El phishing es un método de ciberataque que usa correos electrónicos, mensajes o sitios web engañosos para engañar a personas para que revelen información sensible como contraseñas, números de tarjeta de crédito, números de Seguridad Social u otros datos personales. El término se origina del concepto de "pescar", ya que los atacantes lanzan cebos y esperan que las víctimas respondan. Los ataques de phishing dependen de técnicas de ingeniería social que explotan psicología humana en lugar de vulnerabilidades técnicas. Los atacantes suplantan entidades confiables como bancos, proveedores de correo electrónico u organizaciones para convencer a víctimas de proporcionar credenciales o información personal. El phishing es un vector de ataque común porque apunta al comportamiento humano en lugar de defensas técnicas. Entender cómo funciona el phishing, reconocer tipos de ataque e implementar medidas de protección ayuda a los usuarios a evitar caer víctima de estos ataques. Esta página proporciona una descripción general técnica de phishing, tipos de ataque, métodos de reconocimiento y estrategias de protección.
Definición de Phishing
Los ataques de phishing usan engaño para obtener información sensible. Las características clave incluyen:
- Comunicación Engañosa: Correos electrónicos, mensajes o sitios web que suplantan entidades legítimas
- Robo de Información: Intentos de obtener credenciales, información financiera o datos personales
- Ingeniería Social: Depende de manipulación psicológica en lugar de explotación técnica
- Dirigido al Comportamiento Humano: Explota tendencias humanas a confiar, responder a urgencia o cumplir con autoridad
Los ataques de phishing pueden apuntar a cualquiera, ya que dependen de psicología humana en lugar de sofisticación técnica. Incluso individuos conscientes de la seguridad pueden caer víctima de ataques de phishing sofisticados que usan personalización y contexto.
Tipos de Ataques de Phishing
Phishing por Correo Electrónico (Phishing Masivo)
Los correos electrónicos de phishing masivo se envían a grandes números de destinatarios:
- Suplantación de Marca: Correos electrónicos que suplantan marcas confiables como bancos, procesadores de pagos, proveedores de correo electrónico o minoristas
- Creación de Urgencia: Mensajes creando urgencia como advertencias de suspensión de cuenta o alertas de seguridad
- Sitios Web Falsos: Enlaces a sitios web falsos diseñados para capturar credenciales o información personal
- Baja Personalización: Mensajes genéricos que no están personalizados para destinatarios individuales
El phishing masivo depende del volumen, enviando muchos mensajes esperando que algunos destinatarios respondan a pesar de la baja personalización.
Spear Phishing (Phishing Dirigido)
Los ataques de spear phishing apuntan a individuos específicos con mensajes personalizados:
- Basado en Investigación: Los atacantes investigan objetivos usando redes sociales, redes profesionales o información pública
- Personalización: Los correos electrónicos hacen referencia a colegas reales, proyectos, eventos o información personal
- Mayores Tasas de Éxito: Más convincentes que el phishing masivo debido a personalización y contexto
- Enfoque Dirigido: Se enfoca en individuos específicos en lugar de distribución amplia
El spear phishing requiere más esfuerzo pero puede ser más efectivo porque los mensajes personalizados aparecen más legítimos.
Whaling (Dirigido a Ejecutivos)
El whaling es spear phishing específicamente dirigido a ejecutivos e individuos de alto valor:
- Dirigido a Ejecutivos: Apunta a CEOs, CFOs, miembros de junta directiva o ejecutivos senior
- Suplantación de Autoridad: A menudo se hace pasar por avisos legales, problemas regulatorios o asuntos comerciales urgentes
- Objetivos de Alto Valor: Apunta a grandes transferencias financieras, acceso a datos sensibles o impacto operacional significativo
- Enfoque Sofisticado: Típicamente más sofisticado y bien investigado que el spear phishing estándar
Compromiso de Correo Electrónico Empresarial (BEC)
Los ataques de Compromiso de Correo Electrónico Empresarial involucran cuentas de correo electrónico empresarial comprometidas o suplantadas:
- Fraude de CEO: Los atacantes se hacen pasar por ejecutivos solicitando transferencias bancarias o acciones sensibles
- Fraude de Factura: Cuentas de proveedor comprometidas o proveedores suplantados con detalles de pago cambiados
- Compromiso de Cuenta: Cuentas de correo electrónico legítimas que han sido comprometidas y usadas para enviar mensajes fraudulentos
- Objetivos Financieros: Típicamente apunta a redirigir pagos o autorizar transacciones no autorizadas
Los ataques BEC pueden causar pérdidas financieras significativas porque aprovechan relaciones comerciales confiables y pueden involucrar cuentas de correo electrónico legítimas.
Smishing (Phishing por SMS)
El smishing usa mensajes de texto para entregar intentos de phishing:
- Estafas de Entrega de Paquetes: Mensajes afirmando que los paquetes no pudieron entregarse con enlaces para reprogramar
- Alertas Bancarias: Alertas de seguridad falsas sobre actividad de cuenta sospechosa requiriendo verificación
- Notificaciones de Servicio: Mensajes suplantando proveedores de servicio solicitando actualizaciones de cuenta
- **Dirigido a Móviles: ** Apunta a usuarios de dispositivos móviles que pueden ser menos cautelosos con mensajes SMS
El smishing aprovecha mensajería SMS, que los usuarios pueden confiar más que correo electrónico, y puede sortear filtros de seguridad de correo electrónico.
Vishing (Phishing por Voz)
El vishing usa llamadas telefónicas para entregar intentos de phishing:
- Suplantación de Autoridad: Llamantes se hacen pasar por agentes del IRS, soporte técnico, bancos o agencias gubernamentales
- Creación de Urgencia: Crea urgencia a través de amenazas de acción legal, cierre de cuenta o problemas de seguridad
- Solicitudes de Información: Solicita pagos, acceso remoto, contraseñas o información personal
- Suplantación de ID de Llamante: Usa IDs de llamante falsificados para aparecer legítimo
El vishing usa comunicación por voz, que puede crear una sensación de legitimidad y urgencia que la comunicación escrita puede carecer.
Cómo Funcionan los Ataques de Phishing
Los ataques de phishing típicamente siguen un patrón:
- Reconocimiento: Los atacantes investigan objetivos, marcas para suplantar o eventos actuales para usar en mensajes
- Creación de Mensaje: Crear mensajes engañosos que aparecen venir de fuentes legítimas
- Creación de Sitio Web Falso: Construir sitios web falsos que imitan sitios legítimos para capturar credenciales
- Distribución: Enviar mensajes a través de correo electrónico, SMS u otros canales de comunicación
- Captura de Información: Recopilar credenciales o información cuando las víctimas interactúan con sitios web falsos o responden a mensajes
- Explotación: Usar credenciales robadas para acceso no autorizado, fraude financiero o más ataques
Reconocer Intentos de Phishing
Direcciones de Remitente Sospechosas
Examinar direcciones de correo electrónico reales, no solo nombres de visualización:
- Variaciones de Dominio: Errores ortográficos leves o variaciones de dominios legítimos (paypa1.com en lugar de paypal.com)
- Abuso de Subdominio: Uso de dominios legítimos en subdominios para aparecer auténtico (paypal-secure.com)
- Dominios No Relacionados: Direcciones de remitente de dominios no relacionados con identidad afirmada
Las organizaciones legítimas usan nombres de dominio consistentes. Verificar que las direcciones de remitente coincidan con dominios esperados.
Tácticas de Urgencia y Miedo
El phishing a menudo crea presión para actuar sin consideración cuidadosa:
- Presión de Tiempo: Advertencias de que las cuentas serán cerradas, suspendidas o eliminadas dentro de marcos de tiempo cortos
- Amenazas Legales: Amenazas de consecuencias legales o cierre de cuenta por no cumplimiento
- Alertas de Seguridad: Alertas de seguridad falsas sobre actividad sospechosa requiriendo verificación inmediata
Las organizaciones legítimas típicamente proporcionan tiempo adecuado para responder y no crean urgencia artificial.
Saludos Genéricos
El phishing masivo a menudo usa saludos genéricos debido a falta de personalización:
- Términos Genéricos: "Estimado Cliente", "Estimado Usuario", "Estimado Titular de Cuenta" en lugar de nombres
- Contraste Legítimo: Las organizaciones legítimas típicamente se dirigen a usuarios por nombre
Los saludos genéricos pueden indicar phishing masivo, aunque el spear phishing sofisticado puede usar personalización.
Errores de Gramática y Ortografía
Aunque la calidad del phishing varía, muchos mensajes de phishing contienen errores:
- Errores Ortográficos: Ortografía incorrecta de palabras comunes
- Problemas de Gramática: Fraseo incómodo o elecciones de palabras inusuales
- Inconsistencias de Formato: Formato inconsistente, fuentes o estilo
Las organizaciones legítimas típicamente tienen estándares profesionales de comunicación. Sin embargo, el phishing sofisticado puede tener pocos errores.
Enlaces Sospechosos
Los enlaces en mensajes de phishing a menudo llevan a sitios web falsos:
- Desajuste de URL: El texto del botón o texto de ancla dice una cosa pero enlaza a dominios diferentes
- Dominios con Errores Ortográficos: Dominios con sustituciones de caracteres (amaz0n.com, faceb00k.com)
- URLs Acortadas: Acortadores de URL que ocultan destinos reales
- Trucos de Subdominio: Dominios legítimos usados en subdominios para aparecer auténtico
Pasar el cursor sobre enlaces sin hacer clic para ver destinos reales. Verificar que las URLs coincidan con dominios esperados antes de hacer clic.
Solicitudes de Información Sensible
Las organizaciones legítimas típicamente no solicitan información sensible por correo electrónico:
- Contraseñas o PINs: Las organizaciones no piden contraseñas por correo electrónico
- Números Completos de Tarjeta de Crédito: Las organizaciones legítimas ya tienen información de pago o usan portales seguros
- Números de Seguridad Social: Los identificadores sensibles no se solicitan por correo electrónico
- Verificación de Cuenta: La verificación legítima usa portales seguros, no formularios de correo electrónico
Ser sospechoso de cualquier correo electrónico solicitando información sensible, incluso si parece venir de fuentes legítimas.
Protección Contra Phishing
Prácticas de Verificación
Verificar antes de actuar sobre solicitudes:
- Navegación Directa: Navegar a sitios web directamente escribiendo URLs en lugar de hacer clic en enlaces de correo electrónico
- Contacto Oficial: Usar números de teléfono oficiales o métodos de contacto de fuentes legítimas (no de correos electrónicos sospechosos)
- Evitar Urgencia: Tomar tiempo para verificar solicitudes en lugar de responder inmediatamente a demandas urgentes
Protecciones Técnicas
Las herramientas técnicas pueden ayudar a proteger contra phishing:
- Gestores de Contraseñas: Los gestores de contraseñas típicamente no rellenan automáticamente credenciales en sitios web falsos, proporcionando una señal de advertencia
- Autenticación de Dos Factores: La autenticación de dos factores protege cuentas incluso si las contraseñas son robadas
- Filtrado de Correo Electrónico: Habilitar filtros de spam y phishing proporcionados por proveedores de correo electrónico
- Protecciones del Navegador: Los navegadores modernos bloquean sitios de phishing conocidos y advierten sobre sitios web sospechosos
- Software de Seguridad: El software de seguridad puede detectar y bloquear correos electrónicos o sitios web de phishing
Reportar Phishing
Reportar intentos de phishing para ayudar a proteger a otros:
- Proveedores de Correo Electrónico: Reportar correos electrónicos de phishing a proveedores de correo electrónico (Gmail, Outlook, etc.)
- Organizaciones Suplantadas: Reportar intentos de phishing a organizaciones siendo suplantadas
- Organizaciones Anti-Phishing: Reportar a organizaciones como el Anti-Phishing Working Group
Reportar ayuda a organizaciones de seguridad a rastrear campañas de phishing y proteger a otros usuarios.
Respuesta a Víctima de Phishing
Si has caído víctima de un ataque de phishing:
- Cambiar Contraseñas: Cambiar contraseñas inmediatamente para cuentas comprometidas, comenzando con la cuenta que fue phisheada
- Habilitar Autenticación de Dos Factores: Habilitar 2FA si no está ya habilitado para añadir protección adicional
- Revisar Actividad de Cuenta: Verificar actividad de cuenta para acceso no autorizado, transacciones o cambios
- Escanear para Malware: Si hiciste clic en enlaces o descargaste archivos adjuntos, escanear dispositivos para malware
- Monitorear Cuentas Financieras: Observar cuentas financieras para transacciones no autorizadas o cambios
- Reportar Incidentes: Reportar a departamentos de TI (si relacionado con trabajo), organizaciones suplantadas y autoridades
- Verificar Otras Cuentas: Revisar otras cuentas si se usó la misma contraseña, y cambiar contraseñas si es necesario
La respuesta rápida puede limitar el daño de ataques de phishing. Actuar inmediatamente si sospechas que has sido phisheado.
Limitaciones de la Protección
La protección contra phishing tiene limitaciones:
- Ataques Sofisticados: El spear phishing bien investigado puede ser difícil de reconocer incluso con conciencia
- Ingeniería Social: Ataques que explotan psicología humana pueden sortear protecciones técnicas
- Cuentas Comprometidas: El phishing desde cuentas legítimas comprometidas aparece más auténtico
- Técnicas de Día Cero: Nuevas técnicas de phishing pueden no reconocerse o bloquearse inmediatamente
- Error del Usuario: El error humano sigue siendo un factor incluso con conciencia y protecciones técnicas
La protección requiere tanto medidas técnicas como conciencia del usuario. Ningún método único proporciona protección completa.