanismos de persistencia, extraer datos o lanzar ataques posteriores contra otros objetivos.
Phishing porque aprovecha aspectos fundamentales de la psicología humana. Los profesionales de la seguridad deben comprender estos principios para crear programas de formación eficaces.
La autoridad impulsa el cumplimiento. Los mensajes que parecen provenir de ejecutivos, departamentos de TI o proveedores de confianza transmiten una credibilidad implícita. Cuando el «director general» solicita una transferencia bancaria urgente, los empleados dudan en cuestionarla.
La urgencia y la escasez prevalecen sobre el análisis cuidadoso. Frases como «tu cuenta será suspendida en 24 horas» u «oferta por tiempo limitado» empujan a los destinatarios a actuar de inmediato sin verificar.
El miedo motiva la respuesta. Las amenazas de cierre de cuentas, acciones legales o violaciones de seguridad crean ansiedad que nubla el juicio.
La prueba social genera confianza. Las reseñas falsas, los testimonios y las referencias a colegas hacen que las solicitudes fraudulentas parezcan legítimas.
Según una investigación de Push Security, la gran mayoría de phishing utilizan ahora técnicas de proxy inverso para eludir la autenticación multifactorial (MFA) en tiempo real. Este enfoque de «adversario en el medio» captura las cookies de sesión cuando las víctimas introducen sus credenciales, lo que permite a los atacantes secuestrar sesiones autenticadas incluso cuando la autenticación multifactorial está habilitada.
Phishing evolucionado mucho más allá de las simples estafas por correo electrónico. Los atacantes modernos utilizan múltiples canales y técnicas, y uno de cada tres phishing se realiza ahora fuera del correo electrónico. Comprender cada tipo ayuda a las organizaciones a crear las defensas adecuadas.
Tabla: Comparación de tipos phishing
Los correos electrónicos distribuidos masivamente se hacen pasar por entidades de confianza, como bancos, servicios populares o empresas de reparto. Estas campañas priorizan el volumen sobre la sofisticación, enviando millones de mensajes con contenido genérico. Aunque las tasas de éxito son bajas, la escala hace que incluso una conversión mínima resulte rentable para los atacantes.
Los ataques dirigidos se centran en personas u organizaciones específicas. Los atacantes investigan a sus objetivos y elaboran mensajes personalizados haciendo referencia a proyectos reales, compañeros de trabajo o actividades recientes. Esta personalización aumenta drásticamente las tasas de éxito en comparación con phishing masivo.
La diferencia entre phishing phishing spear phishing la personalización. phishing estándar phishing una amplia red con mensajes genéricos. phishing spear phishing información específica sobre el objetivo para crear comunicaciones creíbles y contextuales.
Los ataques dirigidos a ejecutivos persiguen resultados de gran valor. Las campañas de whaling suelen implicar sofisticados escenarios de compromiso del correo electrónico empresarial en los que se solicitan transferencias bancarias o datos confidenciales. Según un estudio de LevelBlue, la solicitud media de transferencia bancaria en el BEC alcanzó los 24 586 dólares en 2025.
Los ataques BEC suplantan la identidad de ejecutivos internos o proveedores externos para solicitar transferencias bancarias fraudulentas o acceso a datos. Los atacantes pueden comprometer cuentas legítimas o utilizar dominios falsificados convincentes. Los ataques BEC aumentaron un 15 % en 2025, con pérdidas que alcanzaron los 2770 millones de dólares, según el informe IC3 2024 del FBI.
El smishing consiste en enviar phishing mensajes de texto. Las estafas relacionadas con la entrega de paquetes, las alertas bancarias y las solicitudes de códigos de verificación son señuelos habituales. El smishing aumentó un 328 % en 2024, ya que los atacantes se aprovecharon de la confianza inherente que los usuarios depositan en las comunicaciones móviles.
El smishing se diferencia del phishing por correo electrónico phishing en el canal de entrega. Los mensajes SMS tienen tasas de apertura más altas y los usuarios están menos acostumbrados a examinar los mensajes de texto en busca de fraudes. El espacio limitado de visualización en los dispositivos móviles también dificulta la verificación de la información del remitente.
phishing por voz phishing llamadas telefónicas en las que los atacantes se hacen pasar por personal de asistencia técnica, representantes bancarios o funcionarios gubernamentales. La suplantación de identidad del identificador de llamadas hace que las llamadas parezcan provenir de números legítimos. Los ataques de vishing aumentaron un 442 % entre principios y finales de 2024, ya que los atacantes combinaron las llamadas telefónicas con la recopilación sincronizada de credenciales a través de Internet.
En ciberseguridad, el vishing se refiere específicamente a los ataques de ingeniería social basados en la voz diseñados para obtener credenciales, información financiera o acceso al sistema. Campañas recientes como la operación de vishing ShinyHunters han tenido como objetivo a más de 100 organizaciones, suplantando al personal de TI y dirigiendo a las víctimas a sitios web destinados a recopilar credenciales.
phishing por clonación phishing correos electrónicos legítimos que el destinatario ha recibido anteriormente, sustituyendo los enlaces o archivos adjuntos por versiones maliciosas. El formato familiar y la referencia a interacciones anteriores hacen que estos ataques sean difíciles de detectar.
Los ataques a través de las redes sociales se dirigen a los usuarios que se quejan de las empresas en Internet. Los atacantes crean cuentas falsas de atención al cliente y responden a las quejas con phishing camuflados como recursos de asistencia.
Los códigos QR maliciosos dirigen a las víctimas a phishing . El quishing aumentó un 25 % interanual, ya que los atacantes colocaron códigos QR maliciosos en parquímetros, menús de restaurantes, facturas falsas y archivos adjuntos de correo electrónico. En enero de 2026, el FBI emitió un aviso sobre los hackers norcoreanos Kimsuky que utilizaban códigos QR para suplantar la identidad de empleados del Gobierno de EE. UU. y de think tanks.
Los ataques de pharming utilizan el envenenamiento de DNS o redireccionamientos maliciosos para enviar a las víctimas a sitios fraudulentos, incluso cuando introducen direcciones URL correctas. A diferencia de otros phishing , el pharming no requiere que la víctima haga clic en un enlace malicioso. Las víctimas navegan a lo que creen que es un sitio legítimo e, inconscientemente, introducen sus credenciales en una página controlada por el atacante.
La diferencia entre pharming y phishing el vector de ataque. Phishing en engañar a los usuarios para que hagan clic en enlaces maliciosos. El pharming manipula la infraestructura que traduce los nombres de dominio a direcciones IP, redirigiendo a los usuarios automáticamente.
El análisis de ataques reales ilustra el impacto real del phishing ofrece lecciones para los defensores.
Change Healthcare (2024): un ataque de recolección de credenciales provocó una de las mayores filtraciones de datos sanitarios de la historia. El grupo de ransomware ALPHV/BlackCat obtuvo acceso mediante credenciales phishing, lo que acabó afectando a más de 100 millones de usuarios. El incidente demostró cómo el compromiso de una sola credencial puede tener un impacto catastrófico en una organización.
Pepco Group (2024): La empresa minorista europea perdió 15,5 millones de euros debido a un phishing dirigido a su sucursal húngara. Los atacantes utilizaron técnicas avanzadas de ingeniería social para eludir los procedimientos de verificación, lo que pone de relieve la necesidad de contar con la aprobación de varias personas en las transferencias financieras.
Campaña de vishing ShinyHunters (2026): phishing de voz se dirigieron a más de 100 organizaciones, entre ellas Panera Bread, SoundCloud y Match . Los atacantes se hicieron pasar por personal de TI, dirigieron a las víctimas a sitios web de recopilación de credenciales con el formato de dominios company-sso.com y capturaron códigos MFA en tiempo real.
Las organizaciones de servicios financieros reciben el 18,3 % de todos phishing , seguidas por los proveedores de SaaS y correo web, con un 18,2 %, y el comercio electrónico, con un 14,8 %. Las organizaciones sanitarias se enfrentan a un riesgo especialmente elevado, con phishing básica phishing del 41,9 % y los costes medios por infracción más elevados, que ascienden a 7,42 millones de dólares, según un estudio de IBM.
Los equipos de seguridad deben asegurarse de que los empleados puedan reconocer estos patrones de ataque frecuentes:
Desarrollar habilidades phishing en toda su organización reduce significativamente el riesgo. Según una investigación de Hoxhunt, la formación continua mejora el éxito de la notificación de amenazas del 34 % al 74-80 % con el tiempo.
Esté atento a estos siete phishing comunes phishing :
SMS (smishing): Ten cuidado con las URL acortadas que ocultan el verdadero destino, los mensajes de números desconocidos que afirman ser entidades conocidas y las solicitudes para devolver llamadas a números que no figuran en los sitios web oficiales.
Teléfono (vishing): Esté alerta ante presiones para actuar de inmediato, solicitudes de acceso remoto al ordenador, identificadores de llamadas que muestran números de confianza con voces desconocidas y solicitudes para verificar información que la persona que llama ya debería tener.
Redes sociales: Verifique las cuentas a través de canales oficiales antes de ponerse en contacto con el servicio de atención al cliente, evite hacer clic en enlaces de mensajes directos y desconfíe de las ofertas de asistencia no solicitadas tras quejas públicas.
Códigos QR: siempre que sea posible, compruebe la URL antes de continuar, tenga cuidado con los códigos QR que se encuentran en lugares inesperados y evite escanear códigos que parezcan manipulados o colocados sobre códigos originales.
phishing eficaz phishing requiere defensas por capas que combinen controles técnicos, formación en materia de seguridad y procesos organizativos.
La seguridad de la pasarela de correo electrónico filtra los mensajes maliciosos antes de que lleguen a las bandejas de entrada. Las soluciones modernas utilizan el aprendizaje automático para detectar amenazas previamente desconocidas más allá de la simple comparación de firmas.
Los protocolos de autenticación de correo electrónico verifican la identidad del remitente. SPF valida que los servidores de envío estén autorizados por el propietario del dominio. DKIM firma criptográficamente los mensajes para detectar manipulaciones. DMARC vincula SPF y DKIM y especifica cómo deben gestionar los servidores receptores los fallos. Tal y como recomienda la guía de la CISA, las organizaciones deben pasar de p=none (supervisión) a p=reject (aplicación) en DMARC. La guía de autenticación de correo electrónico de Cloudflare proporciona instrucciones detalladas para su implementación.
ResistentePhishing MFA utiliza FIDO2 o claves de acceso en lugar de códigos SMS o TOTP, que los atacantes pueden capturar mediante técnicas de intermediario malicioso. La autenticación multifactorial tradicional ofrece cierta protección, pero phishing modernos la eluden habitualmente.
El filtrado de URL y el aislamiento analizan los enlaces y los archivos adjuntos en entornos aislados antes de su entrega.
Las soluciones de detección y respuesta en los puntos finales detectan malware a través de phishing exitosos.
La detección y respuesta de red identifica la actividad posterior al compromiso, incluidas las comunicaciones de comando y control y la exfiltración de datos.
Detección y respuesta ante amenazas a la identidad supervisa los patrones de autenticación sospechosos y el uso indebido de credenciales.
Adoptar un zero trust reduce el impacto del phishing exitoso phishing limitar a qué pueden acceder las credenciales comprometidas.
La formación sigue siendo la phishing más rentable phishing . Según el informe KnowBe4 2025 Phishing Industry Benchmarking Report, las organizaciones reducen phishing de un 33,1 % inicial a solo un 4,1 % tras 12 meses de formación regular con simulaciones, lo que supone una mejora del 86 %.
Los programas de formación eficaces incluyen:
Las organizaciones sanitarias requieren una atención especial, dada su tasa de susceptibilidad de referencia del 41,9 %, la más alta de todos los sectores analizados.
Los controles técnicos y la formación deben estar respaldados por procesos claros:
Una respuesta rápida ante incidentes limita los daños cuando falla la prevención. Saber qué hacer si has hecho clic en un phishing puede marcar la diferencia entre un incidente menor y una infracción grave.
1. Desconéctese de la red si sospecha que malware . Esto limita la capacidad del atacante para moverse lateralmente o filtrar datos.
2. Cambie las contraseñas inmediatamente desde un dispositivo que sepa que está limpio, comenzando por la cuenta comprometida y cualquier otra cuenta que utilice las mismas credenciales o unas similares.
3. Informe al equipo de TI/seguridad con todos los detalles de lo ocurrido, incluyendo el contenido del mensaje, los enlaces en los que se ha hecho clic y la información proporcionada.
4. Habilite la autenticación multifactorial (MFA) en todas las cuentas si aún no está configurada.
5. Documente todo, incluyendo marcas de tiempo, capturas de pantalla y medidas tomadas.
Los equipos de seguridad deben iniciar procedimientos de respuesta estructurados:
La FTC ofrece orientación al consumidor sobre las medidas que deben tomar las personas tras phishing .
Tras contener la amenaza inmediata:
Phishing evolucionado drásticamente desde sus orígenes a mediados de la década de 1990, cuando los atacantes se dirigían a los usuarios de AOL con mensajes falsos en sus cuentas. Según la historia del phishing de Cofense, los primeros phishing documentados aparecieron alrededor de 1994.
Los hitos clave incluyen:
Los atacantes están aprovechando cada vez más la inteligencia artificial para crear phishing más convincentes y personalizados a gran escala. Para profundizar en estas amenazas emergentes, consulte phishing impulsados por IA.
Vectra AI desde una filosofía de «suponer el compromiso». Los atacantes inteligentes lograrán entrar a pesar de los mejores esfuerzos de prevención. La clave es encontrarlos rápidamente.
En lugar de basarse únicamente en bloquear phishing en la puerta de enlace, Vectra AI en detectar el comportamientophishing . Cuando se recopilan las credenciales, los atacantes deben utilizarlas. Cuando malware instala malware , este debe comunicarse. Estas actividades generan señales que la detección de comportamiento puede identificar.
Attack Signal Intelligence el comportamiento en la red, la identidad, cloud y los puntos finales para detectar amenazas reales mediante la detección avanzada de amenazas. Este enfoque da prioridad a las señales sobre el ruido, lo que ayuda a los equipos de seguridad a centrarse en los ataques activos en lugar de ahogarse en alertas.
Las capacidades de detección y respuesta de red identifican las comunicaciones de comando y control, los movimientos laterales y la exfiltración de datos que siguen a phishing exitoso. En combinación con la detección centrada en la identidad, las organizaciones obtienen visibilidad de toda la cadena de ataque, independientemente del punto de entrada inicial.
Phishing un tipo de ciberataque en el que los delincuentes envían mensajes fraudulentos diseñados para engañarle y que revele información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Estos mensajes suelen parecer proceder de fuentes fiables, como su banco, su empresa o servicios online populares. El objetivo es aprovecharse de la confianza humana más que de vulnerabilidades técnicas. Los atacantes pueden querer robar dinero directamente, recopilar credenciales para acceder a cuentas o instalar malware futuros ataques.
Los tipos más comunes incluyen phishing por correo electrónico phishing ataques distribuidos masivamente), phishing spear phishing dirigido a personas específicas), el whaling (dirigido a ejecutivos), el compromiso del correo electrónico empresarial (suplantación de identidad de personal interno o proveedores), el smishing (basado en SMS) y el vishing (llamadas de voz). Las técnicas más recientes incluyen el quishing (basado en códigos QR) y phishing angler phishing basado en redes sociales). Cada tipo explota diferentes canales y relaciones de confianza, pero todos se basan en la ingeniería social para manipular a las víctimas y que realicen acciones perjudiciales.
Busque varias señales de alerta: lenguaje urgente o amenazante que exija una acción inmediata, saludos genéricos cuando el remitente debería saber su nombre, direcciones de remitente que no coinciden con la organización que se indica, errores ortográficos y gramaticales inusuales en comunicaciones profesionales, enlaces que muestran destinos diferentes cuando se pasa el cursor por encima, archivos adjuntos inesperados y solicitudes de información confidencial. En caso de duda, póngase en contacto con el supuesto remitente a través de un canal legítimo conocido, en lugar de responder o hacer clic en los enlaces.
Desconéctese inmediatamente de la red si sospecha malware instalado malware . Cambie sus contraseñas desde un dispositivo que sepa que está limpio, empezando por la cuenta comprometida y cualquier otra cuenta que utilice las mismas credenciales. Habilite la autenticación multifactorial en todas las cuentas. Informe del incidente a su equipo de TI o de seguridad con todos los detalles de lo ocurrido. Supervise sus cuentas en busca de actividades sospechosas y considere la posibilidad de activar alertas de fraude en las agencias de crédito si la información financiera puede haber sido comprometida.
Una prevención eficaz combina controles técnicos con factores humanos. Implemente protocolos de filtrado y autenticación de correo electrónico (SPF, DKIM, DMARC). Implemente la autenticación multifactorial (MFA) phishing utilizando FIDO2 o claves de acceso en lugar de códigos SMS. Realice regularmente cursos de formación sobre seguridad con phishing simulados phishing . Establezca procedimientos de verificación para solicitudes sensibles, especialmente transferencias financieras. Cree mecanismos de denuncia claros que faciliten a los empleados el marcado de mensajes sospechosos sin temor a represalias.
phishing estándar phishing grandes grupos con mensajes genéricos con la esperanza de que algunos destinatarios caigan en la trampa. phishing spear phishing personas específicas utilizando información personalizada sobre la víctima, su función y su organización. Los atacantes investigan phishing spear phishing a través de LinkedIn, sitios web corporativos y redes sociales para crear mensajes creíbles que hagan referencia a proyectos, colegas o actividades reales. phishing spear phishing tasas de éxito significativamente más altas porque la personalización hace que los mensajes parezcan legítimos.
Phishing la psicología humana más que Phishing las vulnerabilidades técnicas. Utiliza principios como la urgencia, la autoridad, el miedo y la confianza para eludir la toma de decisiones racionales. Incluso las personas conscientes de la seguridad pueden ser víctimas cuando los ataques bien diseñados llegan en momentos oportunos, como durante períodos de mucho trabajo, fuera del horario laboral o durante transiciones organizativas. El elemento humano no se puede parchear como el software, por lo que la formación continua y los controles técnicos son complementos esenciales entre sí.