search El medio de comunicación que reinventa la empresa

Descifrar el ataque de phishing, ¡para no picar el anzuelo!

Descifrar el ataque de phishing, ¡para no picar el anzuelo!

Por Ainhoa Carpio-Talleux

El 30 de abril de 2025

Alerta roja en nuestras bandejas de entrada de correo electrónico: los ataques de phishing se han disparado. Según datos del APWG, los ataques de phishing han pasado de 877.536 en el segundo trimestre de 2024 a 989.123 en el cuarto trimestre.

No se trata sólo de un aumento, sino de una auténtica marea de ataques de phishing que arrasa nuestras organizaciones. Atrás quedaron los burdos mensajes plagados de faltas de ortografía de un hacker nigeriano que quería compartir su fortuna. Hoy en día, los ciberdelincuentes despliegan sofisticadas estrategias que engañan incluso a los profesionales más avezados.

Para hacerle frente, descubramos qué es el "phishing", sus diferentes formas y cómo evitarlo en un ataque.

¿Qué es un "ataque de phishing"?

Ataque de phishing: definición

El phishing es una técnica de piratería informática diseñada para robar información confidencial haciéndose pasar por una persona o entidad de confianza. Es una técnica de ciberataque muy común, que afecta tanto a particulares como a grandes empresas. Pero, por supuesto, cuanto más grande sea el pez, mejor para los hackers.

¿Cuál es el objetivo de los ataques de phishing?

Estos hackers, o más exactamente "estafadores" en la jerga, tienen varios objetivos:

  • Robar sus datos personales o profesionales.
  • Asumir la identidad del objetivo para cometer fraude.
  • Hackear un sistema informático e instalar un troyano u otro software malicioso.
  • Desfalcar dinero mediante transferencias bancarias fraudulentas.
  • Acceder a cuentas personales y profesionales: correo electrónico, redes sociales, servicios web, etc.

Ejemplo de ataque de phishing

En 2024, según el informe Arctic Wolf, el 70% de las empresas informaron de ataques al correo electrónico profesional (BEC). ¿El resultado? Cerca del 29% de ellas sufrieron al menos un ataque con éxito.

Caso práctico de un ataque de phishing en 2025

En febrero de 2023, una empresa francesa perdió unos 38 millones de euros después de que el departamento de contabilidad respondiera a un correo electrónico que parecía proceder de los abogados y el director general, en el que se les pedía que realizaran 45 transferencias con total inocencia. (fuente: Radio France)

El correo electrónico estaba perfectamente redactado, utilizaba los logotipos, las firmas y las referencias internas correctas, e incluso mencionaba un proyecto confidencial real en curso dentro de la organización.

Este sofisticado ataque demuestra hasta qué punto se han profesionalizado las técnicas de phishing, lo que representa una grave amenaza para la ciberseguridad de su empresa.

El ABC de un ataque de phishing: cómo funciona

Un ataque de ph ishing puede adoptar varias formas (véase más abajo). Pero sea cual sea la forma, hay varias etapas en un proceso típico.

1. Preparación

El pirata informático recopila información sobre su objetivo (empresa, personal, hábitos) a través de las redes sociales o la web. Es la fase de reconocimiento. El pescador identifica al pez para armarse con el mejor cebo que poner en su anzuelo. En otras palabras, personalizará el ataque, lo que no garantiza el éxito, pero aumentará drásticamente su porcentaje de éxito.

2. Creación del señuelo (cebo)

Elaboración de un mensaje creíble imitando a una organización legítima. Puede proceder de un banco, de un departamento informático interno, de un proveedor de Internet, etc.

El pirata informático reproducirá fielmente las características de la organización:

  • La identidad visual (logotipos, carta gráfica).
  • El tono y estilo de comunicación habituales.
  • Las firmas oficiales y los datos de contacto.
  • Dominios web similares (por ejemplo, amazon-seguridad.com en lugar de amazon.com).

3. Distribución (lanzar el anzuelo)

Envío masivo o selectivo de un mensaje que contiene un enlace malicioso o un archivo adjunto infectado. Cada día se envían en todo el mundo no menos de 3.400 millones de correos electrónicos de phishing , lo que representa el 1,2% de todos los correos electrónicos, según la AAG.

Según sus estadísticas, todo el mundo habrá recibido un ataque de phishing al menos una vez en su vida. Los afortunados no lo habrán visto (porque habrá ido a spam). Los desafortunados serán las víctimas, y se darán cuenta demasiado tarde.

4. Manipulación

Incitar a la víctima a hacer clic en el enlace o abrir el archivo adjunto mediante técnicas de ingeniería social:

  • Creación de una sensación de urgencia ("Su cuenta será bloqueada en 24 horas").
  • Uso de la curiosidad ("Vea quién ha consultado su perfil").
  • Explotación del miedo ("Detectado intento de conexión sospechoso").
  • Apelación a la codicia ("Has ganado un iPhone 15").

5. Compromiso

Recogida de los identificadores introducidos en el sitio falso o instalación de un código malicioso en el dispositivo de la víctima. Esta etapa suele ser invisible para el usuario, que cree estar interactuando con un servicio legítimo.

6. Explotación

Aquí, dependiendo de la forma de phishing, los datos se explotan de diferentes maneras.

  • Utilizar los datos robados para acceder a cuentas.
  • Realizar transferencias fraudulentas.
  • Lanzar otros ataques a la red dentro de la organización.

💡 ¿Lo sabías? La inteligencia artificial se ha convertido en el formidable aliado de los ciberdelincuentes. Las últimas técnicas incluyen la clonación de voz (replicar la voz de un CEO por teléfono) y los deepfakes (crear vídeos falsos de una persona de confianza). Estas tecnologías hacen que los ataques sean infinitamente más convincentes y difíciles de detectar para un servicio de seguridad.

Los tipos más comunes de ataque de phishing

A lo largo de los años, los piratas informáticos han perfeccionado sus técnicas para ser cada vez más específicos y eficaces.

Pero el principio es el mismo. El hacker es un pescador. El phishing es a la vez el cebo y el anzuelo. Y el objetivo/la víctima es el pez. Para evitar estas trampas, hay que entender cómo funcionan.

He aquí las técnicas o métodos de ataque de phishing más utilizados.

1. Phishing por correo electrónico - El clásico de siempre

El phishing por correo electrónico sigue siendo el modus operandi preferido de los hackers. Es el más fácil de preparar y el más extendido. Los particulares son la presa más fácil del phishing. Básicamente, una organización con un responsable informático no tendrá problemas para evitarlo.

¿Cómo reconocerlo?

Dada la cantidad de correos electrónicos comerciales que una empresa puede recibir cada día o cada semana, es fácil perderse. Pero hay algunas señales de advertencia.

Antes de hacer clic en un enlace de correo electrónico o descargar un archivo, compruebe lo siguiente:

  • Dirección del remitente sospechosa (mire más allá del nombre que aparece).
  • Errores ortográficos sutiles (a menudo en el dominio del remitente).
  • Saludos genéricos ("Estimado cliente" en lugar de su nombre).
  • Enlaces cuya URL revela un destino diferente al pasar el ratón por encima.
  • Archivos adjuntos con extensiones dudosas (.zip, .exe, .bat).

Ejemplo típico : un correo electrónico que imita a su banco le pide que "confirme sus datos bancarios tras una actualización de seguridad".

2. Spear phishing - El ataque a medida

A diferencia del phishing masivo, el spear phishing se dirige a personas concretas con mensajes personalizados. El pirata informático utiliza información pública o interna (LinkedIn, publicaciones de la empresa, organigramas) para crear un mensaje totalmente adaptado al objetivo. Esto nos recuerda una vez más la importancia de elegir bien la información que se va a divulgar en una red social.

El porcentaje de éxito de estos ataques dirigidos es 10 veces superior al del phishing tradicional, porque están cuidadosamente elaborados y son extremadamente creíbles. El spear phishing es actualmente una de las principales amenazas para los datos sensibles de las empresas.

En la práctica, puede adoptar la forma de :

  • Amplia personalización (mención de colegas, proyectos en curso).
  • Referencia a acontecimientos reales en la empresa (quizás adulterios).
  • Selección precisa de personas con acceso a datos sensibles.
  • Imitación perfecta del estilo de comunicación de la organización.

Así, si alguien envía: "Luke, soy tu padre", es una señal.

3. La caza de grandes peces

¿Por qué ir a por el pez pequeño cuando se puede ir a por la gran ballena blanca (Moby Dick)? La caza de ballenas se dirige específicamente a los altos ejecutivos de una organización.

Estos ataques de phishing se preparan meticulosamente y son extremadamente creíbles, a menudo tras semanas de estudio del comportamiento y el estilo de comunicación del objetivo. Cuanto más grande es el pez, mejor es la preparación.

Esto demuestra hasta qué punto ha avanzado la piratería informática.

Los puntos clave para entender e identificar el whaling son :

  • Mensajes personalizados que evocan las responsabilidades específicas del ejecutivo.
  • Explotación de las relaciones de poder dentro de la empresa.
  • Exigencias financieras significativas pero plausibles.
  • Uso de la urgencia para cortocircuitar los procesos de verificación.

Ejemplo : un correo electrónico falso del Director Financiero al Director General solicitando la validación urgente de una transferencia para "finalizar la adquisición confidencial" de la que habían hablado recientemente.

4. Vishing - Suplantación de identidad por voz

El vishing (phishing de voz) aprovecha las llamadas telefónicas para manipular a las víctimas. El atacante se hace pasar por un colega, un servicio técnico o un socio bancario y utiliza la urgencia de la situación para conseguir que revele información sensible. Con la reciente llegada de la IA (inteligencia artificial por voz), esta técnica de phishing está irrumpiendo con fuerza en las nuevas tendencias de piratería informática.

Técnicas habituales

  • Suplantación de identidad para mostrar un número legítimo.
  • Creación de un escenario de emergencia que requiere una acción inmediata.
  • Explotación de la autoridad (falsa llamada del departamento informático o de un superior).
  • Utilización del ruido de fondo del centro de llamadas para reforzar la credibilidad.

Una advertencia tecnológica:

Las herramientas de clonación de voz basadas en IA hicieron que estos ataques explotaran en 2024. Unos segundos de grabación de la voz de un ejecutivo (disponible en entrevistas o webinars) es ahora todo lo que se necesita para generar conversaciones completas imitando perfectamente su tono y entonaciones.

¿Qué es lo más preocupante de todo esto? De momento, no existe ninguna solución preparada para detectar este tipo de pirateo. Así que debemos permanecer alerta y estar al tanto de los avances de la tecnología de IA, que no deja de presentar nuevas tendencias cada mes (o incluso cada semana).

5. Smishing - La trampa de los SMS

¿Quién dijo que los mensajes de texto pasaban de moda? Los piratas informáticos, desde luego, no. El smishing (phishing por SMS) se aprovecha de los mensajes de texto para engañarle e inducirle a hacer clic en enlaces maliciosos. Esta técnica se aprovecha del hecho de que los mensajes SMS pueden ser consultados casi inmediatamente por sus destinatarios, y el formato corto facilita la ocultación de indicios sospechosos.

Señales reveladoras

  • Números de remitente desconocidos o alfanuméricos.
  • Mensajes cortos que crean sensación de urgencia ("Entrega pendiente", "Pago denegado").
  • Enlaces acortados que ocultan la verdadera URL de destino.
  • Errores ortográficos o gramaticales sutiles.

En 2024, el grupo "Smishing Triad" realizó campañas en más de 121 países, utilizando alrededor de 200.000 dominios para sus operaciones, según WIRED. Estos ataques son especialmente eficaces por su brevedad y la sensación de urgencia que crean.

Consejo de seguridad del día

Nunca haga clic directamente en un enlace recibido por SMS. Si el mensaje parece proceder de una empresa legítima (banco, correos), hay dos opciones. Abre tú mismo la aplicación oficial o teclea manualmente su dirección web en un navegador.

Ejemplo de SMS que puede recibir:

6. Clone phishing - Copiar para engañar mejor

Para los atacantes, el phishing de clonación consiste en duplicar los correos electrónicos legítimos de los usuarios. Modifican los mensajes originales incluyendo enlaces o archivos adjuntos maliciosos. A continuación, los correos se envían desde cuentas falsificadas para que parezcan auténticos. En este caso, los atacantes suplantan la dirección de correo electrónico del remitente para enviar el mensaje clonado.

En general, el objetivo del phishing cl ónico es engañar a los destinatarios para que faciliten información sobre sus datos bancarios o personales.

Esta técnica se basa principalmente en la falta de atención de las víctimas. Hay 36 formas de protegerse. Pasa el ratón por encima de los enlaces antes de abrirlos.

7. Pharming - Hacking invisible

Este tipo de fraude utiliza código malicioso para redirigir a las víctimas a sitios web falsos. El objetivo del hacker es robar los identificadores y datos confidenciales de la víctima.

Los ataques de pharming se producen cuando los ciberdelincuentes manipulan el Sistema de Nombres de Dominio (DNS) o comprometen el dispositivo de un usuario para redirigirlo a un sitio web fraudulento.

Para su información, el DNS es un sistema que traduce los nombres de dominio (www.example.com) en direcciones IP para que los navegadores puedan cargar el sitio web correcto.

En un ataque de pharming, los atacantes corrompen este proceso para redirigir a los usuarios a sitios web maliciosos que imitan a los legítimos.

En principio, el pharming comienza con la instalación de un código malicioso en el servidor de la víctima. Una vez completado el código, la víctima es redirigida a un sitio web falso. Desde allí, es probable que compartan sus datos confidenciales o de acceso.

Para evitar el pharming, recomendamos utilizar DNS seguros (como Cloudflare o Google DNS). También conviene utilizar certificados SSL y activar el protocolo DNSSEC.

8. Phishing a través de redes sociales - Ataques disfrazados

Si crees que desplazarte por Tiktok e Instagram es seguro, no has entendido nada. Los ataques en estas plataformas se multiplican, incitándote a divulgar información personal.

Primero recibes una notificación por correo electrónico diciendo que tienes que activar una cuenta nueva, porque la que ya tienes va a desaparecer (los famosos mensajes de Zuckerberg, ya sabes). Si muerdes el anzuelo, tus datos privados serán violados.

☝️Faites ¡Ten cuidado también con las solicitudes de amistad! Algunas cuentas falsas no quieren tu amistad, quieren tus datos o tu dinero.

9. Phishing de código QR - Cuando un simple escaneo se convierte en una amenaza

Los códigos QR están por todas partes, desde los supermercados hasta los sitios web de venta de formación. A los hackers cada vez les resulta más fácil atacarte utilizando estos códigos. ¿Los casos más comunes? Crean códigos maliciosos que le redirigen a un sitio fraudulento.

¿Un código QR pegado en un cartel de "WiFi gratis"? Es como un caramelo envenenado... ¡no lo escanees!

En la práctica, el phishing de código QR pretende engañar a los usuarios para que faciliten información confidencial, como sus datos de acceso, datos bancarios o incluso información sobre su identidad.

🗣️Conseil: opta por escáneres que incluyan una vista previa del enlace (como Google Lens) y nunca escanees un código QR pegado en un objeto público.

10. Phishing a través de aplicaciones móviles: una estafa en tu smartphone

El phishing a través de aplicaciones móviles consiste en conseguir que instales un gadget fraudulento que parece exactamente igual que la aplicación legítima. Una vez instalado, :

  • mostrará las interfaces de conexión utilizadas por la víctima ;
  • recopilará todos los datos introducidos
  • operar en segundo plano para vigilar la actividad del usuario.

Ciertos factores favorecen este ataque de phishing: pantallas pequeñas (que dificultan la identificación de las URL maliciosas), notificaciones consultadas rápidamente y conexiones automáticas.

¿Cómo evitar estas trampas? Deja de seguir cualquier enlace que aparezca en tu feed de noticias de Facebook.

¿Cómo reconocer y prevenir un ataque de phishing?

Aunque el phishing es una amenaza omnipresente en el mundo digital, las señales también son reveladoras. A veces somos nosotros los que elegimos estar ciegos: errores ortográficos y gramaticales, direcciones de correo electrónico que no incluyen nombres de dominio, urgencias que nada tienen que ver con la urgencia, etc.

Supongamos que recibes un correo electrónico de tu banco pidiéndote que compruebes tus datos personales por " actividad sospechosa". En ese momento, te sentirías tentado de responder. Resultado: estás atrapado.

Ahora lo has entendido, pero tus empleados siguen haciendo clic y respondiendo a cualquier correo. Una vez más, estás atrapado.

¿Qué puede hacer al respecto? Formación y concienciación del personal. No abrir más archivos adjuntos infectados. Que nadie sea redirigido estúpidamente a un sitio web fraudulento.

La introducción de la autenticación de dos factores (2FA) también constituye una barrera adicional contra elacceso no autorizado. Incluso si una contraseña se ve comprometida, 2FA requiere una segunda verificación, lo que hace mucho más difícil que los ciberdelincuentes accedan a las cuentas.

También deberías considerar soluciones de seguridad avanzadas, como el software de filtrado de correo electrónico. En este caso, eres tú quien utiliza la red para atrapar a los delincuentes. Invirtamos los papeles, ¿vale?

Ataque de phishing: ¡en pocas palabras!

En resumen, el phishing sigue siendo una de las ciberamenazas más formidables. Como muestran los datos de Netskope, la tasa de ataques de phishing aumentó considerablemente en 2024.

En cuanto a su funcionamiento, el phishing consiste en enviar mensajes que parecen proceder de una empresa o un sitio web legítimos. Estos mensajes suelen contener un enlace que redirige al usuario a un sitio web falso que parece real. A continuación, se pide al usuario que introduzca información personal , como sus datos de acceso o el número de su tarjeta de crédito. Este ataque puede adoptar varias formas, desde la más clásica (phishing por correo electrónico) hasta la más sofisticada (whaling).

Para protegerse de las ciberamenazas, conviene estar más atento y, sobre todo, formarse regularmente. Adoptar las herramientas adecuadas (2FA, filtros antiphishing) es también un escudo eficaz. Dicho esto, la ciberseguridad debe seguir siendo una prioridad colectiva (empresas y empleados) si queremos hacer frente al ingenio de los ciberdelincuentes.

El phishing evoluciona, pero su vigilancia también. Entonces, ¿estás preparado para convertirte en un pez demasiado listo para los hackers?

Artículo traducido del francés