¿Qué es y en qué consiste el phishing?
El phishing no es un mito ni una moda, es la forma más rentable que tienen los delincuentes de entrar en sistemas ajenos. No necesitas un “hacker” con gorro negro, bastan un correo bien escrito, un enlace que parece legítimo o una llamada fingiendo ser “del banco” para comprometer a tu empresa.
Os vamos a explicar qué ocurre realmente cuando te intentan “pescar”, qué tipos de cebos usan, cómo te la cuelan técnicamente y, lo más importante, qué puedes hacer tú mañana mismo para que la probabilidad de que piquen sea mínima.
¿Qué es el Phishing?
Podemos definir el "Phishing", como un engaño por medios digitales para robar credenciales, datos o inducir a una acción (pagar, ejecutar un fichero o autorizar acceso).
Normalmente, los medios que se usan son email, SMS, llamada, redes sociales y la técnica es siempre la misma, ganan tu confianza frente a la pantalla.
Tipos de Phishing
Los ataques de Phishing o de suplantación de identidad están diseñados para aprovechar que muchas personas realizan sus tareas diarias o gestionan sus negocios a través de Internet.
Vamos a daros diferentes tipos de ataques de suplantación de identidad que suelen usarse:
- Email Phishing: Es uno de los ataques más comunes. Se utiliza un mensaje genérico enviado a miles de cuentas de correo, con un texto tipo "Tu cuenta será cancelada, haz clic para evitarlo".
- Spear Phishing: Es un ataque dirigido, donde investigan a la víctima y personalizan el mensaje, por ejemplo, "Roberto, aquí el informe de ventas que me pediste".
- Whaling: Se trata de una técnica parecida a Spear, pero que busca suplantar a altos ejecutivos (CEO o CFO), envía correos en su nombre, buscando un fraude financiero, recopilando datos sensibles.
- Clone Phishing: Copian un email legítimo que ya recibiste y lo reenvían con un enlace malicioso o malware.
- SMiShing (SMS Phishing): Mensajes SMS con enlaces o códigos falsos, que parecen legítimos.
- Vishing (Phishing por Voz): Llamadas que fingen ser del banco, soporte técnico, etc.
- OAuth / Consent Phising: Pides autorización a tu cuenta (Google/Microsoft) para una app maliciosa, le das tokens, no credenciales. Lo que permite un acceso permanente por parte del atacante, evadiendo las defensas tradicionales, como el restablecimiento de contraseñas y la autenticación multifactor.
- Credential harvesting via fake sites: Landing pages que imitan tu web y recogen usuario/clave.
- Malicious attachments: Documentos con macros, ZIPs o sitios que explotan el navegador y que suelen ir adjuntos en los emails.
Cómo evitar cada tipo de Phishing según tu Nivel de Conocimiento
Vamos a diferenciar lo que puede hacer un usuario normal (buenas prácticas básicas) y lo que puede hacer un usuario avanzado o profesional IT (medidas técnicas y de infraestructura) para prevenir estos tipos de ataques de Phishing. Os exponemos algunos consejos para no caer en este tipo de ataque de ciberseguridad:
Tipo de ataque | Usuario normal (buenas prácticas) | Usuario avanzado / IT (medidas técnicas) |
Email phishing (masivo) | No pulses enlaces urgentes, verifica el remitente real (por ejemplo, pasando el ratón sobre el correo) y nunca envíes contraseñas por email. | Configura SPF, DKIM, DMARC. Usa email gateway con sandbox y análisis de enlaces. Implementa filtros de reputación y simulacros de phishing. |
Spear phishing | Desconfía de correos “personalizados” que piden datos o dinero y confirma siempre por otro canal (llamada, chat interno..). | Activa MFA y políticas de acceso condicional. Reduce información pública de empleados. Correlaciona eventos en SIEM (email + login + IP). |
Whaling (directivos) | No autorices pagos sin doble verificación y llama al contacto oficial antes de transferir dinero. Usa buzones corporativos con doble aprobación. | Control de privilegios y separación de funciones. Alertas SIEM ante correos sospechosos a ejecutivos. Simulacros y formación específica para directivos. |
Clone phishing | Si te reenvían un correo “igual” con links nuevos, duda. Verifica con el remitente original por otro canal. | Firma digital de mensajes internos (S/MIME). Gateway que compare hashes de adjuntos con versiones previas. |
SMiShing (SMS) | No abras enlaces SMS que piden contraseñas y no compartas códigos MFA por SMS. | Implementa filtros SMS corporativos. Usa autenticación TOTP o FIDO2 (no SMS). |
Vishing (Llamadas) | No des datos personales por teléfono y llama tú al número oficial antes de actuar. | Crea políticas de verificación telefónica. Graba llamadas sospechosas y forma al personal. |
OAuth / Consent phishing | Revisa los permisos antes de autorizar apps. Revoca accesos en la configuración de tu cuenta. | Habilita consentimiento centralizado y listas blancas de apps. Monitoriza logs OAuth y usa herramientas de “app governance”. |
Credential harvesting (Páginas falsas) | Verifica https y dominio exacto, usa un gestor de contraseñas (no autocompleta en sitios falsos), o mucho mejor memoriza tus contraseñas, y no entres desde enlaces en emails. | Implementa passwordless / FIDO2. Monitoriza intentos de login sospechosos. Detecta dominios fraudulentos (typosquatting, por ejemplo, que son dominios muy parecidos a los reales pero con ciertos cambios sutiles). |
Malicious attachments / drive-by downloads | No habilites macros, descargues ejecutables de emails y mantén tu navegador actualizado. | Sandbox de adjuntos en gateway, bloqueo de tipos de archivos peligrosos (.exe, .js, .scr) y uso de un EDR para detectar ejecuciones anómalas. |
Nada de lo que se expone aquí puede evitar el fallo humano o la pericia de los atacantes, pero puede ayudar a evitar este tipo de ataques.
Confía en las medidas Anti-Phising, pero verifica constantemente
El Phishing es un ataque antiguo, pero que evoluciona cada día. No hace falta ser paranoico, hace falta ser listo. Con controles básicos (SPF/DKIM/DMARC, MFA, Sandboxing, proxys y formación) reduces el riesgo a niveles manejables. Para las empresas, la inversión más rentable es educación + protección básica en correo + verificación humana para transferencias.
Tests y ejercicios IT que puedes ejecutar en tu Empresa
A modo resumen, podemos realizar varias tareas periódicamente:
- Campaña simulada: envía phishing controlado y mide % de clicks.
- Tabletop: sesiones con los departamentos de finanzas y legal para validar proceso de verificación suplantación.
- Revisión de permisos OAuth: listar apps con permisos y revocar las no usadas.
- Hunt: buscar en logs permisos otorgados recientemente o logins desde ubicaciones raras.
Si eres quien monta la seguridad IT de tu empresa, dale prioridad a la visibilidad (logs, SIEM y playbooks). Si eres usuario, desconfía de lo que te pida algo por email/SMS y usa el sentido común.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!
