search El medio de comunicación que reinventa la empresa

Phishing: ¿qué debe saber antes de responder a este "correo urgente"?

Phishing: ¿qué debe saber antes de responder a este "correo urgente"?

Por Maëlys De Santis

El 30 de abril de 2025

El phishing es una de las ciberamenazas más comunes. He aquí una cifra que lo demuestra: en 2023, se enviaron 1.760 millones de URL fraudulentas en todo el mundo (fuente: Stoïk 2023 Cyber Claims Report).

¿Cuáles son las características de este tipo de ataque en línea? ¿Cómo puede protegerse? ¿Cuáles son las mejores herramientas antiphishing? Aquí tiene todo lo que necesita saber para minimizar los riesgos y el impacto del phishing en su empresa.

Definición de phishing

¿Qué es el phishing?

El phishing es un ciberataque basado en el principio de la ingeniería social. En la práctica, esto significa que el núcleo de la estafa reside en un error humano (exceso de confianza, falta de vigilancia, etc.), en lugar de en un auténtico fallo técnico.

En un intento de phishing, un pirata informático usurpa la identidad de uno de sus contactos de confianza para enviarle un correo electrónico o un mensaje urgente. El hacker suele actuar en nombre de una institución (banco, empresa de mensajería, socio, cliente, etc.), pero en ataques más selectivos también puede hacerse pasar por un colega o superior.

El mensaje le pide que "actualice" o "confirme" sus datos a raíz de un error técnico, una actualización, etc.

🔎 En realidad, el objetivo del hacker es recuperar datos personales o bancarios para explotarlos.

Secuencia típica de un ataque de phishing

  1. Preparación: selección de objetivos, recopilación de la información necesaria para ser creíble y elección de la estrategia.

  2. Distribución: distribución masiva o selectiva de mensajes fraudulentos utilizando nombres de dominio secuestrados.

  3. Creación de una sensación de urgencia y explotación de la autoridad. El fraude parece creíble, con un mensaje con un contexto coherente y elementos visuales copiados (logotipo de la empresa).

  4. Captura de datos mediante redirección a un nombre de dominio falso o a un formulario de entrada.

  5. Utilización de identificadores, transferencia de dinero a una cuenta, reventa de datos en la dark web.

  6. Después de la operación, supresión de los sitios fraudulentos, ocultación del origen del ataque.

Los diferentes tipos de phishing

Existen varios tipos de phishing, en función de la víctima objetivo y del tipo de medio utilizado:

  • Phishing clásico por correo electrónico: un correo electrónico genérico enviado masivamente haciéndose pasar por organizaciones legítimas (bancos, servicios en línea). A continuación, se redirige a la víctima a un dominio que replica los sitios originales. 💌

  • Spear phishing: ataque dirigido que requiere una investigación previa de la futura víctima con un mensaje personalizado.

  • Whaling: ataque de phishing que se dirige específicamente a los "peces gordos" (ejecutivos, directivos, etc.) con mensajes sofisticados y grandes apuestas financieras. 🐋

  • Smishing: forma de phishing que se realiza por SMS con un mensaje corto que incita al usuario a hacer clic en un enlace. 📲

  • Vishing: suplantación de identidad por teléfono o videoconferencia, haciéndose pasar por miembro de un organismo oficial.

  • Quishing: técnica de phishing que utiliza la tecnología de códigos QR.

Spam y phishing: ¿cuáles son las diferencias?

Tanto el spam como el phishing se clasifican como mensajes no deseados. El spam es un correo electrónico no solicitado que se envía masivamente para promocionar un producto o servicio. Es invasivo, pero no implica ningún elemento de fraude. No hay usurpación de identidad ni robo de información, sólo publicidad agresiva.

¿Qué aspecto tiene un ataque de phishing?

¿Cómo reconocer un ataque de phishing? He aquí los distintos indicios de que puede ser víctima de un ataque de phishing.

Pista nº 1: una dirección de remitente sospechosa

En un ataque de phishing, el hacker indica una dirección de remitente copiada de la de una institución, pero ligeramente diferente. Preste atención a los "." y "-", los números y el orden de las palabras en la dirección.

Ejemplo: amazon-service@gmail.com en lugar de service@amazon.com.

Pista nº 2: presta atención a los detalles visuales

Preste mucha atención a los logotipos, las cabeceras y el diseño general de los correos electrónicos. Los intentos de phishing suelen utilizar versiones ligeramente alteradas de las identidades visuales oficiales: logotipos de mala calidad, colores ligeramente diferentes, tipos de letra inadecuados. Estas pequeñas diferencias le ayudarán a identificar la falsificación.

Pista nº 3: Errores ortográficos y gramaticales

Con el phishing masivo, no es raro encontrar numerosos errores ortográficos en los mensajes enviados. Por supuesto, cuanto más sofisticado sea el intento, menos errores contendrá el correo electrónico. Sin embargo, siempre se pueden detectar fórmulas que no se correspondan con las normas de comunicación habituales de su organización.

Nota: con la democratización del uso de la inteligencia artificial, los hackers también se están volviendo cada vez más sutiles en sus comunicaciones.

Pista nº 4: Saludos genéricos

El phishing masivo no se preocupa por la individualización. Así que desconfía de los correos electrónicos que empiecen por "querido cliente" o "querido colega", y que no incluyan ningún elemento de personalización.

☝️ Pero tenga cuidado, porque los casos de spear phishing o whaling pueden seguir incluyendo información personalizada sobre usted y la persona que usted cree que es el remitente.

Pista nº 5: la impresión de urgencia excesiva

Es muy raro que las empresas, instituciones y proveedores de servicios decidan cerrar su cuenta sin previo aviso. Cuando recibes una amenaza de este tipo con muy poca antelación, sin duda eres víctima de un ataque de phishing.

✅ Su primer instinto debe ser ponerse en contacto con la organización en cuestión (a través de un canal distinto del enlace proporcionado) para verificar la información.

Consejo nº 6: Solicitudes de información sensible

Es muy importante concienciar a tus equipos de la siguiente idea:

Ninguna organización legítima te pedirá nunca información confidencial por correo electrónico o mensaje.

Si sus empleados tienen esto en cuenta, es casi imposible ser víctima del phishing.

Las solicitudes de contraseñas completas, números de tarjetas bancarias con códigos de seguridad o copias de documentos de identidad deberían ser una señal de alarma inmediata.

¿Cuáles son los riesgos asociados al phishing?

Para entender bien los riesgos asociados al phishing, nada mejor que algunos ejemplos.

❌ Entre 2013 y 2015, un estafador se llevó más de 100 millones de dólares de Facebook y Google haciéndose pasar por la empresa Quanta. Emitió facturas falsas de este antiguo socio de los dos gigantes. Como ves, ni siquiera los grandes nombres de la Red son inmunes al phishing.

❌ En 2015, el spear phishing permitió a los hackers plantar malware en los sistemas de control de las centrales eléctricas ucranianas. El resultado fueron cortes de electricidad en todo el país.

❌ Último ejemplo. En 2016, la empresa aeroespacial austriaca FACC fue víctima de un ataque de suplantación de identidad. Los servicios financieros de la empresa enviaron casi 42 millones de euros a piratas informáticos que se hicieron pasar por el director general de la empresa.

El principal riesgo para las organizaciones es financiero. Pero las consecuencias no acaban ahí. Las empresas víctimas del phishing ven desaparecer muchos de sus datos esenciales y pierden su reputación ante clientes y socios.

¿Cómo puede protegerse contra el phishing?

Para proteger a su organización de los ataques de phishing, debe combinar un enfoque humano y técnico. Incorpore buenas prácticas digitales para todos sus empleados y refuerce su arsenal de ciberdefensa.

La regla básica: nunca facilite información personal

Establezca procesos estrictos para la transmisión de información sensible. Ningún dato confidencial (identificadores, contraseñas, datos bancarios, etc.) debe compartirse por correo electrónico o teléfono. Esta regla debe respetarse el 100% de las veces.

Aunque la solicitud parezca proceder de la dirección, no debe validarse en ningún caso. Al contrario, debe llamar aún más a la vigilancia.

Nuestro consejo: para este tipo de solicitudes, establezca un protocolo de información que deberán seguir todos los empleados, so pena de ser sancionados.

Forme a sus equipos y hágalos conscientes de los riesgos del phishing

La formación debe adaptarse a los riesgos específicos de cada departamento. Los equipos financieros, que a menudo se enfrentan al "fraude del presidente", deben centrarse en este tipo de amenaza.

Los miembros de la alta dirección deben ser conscientes del "whaling", que les concierne directamente. Organice sesiones de formación periódicas con ejemplos. También le recomendamos que ponga a prueba la vigilancia de sus equipos con ataques simulados.

Utilice un filtro de spam eficaz

Invierta en una solución de filtrado multicapa para reforzar su protección contra el phishing. Para ello, seleccione una herramienta que combine varios enfoques de detección:

  • Análisis heurístico y de comportamiento.

  • Comparación con una base de datos de remitentes maliciosos.

  • Tecnologías de inteligencia artificial para identificar amenazas de día cero.

Instalar y actualizar una solución antimalware eficaz

Integre su protección antiphishing en su estrategia global de seguridad informática. Al fin y al cabo, a pesar de todas las precauciones del mundo, el phisher puede conseguir engañar a uno de sus empleados. En ese caso, no puede permitirse no disponer de una solución antimalware completa. Representa su última línea de defensa y debe desplegarse en todas las estaciones de trabajo de su empresa.

💡 Al hacer tu elección, céntrate en las siguientes características:

  • protección en tiempo real,
  • análisis de comportamiento
  • verificación de URL
  • bloqueo de sitios maliciosos
  • y supervisión de modificación de archivos (ransomware).

También debe asegurarse de que el software sea fácil de usar, sobre todo si no dispone de una división de ciberseguridad.

¿Cómo reaccionar en caso de ataque?

A pesar de la amplia protección humana y tecnológica, el riesgo cero no existe. He aquí cómo reaccionar en caso de que un ciberdelincuente realice con éxito un ataque de phishing.

Reaccione rápidamente e informe del incidente

En caso de ataque, lo primero que debe hacer es desconectar inmediatamente el dispositivo infectado de Internet y de su red interna. Desde otro dispositivo seguro, cambie las contraseñas de las cuentas potencialmente comprometidas.

A continuación, comunique inmediatamente el incidente a su responsable de seguridad informática.

Una vez validado este primer paso, póngase en contacto con las demás organizaciones afectadas:

  • Póngase en contacto con su banco si se han revelado los datos de su cuenta.

  • Denuncie el fraude a la policía y otras autoridades competentes.

  • Informe a la organización cuya identidad ha sido usurpada.

Evalúe el alcance de los daños

Identifique exactamente qué información y datos se han visto comprometidos. Escanee su sistema con un software antimalware para detectar la presencia de cualquier programa malicioso en su puesto de trabajo. Si se detecta malware, siga el procedimiento recomendado por su herramienta.

Pon en marcha un plan de recuperación

Si crees que la integridad de tu estación de trabajo se ha visto comprometida, reinstala completamente el sistema operativo. También se aconseja establecer un sistema de copia de seguridad para poder restaurar una versión anterior al ataque.

Aprenda del ataque y optimice su seguridad

Analice detalladamente el ataque para identificar y subsanar los fallos de seguridad. Tras este análisis, forme a sus equipos en consecuencia y mejore sus procedimientos de seguridad informática.

Software antiphishing: nuestros 4 mejores

Si busca una herramienta para proteger sus sistemas contra el phishing, aquí tiene nuestra selección de los mejores programas del mercado:

  1. Altospam: La solución nº 1 para proteger los buzones de correo de las empresas. Gracias a su software Mailsafe, se beneficiará de un análisis heurístico que reduce los falsos positivos a menos del 0,01%. La solución se integra perfectamente con Google Workplace y Microsoft 365.

  2. Barracuda Email Protection: Protección integral contra phishing, ransomware y malware mediante técnicas avanzadas de análisis heurístico y de comportamiento, además de tecnología de IA.

  3. Phished: Un enfoque centrado en la formación de los empleados con resultados que hablan por sí solos: una reducción de la tasa de phishing del 40,5% a menos del 5% entre sus clientes.

  4. Cofense: Una combinación de ataques simulados y una red global de informes para adelantarse a la innovación de los hackers.

Definición de phishing: ¿qué significa?

El phishing es un riesgo informático que afecta a todas las organizaciones, sea cual sea su sector o tamaño. A pesar de la atención que los profesionales de la ciberdefensa y las autoridades prestan a este tema, el phishing nunca ha prosperado. ¿Cuál es la razón? Con la IA, las técnicas evolucionan.

Se puede buscar información más rápidamente y las técnicas de phishing son aún más eficaces. Un ejemplo: videoconferencias con deepfakes más grandes que la vida real.

El phishing nos recuerda una verdad fundamental: la tecnología por sí sola no basta en ciberseguridad. También son esenciales una cultura metódica de la duda, el respeto de los procedimientos y la vigilancia personal.

Artículo traducido del francés

Maëlys De Santis

Maëlys De Santis, Growth Managing Editor, Appvizer

Maëlys De Santis, Growth Managing Editor, empezó a trabajar en Appvizer en 2017 como redactora y gestora de contenidos. Su carrera en Appvizer se distingue por su profunda experiencia en estrategia y marketing de contenidos, así como en optimización SEO. Maëlys tiene un máster en Comunicación Intercultural y Traducción por el ISIT, y también estudió idiomas e inglés en la Universidad de Surrey. Ha compartido su experiencia en publicaciones como Le Point y Digital CMO. Contribuye a la organización del evento mundial de SaaS, B2B Rocks, donde participó en la keynote de apertura en 2023 y 2024.

¿Una anécdota sobre Maëlys? Tiene una pasión (no tan) secreta por los calcetines de fantasía, la Navidad, la repostería y su gato Gary. 🐈‍⬛