¿Qué es el Phishing?
El phishing es un mensaje falso — normalmente un correo electrónico — que pretende ser de alguien en quien usted confía, diseñado para engañarlo y que entregue una contraseña, un pago o el acceso a sus sistemas.
El phishing es engaño entregado por mensaje
El phishing es un tipo de ingeniería social — un ataque que apunta a las personas en lugar de a la tecnología. El atacante envía un mensaje que parece provenir de una marca, un colega o una institución en la que usted confía: su banco, Microsoft, una empresa de paquetería, su director ejecutivo. El mensaje crea un motivo para actuar de inmediato y lo dirige hacia un enlace, un archivo adjunto o una respuesta. Haga lo que pide y le habrá entregado al atacante exactamente lo que buscaba.
El nombre es un juego con la palabra "fishing" (pescar) en inglés — los atacantes lanzan el anzuelo y esperan a que alguien pique. Funciona porque explota la confianza y la costumbre, no una falla de software. Esa es también la razón de que sea tan común: el phishing es barato de enviar, escala a millones de destinatarios y solo necesita tener éxito una vez. Sigue siendo la forma más común en que comienzan las brechas.
Cómo ejecutan los atacantes un ataque de phishing
Un ataque de phishing típico tiene tres movimientos. Primero, el señuelo: un mensaje diseñado para parecer legítimo y para provocar una emoción — urgencia ("su cuenta será suspendida"), miedo ("se detectó un inicio de sesión sospechoso"), curiosidad o la simple autoridad de una solicitud del jefe. Segundo, el anzuelo: un enlace a una página de inicio de sesión falsa idéntica a la real, o un archivo adjunto que instala malware al abrirse. Tercero, la captura: usted escribe su contraseña en la página falsa o ejecuta el archivo, y el atacante recopila las credenciales u obtiene un punto de apoyo.
El phishing moderno es mucho más pulido que los correos del "príncipe nigeriano" con faltas de ortografía del pasado. Los atacantes registran dominios parecidos, copian la marca real píxel por píxel y cada vez más usan IA para redactar mensajes impecables y personalizados. Algunos kits incluso retransmiten su inicio de sesión al sitio real en tiempo real para robar su sesión y eludir la autenticación multifactor. Asuma que el correo pulido de su bandeja de entrada podría ser falso — y verifique antes de actuar.
Las variedades que encontrará
Phishing masivo
El clásico correo de "lanzar y rezar" enviado a miles de personas, suplantando una marca conocida con la esperanza de que una fracción haga clic.
Spear phishing (phishing dirigido)
Un mensaje a la medida de una persona o empresa, que usa datos reales para parecer creíble. Mucho más convincente que el phishing masivo.
Whaling y fraude del director ejecutivo
Spear phishing dirigido a ejecutivos, o que los suplanta, para autorizar transferencias bancarias — consulte el compromiso de correo empresarial.
Smishing y vishing
Phishing por mensaje de texto (smishing) o por llamada telefónica (vishing). Una llamada falsa del "departamento de fraude" es una forma común de vishing.
Phishing de clonación
Una copia de un correo real que usted recibió, con los enlaces o archivos adjuntos cambiados por unos maliciosos — aprovechando su familiaridad con el original.
Phishing que elude la MFA
Kits avanzados que capturan su código de un solo uso o su token de sesión en tiempo real, venciendo las formas más antiguas de autenticación multifactor.
Pasos concretos para reducir su riesgo de phishing
Como el phishing apunta a las personas, las mejores defensas combinan tecnología que filtra los ataques obvios con hábitos que atrapan los ingeniosos:
- Active la autenticación multifactor en todas partes. Una contraseña robada es mucho menos útil cuando se requiere un segundo factor. Prefiera la MFA resistente al phishing, como las llaves de acceso (passkeys).
- Verifique las solicitudes de dinero y credenciales por otra vía. Cualquier solicitud inesperada de pagar, cambiar datos bancarios o compartir una contraseña se confirma por teléfono o en persona — nunca respondiendo al correo.
- Configure la autenticación de correo electrónico. SPF, DKIM y DMARC dificultan mucho que los atacantes falsifiquen su dominio y ayudan a los filtros a atrapar a los impostores.
- Capacite y ponga a prueba a su equipo. Una capacitación de concientización breve y regular, junto con simulacros ocasionales de phishing, crea el reflejo de detenerse y comprobar antes de hacer clic.
- Facilite los reportes. Un botón de "reportar phishing" de un solo clic convierte a cada empleado en un sensor y le permite contener una campaña antes de que se propague.
Ningún filtro lo atrapa todo, así que la meta es una cultura donde verificar una solicitud extraña sea normal y reportar un error sea seguro. Si desea saber cómo se desempeñaría realmente su equipo frente a una campaña realista, las pruebas de penetración de Red Hound incluyen evaluaciones de ingeniería social que ponen a prueba exactamente esto.
Preguntas comunes sobre el phishing
¿Qué es el phishing en términos sencillos?
El phishing ocurre cuando un atacante envía un mensaje falso — normalmente un correo electrónico — que pretende ser de alguien en quien usted confía, para engañarlo y que haga clic en un enlace malicioso, abra un archivo adjunto o entregue contraseñas o dinero.
¿Cuáles son las señales de alerta de un correo de phishing?
Las señales de alerta comunes incluyen urgencia o amenazas, solicitudes de contraseñas o pagos, una dirección de remitente que no coincide del todo, enlaces que apuntan a un lugar inesperado, archivos adjuntos inesperados y pequeños errores de ortografía o de marca. Ante la duda, verifique a través de un canal aparte.
¿Qué debo hacer si hice clic en un enlace de phishing?
Desconecte el dispositivo de la red, cambie la contraseña de cualquier cuenta en la que haya podido introducir datos, active o restablezca la autenticación multifactor e informe de inmediato a su equipo de TI o de seguridad para que puedan verificar si hubo un compromiso mayor.
¿La autenticación multifactor detiene el phishing?
La MFA reduce drásticamente el daño cuando se roba una contraseña, pero los atacantes decididos a veces pueden eludirla con kits de phishing en tiempo real o con la fatiga de MFA. La MFA resistente al phishing, como las llaves de acceso (passkeys) o las llaves de seguridad por hardware, ofrece la protección más fuerte.
Obtenga gratis la Lista de Verificación de Seguridad Básica para pequeñas empresas
Una lista de verificación breve y en lenguaje claro que cubre los controles de correo e identidad que bloquean la mayor parte del phishing — diseñada para pequeñas y medianas empresas.
O reciba consejos de seguridad en lenguaje claro por correo: