Phishing 101: Tácticas habituales y cómo mantenerse seguro en Internet

El phishing es un tipo de ataque de ingeniería social en el que los ciberdelincuentes se hacen pasar por fuentes de confianza para engañar a las víctimas y conseguir que revelen datos personales o descarguen programas maliciosos.

Según el Instituto Nacional de Estándares y Tecnología (NIST), cada año hay más ataques de phishing, con un asombroso aumento del 61% desde 2021.

Estas estadísticas muestran la prevalencia de los ataques de phishing en 2023 y la necesidad de protegerse contra ellos. Descubra cómo funciona, cómo evitarlo y cómo protegerse a usted mismo y a su empresa.

Qué es el phishing

El phishing (pronunciado «fishing», o «pesca» en inglés) es un tipo de robo de identidad. En este tipo de ataques de ingeniería social, se engaña a particulares o empresas para robar información confidencial o difundir programas maliciosos. Estos ataques suelen producirse por correo electrónico, y los ciberdelincuentes se hacen pasar por fuentes de confianza.

Tácticas habituales de engaño de phishing

El engaño puede ser :

• La suplantación de la identidad una persona o una organización que conoce, como su banco o uno de sus compañeros de trabajo,
• URL falsas que imitan a sitios legítimos para capturar credenciales que imitan a una auténtica en la que confía. Este sitio web falso se habrá creado para obtener las credenciales del usuario.
• Algunos archivos aparentemente útiles le invitan a descargarlos, pero contienen un troyano que oculta software malicioso (malware).

Si es esto último, el malware oculto puede ser :

• Programas espía diseñados para recopilar datos y espiarle.
• Malware diseñado para crear una vulnerabilidad, como crear una puerta trasera en su sistema informático o convertir su dispositivo en un dispositivo zombi.
• Cada vez con más frecuencia ransomware, software malicioso diseñado para congelar el dispositivo de la víctima. Para desbloquearlo, tendrá que pagar un rescate.

Ataques de phishing: ¿Qué aspecto tienen?

Existen varios tipos de ataques de phishing, dependiendo de la táctica adoptada por el hacker para ponerse en contacto con su víctima :

• Phishing clásico : Los «phishermen» envían correos electrónicos masivos a personas al azar. Estos mensajes son todos idénticos y contienen un enlace que apunta a un sitio web falso para inducir al lector a dejar sus credenciales. O invitan al destinatario a descargar un archivo adjunto infectado por malware.
• Suplantación de identidad: Un ataque de phishing que se dirige a organizaciones y personas concretas en lugar de enviar correos masivos.
• Smishing: Ataque de phishing que, en lugar de correos electrónicos, utiliza texto SMS. De ahí la combinación de palabras SMS+phishing.
• Vishing: Este ataque de phishing implica la voz del autor (a través de una llamada telefónica) para utilizar la ingeniería social para completar una acción.
• Whaling: Ataque dirigido a «ballenas», como los miembros directivos y ejecutivos de una organización (en inglés, «Whaling» significa literalmente «cazar ballenas»). Normalmente se les induce a ejecutar una acción como la transferencia de una gran cantidad de dinero, lo que supone una enorme recompensa para el atacante.

A continuación indicamos dos ejemplos de correos electrónicos de phishing:

En el primer ejemplo, los atacantes esperan que haga clic en el enlace proporcionado. El destino real del enlace está oculto gracias al acortador de URL.

En el segundo ejemplo, esperan entablar un diálogo con usted. Un truco profesional: el segundo correo electrónico tiene los mismos campos De y Para. Esto significa que los destinatarios reales (como usted) están todos en CCO, lo que significa que este correo probablemente se envió a cientos de personas simultáneamente.

Intentos de phishing en Mailfence

En Mailfence, nuestros usuarios también son a veces víctimas de intentos de phishing. Los atacantes suelen utilizar la suplantación del correo electrónico para fingir que envían un correo de notificación en nombre de Mailfence. He aquí un ejemplo:

En este intento de phishing, los atacantes crean una falsa alerta de notificación. El objetivo es hacerle creer que alguien ha accedido a su cuenta. Al hacer clic en el enlace, podrías descargar malware inadvertidamente. O podría ser redirigido a un sitio web falso de Mailfence que intentará robar sus credenciales de acceso.

¿Qué hacer en este caso? Sigue estos pasos:

• Nunca haga clic en un enlace o abra un archivo adjunto antes de proceder a las siguientes comprobaciones:
• Compruebe dos veces la dirección de correo electrónico del remitente. Asegúrese de que el nombre de dominio sea efectivamente @mailfence.com (en este caso, no lo es).
• Pase el ratón por encima del enlace para ver la URL completa. Si no es un dominio Mailfence, no haga clic en él.

¿Cómo reconocer un mensaje de phishing?

Aparte de asegurarse de instalar un filtro antispam y un software de seguridad, la mejor forma de combatir las estafas de phishing es identificarlas.

Las faltas de ortografía y la mala gramática en un correo electrónico solían ser un buen delator de un ataque de phishing. Pero hoy en día, los ataques de phishing son cada vez más sofisticados, y los correos electrónicos de phishing suelen estar perfectamente escritos.

Por tanto, tendrá centrarse en otros detalles que revelen un intento de engañarle:

• Enlaces en el correo electrónico. Acostúmbrese a pasar el ratón por encima de los hipervínculos enviados en un correo electrónico o SMS para comprobar que coinciden con la página del sitio a la que se supone que te llevan, tal como se escribe en el mensaje. Las URL no coincidentes (o los nombres de dominio engañosos) también pueden conducir a archivos .exe que contengan malware.
• Enlaces incluidos en un correo electrónico que le invita a conectarse a un sitio web. Tenga especial cuidado con cualquier sitio web de «liquidación» o «outlet» aparentemente vinculado a un portal minorista legítimo de renombre, por ejemplo. Podría tratarse de un sitio web de imitación creado para robarle el DNI o algo de dinero.
• Amenazas – ¿Ha recibido alguna vez una amenaza de que cerrarían su cuenta si no respondía a un mensaje de correo electrónico? Los ciberdelincuentes suelen utilizar amenazas. Envían falsas alertas diciéndole que su seguridad se ha visto comprometida, que un servicio está a punto de ser cancelado por su inacción, o que su cuenta bancaria está en descubierto.
• Mensajes de spoofing de páginas web o empresas conocidas. Si llega a recibir un mensaje de una organización conocida, un compañero de trabajo o un amigo que le pide que haga algo, preste atención a: 
  • Cualquier solicitud de información personal.
  • Una oferta demasiado buena para ser verdad, o algo de dinero que deberías recibir o enviar.
  • Cualquier acción que no haya iniciado.

Cualquier cosa que no parezca correcta debe despertar sus sospechas. Incluso los correos electrónicos que parezcan proceder de determinados tipos de organizaciones, como organizaciones benéficas o agencias gubernamentales, pueden ser peligrosos. Los atacantes suelen aprovecharse de los acontecimientos actuales y de determinados períodos del año, como:

• Catástrofes naturales (por ejemplo, terremotos, huracanes).
• Alertas sanitarias (por ejemplo, Covid-19);
• Acontecimientos políticos y cuestiones económicas (por ejemplo, la guerra de Ucrania, la inflación);
• Vacaciones y temporadas de ventas al por menor

Ejemplos reales de ataques de phishing

Ahora que hemos cubierto la teoría, veamos algunos ejemplos reales de ataques de phishing.

Google y Facebook (2013-2015)

Uno de los ataques de phishing más tristemente célebres se dirigió a los gigantes de la tecnología Google y Facebook.

Un hacker lituano, Evaldas Rimasauskas, se hizo pasar por un proveedor de hardware y engañó a las empresas para que transfirieran más de 100 millones de dólares a cuentas fraudulentas.

Mediante la creación de direcciones de correo electrónico y facturas falsas que imitaban las de un proveedor legítimo, logró engañar a los departamentos financieros de las empresas. Este caso pone de relieve la eficacia de las estafas de correo electrónico comercial (BEC) y la importancia de los procesos de verificación rigurosos para las transacciones financieras.

Consulte el comunicado de prensa del Departamento de Justicia de EE.UU. para obtener más información sobre el asunto.

Filtración de datos de Target (2013)

Un ataque de phishing a un proveedor externo provocó una de las mayores vulneraciones de la historia en el sector minorista.

Los atacantes robaron las credenciales de inicio de sesión del proveedor, lo que les permitió acceder a la red de Target e instalar malware en los sistemas de los puntos de venta.

Inicialmente se envió un correo electrónico de phishing a los empleados del proveedor, y uno de ellos cayó en la trampa. En el análisis realizado tras el ataque, se puso de manifiesto que la autenticación de dos factores (2FA) podría haber mitigado o incluso evitado la filtración.

La filtración comprometió los datos de las tarjetas de crédito y débito de más de 40 millones de clientes, lo que provocó importantes daños financieros y de reputación a la empresa. Este incidente demostró los riesgos que plantean las vulnerabilidades de la cadena de suministro.

«El phishing es el punto de entrada número uno para el ransomware y las vulneraciones de datos. Un solo correo electrónico comprometido puede costar millones a una empresa, no solo en pérdidas financieras directas, sino en multas reglamentarias, honorarios legales y daños a la reputación.»

– Brian Krebs, periodista de investigación y experto en ciberdelincuencia que dio a conocer la noticia

Target acabó pagando 18,5 millones de dólares para resolver el caso.

Puede leer el análisis completo del incidente en el análisis del Departamento de Comercio de EE.UU. aquí.

El impacto de los ataques de phishing

Los ataques de phishing tienen consecuencias de largo alcance que van más allá de la víctima inmediata. Pueden provocar importantes pérdidas económicas, daños a la reputación, sanciones reglamentarias e incluso riesgos para la seguridad nacional.

Pérdidas financieras

Según el Centro de Denuncias de Delitos en Internet (IC3) del FBI, los ataques de phishing provocaron más de 2.700 millones de dólares en pérdidas declaradas sólo en 2022. Las organizaciones se enfrentan a menudo a pérdidas económicas directas debidas a transferencias fraudulentas, transacciones no autorizadas y los costes asociados a la respuesta y recuperación ante incidentes.

Falsificación de datos y usurpación de identidad

El phishing es un vector habitual de las vulneraciones de datos, como la que afectó a Target y de la que ya hemos hablado. Cuando los ciberdelincuentes acceden a las credenciales de inicio de sesión, pueden filtrar datos sensibles de clientes y empleados. Otro ejemplo fue la filtración de Equifax en 2017, que expuso la información personal de 147 millones de personas. Puedes leer más sobre el caso en el informe de la Comisión Federal de Comercio aquí.

Daños a la reputación

Las organizaciones que son víctimas de ataques de phishing sufren daños en su reputación, lo que conlleva una pérdida de confianza de los clientes y de valor en el mercado.

Por ejemplo, la revelación por parte de Yahoo de múltiples vulneraciones de datos entre 2013 y 2016 afectó a su acuerdo de adquisición con Verizon, reduciendo la valoración de la empresa en 350 millones de dólares, según Reuters.

Mantenerse a salvo de los ataques de phishing

1. Desconfíe de los correos electrónicos que le pidan información confidencial, especialmente de carácter financiero. Las organizaciones legítimas nunca solicitarán dicha información por correo electrónico, llamadas telefónicas u otros medios. En su lugar, preste siempre atención a la dirección de correo electrónico del remitente. Puede imitar a una empresa legítima con sólo unos pocos caracteres alterados u omitidos.

2. Nunca abra un archivo adjunto sospechoso, ya que es un mecanismo de entrega estándar para el malware. A los «phishers» les gusta utilizar tácticas de miedo y pueden amenazar con desactivar una cuenta o retrasar los servicios hasta que actualice cierta información. Asegúrese de ponerse en contacto directamente con el comerciante para confirmar la autenticidad de su petición.

3. Tenga cuidado con las solicitudes de información de aspecto genérico. Los correos electrónicos fraudulentos no suelen estar personalizados, mientras que los auténticos de tu banco suelen hacer referencia a una cuenta que tiene con ellos. Muchos correos electrónicos de phishing empiezan con «Estimado señor/señora» u otros saludos/firmas genéricos, y algunos proceden de un banco en el que ni siquiera tiene una cuenta.

4. No se deje presionar para facilitar información delicada, y nunca la envíe a través de formularios incrustados en mensajes de correo electrónico, una práctica de phishing muy habitual y que se cuela a diario en sus carpetas de correo basura/spam.

5. Nunca utilice enlaces en un correo electrónico para conectar con un sitio web, ya que podrían ser hipervínculos falsificados. El hecho de que los enlaces no coincidan con el texto que aparece al pasar el ratón sobre ellos debería levantar una alarma. Incluye también el uso de servicios de acortamiento UR. En su lugar, abra una nueva ventana del navegador y escriba la URL directamente en la barra de direcciones (o compruebe a dónde conduce ese enlace acortado, por ejemplo, ver enlaces más abajo). A menudo, un sitio web de phishing tendrá un aspecto idéntico al original, por ejemplo, https://wwwpaypal.com/ es diferente de https://www.paypal.com/. Del mismo modo, https://www.paypaI.com/ (con una «i» mayúscula en lugar de una «L» minúscula) es diferente de https://www.paypal.com/ – mire en la barra de direcciones para asegurarse de que sea así (y que la conexión sea segura – como https://).

«El eslabón más débil de la ciberseguridad no es la tecnología, sino el elemento humano. Las organizaciones que invierten en formación de concienciación sobre el phishing reducen significativamente su riesgo de compromiso.»

– Theresa Payton, Ex CIO de la Casa Blanca y consultora de ciberseguridad

Más consejos de protección contra el phishing

1. Asegúrese de mantener un entorno adecuado para combatir el phishing. Utilice antivirus y navegadores de confianza. Mantenga actualizado todo su software. Utilice servicios cifrados como Mailfence para comunicarse y salvaguardar aún más su privacidad.
2. Utilice gestores de contraseñas que rellenen automáticamente las contraseñas para saber a qué sitios pertenecen esas contraseñas. Si el gestor de contraseñas se niega a autocompletar una contraseña, debe dudar y comprobar dos veces el sitio en el que está. Lea este artículo del blog para evitar malos hábitos de contraseñas.
3. Desconfíe siempre: Los correos electrónicos de phishing intentan asustarle con advertencias y luego le ofrecen una solución fácil si«¡haz clic aquí!». (o «¡Ha ganado un premio! ¡Haga clic aquí para reclamarlo!») En caso de duda, no haga clic. En su lugar, abra el navegador, vaya al sitio web de la empresa e inicie sesión como de costumbre para ver si hay algún indicio de actividad extraña. Si le preocupa, cambie su contraseña.
4. Utilice siempre 2FA (autenticación de dos factores) cuando un servicio la ofrezca.
5. Puede comprobar a dónde conduce un enlace concreto antes de abrirlo: Where Goes, Redirect Detective, Internet Officer Redirect Check, Redirect Check, URL2PNG, Browser Shots, Shrink The Web, Browserling.
6. Por último, pero no por ello menos importante, infórmese sobre las nuevas tendencias en phishing. Puede empezar leyendo nuestro Curso de concienciación sobre seguridad y privacidad del correo electrónico. Es sencillo y accesible para todos, pero informativo.

Qué hacer si es víctima del phishing

Si ha caído en un ataque de phishing, consulte nuestro artículo del blog sobre correos electrónicos hackeados.

También puede denunciar los intentos de phishing en:

• Google – Denunciar phishing o badware
• US-Cert.gov – Denunciar phishing
• Consumer.ftc.gov – Denunciar phishing

En el futuro, intente proteger siempre su ordenador aplicando estos 10 consejos.

Tendencias del phishing en 2025: El auge de la IA

La inteligencia artificial (IA) ha trastornado muchas industrias desde la llegada del ChatGPT en 2022. Por desgracia, como la historia nos ha demostrado muchas veces, los delincuentes son de los primeros en adoptar las nuevas tecnologías.

La IA no es diferente. En 2025, esperamos una oleada de ataques de phishing muy sofisticados gracias al auge de la IA generativa. Estas son algunas de las tendencias que debes tener en cuenta.

#nº 1: Hiperpersonalización mediante IA en los ataques de phishing

A diferencia de los correos electrónicos tradicionales de phishing masivo («Hola, tengo una donación para usted…»), estos ataques utilizan datos de comportamiento en tiempo real, actividad en redes sociales y filtraciones de filtraciones de datos para crear mensajes a medida que resulten increíblemente auténticos para el destinatario.

Por ejemplo, los atacantes pueden utilizar la IA para escanear el perfil de LinkedIn de un objetivo, sus publicaciones recientes en las redes sociales o incluso patrones de correos electrónicos hackeados para crear mensajes de phishing contextualizados.

Los chatbots de IA pueden entablar conversaciones automatizadas de phishing, atrayendo a las víctimas para que revelen información confidencial a lo largo del tiempo en lugar de en un único correo electrónico. Esta táctica hace que los intentos de phishing parezcan más legítimos y aumenta su tasa de éxito.

Un ejemplo de esto en 2025 será el aumento de las estafas de contratación falsas, en las que bots con IA imitaban a los reclutadores de empleo, haciendo referencia a ofertas de trabajo reales en empresas conocidas para engañar a los solicitantes de empleo y hacerles enviar información personal y credenciales.

#nº 2: Phishing de voz (Vishing) con clonación de voz por IA

El resurgimiento del phishing de voz, o «vishing», se ha visto amplificado por los avances en la tecnología de clonación de voz por IA.

Ahora los atacantes pueden crear réplicas de voz realistas de ejecutivos, colegas u otras personas de confianza.

Aprovechando estas voces clonadas, los ciberdelincuentes dejan mensajes de voz convincentes o realizan llamadas en directo, instando a los empleados a realizar acciones como transferir fondos o revelar información confidencial. Este método explota la confianza inherente a las voces familiares, convirtiéndolo en una potente herramienta de engaño.

También hay que tener en cuenta que los atacantes sólo necesitan 2 minutos de su voz para replicarla de forma convincente. Así que incluso unos cuantos vídeos tuyos en Instagram son suficientes para replicar su voz (¡o la de un familiar cercano!).

#3: Phishing como servicio (PhaaS)

El ecosistema de la ciberdelincuencia ha visto el auge de las plataformas de phishing como servicio.

Estos servicios proporcionan kits de phishing listos para usar, con plantillas, alojamiento e incluso asistencia al cliente, lo que reduce la barrera de entrada para los aspirantes a ciberdelincuentes.

Algunas ofertas de PhaaS incorporan IA para automatizar y optimizar las campañas de phishing, aumentando su alcance y eficacia. Esta mercantilización de las herramientas de phishing ha provocado un aumento del número y la diversidad de los ataques de phishing, ya que incluso personas con unos conocimientos técnicos mínimos pueden lanzar campañas sofisticadas.

Conclusión

Los ciberdelincuentes, a menudo respaldados por gobiernos o mafias muy poderosas, se mueven muy deprisa, y su creatividad no tiene límites. Encuentran constantemente nuevas tácticas y nuevas vulnerabilidades que explotar.

Por otro lado, nosotros (los usuarios) tendemos a multiplicar el número de dispositivos conectados… que proporcionan nuevas puertas para posibles ataques. Por tanto, es importante estar al día en ciberseguridad.

Sobre todo, debe confiar en el sentido común. No puede ganar un concurso en el que no ha participado. Su banco no se pondrá en contacto con usted utilizando una dirección de correo electrónico que nunca ha registrado. Conozca las señales de advertencia, piense antes de hacer clic y nunca jamás facilite su contraseña o información financiera a menos que haya iniciado sesión en su cuenta correctamente.

Por cierto, tener un paquete de correo electrónico cifrado como Mailfence es crucial para asegurar su comunicación y ayudarle a evitar todo tipo de estafas.

De hecho, Mailfence ha sido diseñado para protegerle de las ciberamenazas y las vulneraciones de la privacidad, incluido el phishing. Además de su correo electrónico cifrado de extremo a extremo, incluye firmas digitales y 2FA. Ah, y no es sólo una solución de correo electrónico, sino también paquete de ofimática colaborativo.

Regístrese hoy mismo para obtener una cuenta gratuita de Mailfence y empiece a proteger sus comunicaciones.