¡Conoce cómo financiarte con Kapital!
Recibe la llamada de un asesor
El phishing es una modalidad de ciberataque que emplea correos electrónicos, mensajes de texto, llamadas o sitios web fraudulentos para manipular a los usuarios. Su objetivo es claro: obtener datos confidenciales, propagar malware o exponer a las víctimas a diversas formas de ciberdelincuencia.
A diferencia de los ciberataques que intentan vulnerar directamente la infraestructura de sistemas informáticos, redes o dispositivos. El phishing se basa en la ingeniería social. Estas tácticas aprovechan el error humano mediante relatos ficticios y una falsa sensación de urgencia, coaccionando a las personas con el fin de que se perjudiquen involuntariamente a sí mismas o a sus organizaciones.
En un escenario típico de phishing, el atacante suplanta la identidad de una figura de confianza, como un colega, un superior jerárquico o una marca. Bajo este disfraz, insta a la víctima a ejecutar una acción aparentemente rutinaria: pagar una suscripción, descargar un archivo o acceder a un enlace.
Al confiar en el remitente, el usuario cae en la trampa: el supuesto pago se transfiere a la cuenta del criminal, el archivo adjunto despliega un ransomware (un tipo de software malicioso que bloquea el acceso a archivos o sistemas informáticos) en el sistema y el enlace conduce a portales diseñados para el robo de credenciales, cuentas bancarias y otros activos personales
El phishing no solo es popular entre los cibercriminales por su sencillez, sino por su alarmante eficacia. Según un informe de IBM (International Business Machines Corporation, por sus siglas en inglés) sobre el costo de las filtraciones de datos, este vector representa el 15 % de los incidentes globales, con un coste promedio para las organizaciones de 4.88 millones de dólares.
Su peligrosidad radica en que no ataca la tecnología, sino al factor humano. En lugar de vulnerar complejos sistemas de seguridad, los atacantes manipulan a personas con acceso autorizado para que estas, involuntariamente, den acceso, ya sea a dinero, información confidencial u otro tipo de información sensible.
Versatilidad delictiva: desde estafadores solitarios hasta mafias organizadas, utilizan esta técnica para el robo de identidad, extorsión, espionaje y fraude financiero.
Alcance universal: afecta desde usuarios particulares hasta gobiernos. Un caso emblemático fue el robo de miles de correos en la campaña presidencial de EE. UU. en 2016, mediante un falso mensaje de restablecimiento de contraseña.
Dificultad de detección: al basarse en manipulaciones al ser humano, las herramientas de monitoreo técnico suelen ser insuficientes. Incluso profesionales de soporte técnico pueden confundir estos mensajes fraudulentos con comunicaciones legítimas.
El término phishing juega con el concepto de "pesca" (del inglés fishing), donde los criminales lanzan "anzuelos" en forma de mensajes creíbles que apelan a emociones.Los estafadores suelen hacerse pasar por el proveedor de servicios de la víctima, enviando un mensaje de texto que ofrece un "descuentos",”cobros no reconocidos” o pidiendo al usuario que actualice la información de su tarjeta.
Es la modalidad más común. Los estafadores envían miles de correos de forma indiscriminada esperando que un pequeño porcentaje muerda el anzuelo.
La táctica: suplantan marcas globales (bancos o servicios de streaming por poner un ejemplo) para aumentar las probabilidades de coincidir con un servicio que la víctima use.
El engaño: utilizan logotipos oficiales y dominios simulados. Los mensajes suelen alertar sobre "problemas con un pedido" o "pagos pendientes", instando al usuario a hacer clic en enlaces que roban credenciales o instalan malware.
A diferencia del phishing masivo, este es un ataque personalizado. El atacante investiga a la víctima y crea un mensaje específico para engañarla. Generalmente, el objetivo es alguien con acceso a información sensible o privilegios dentro de una empresa.
Investigación previa: el atacante estudia las redes sociales y perfiles profesionales (como LinkedIn) de la víctima para redactar un mensaje hiper específico.
Whaling: cuando el objetivo es un alto ejecutivo (CEO o CFO), el ataque se denomina whaling (pesca de ballenas), debido al alto valor del "botín".
Es una de las variantes más costosas para las empresas. No busca solo datos, sino transferencias directas de dinero.
Fraude del CEO: el atacante suplanta la cuenta de un alto directivo para ordenar a un empleado pagos urgentes a cuentas fraudulentas.
Compromiso de cuenta (EAC): se vulnera la cuenta de un empleado de nivel medio para enviar facturas falsas a proveedores legítimos. Un ejemplo histórico fue el robo de 100 millones de dólares a gigantes como Facebook y Google mediante esta técnica.
El smishing (combinación de SMS y phishing) utiliza la mensajería de texto para lanzar ataques selectivos. Al ser un canal que percibimos más personal que el correo, los niveles de confianza suelen ser mayores.
El gancho logístico: Es común recibir alertas falsas de empresas de mensajería exigiendo el pago de "Suscripción Netflix" para ingresar los datos de tu tarjeta en una página fraude.
Falsa seguridad: Los criminales suelen incluir enlaces acortados que redirigen a formularios diseñados para capturar datos de tarjetas en segundos.
El vishing (voice phishing) representa una de las amenazas más difíciles de detectar debido al uso de la voz sobre VoIP (Voz sobre Protocolo de Internet),tecnología que permite realizar llamadas de voz a través de internet en lugar de líneas telefónicas tradicionales yde esa manera lograr suplantar la identidad del llamante.
Autoridad fingida: El atacante suele presentarse como un agente bancario o un técnico de soporte. Utilizan un lenguaje urgente y profesional para informar sobre un "movimiento sospechoso" en tu cuenta, logrando que la víctima revele sus claves de acceso por puro nerviosismo.
Automatización masiva: Gracias a la tecnología actual, las bandas criminales pueden realizar miles de llamadas automatizadas al día, filtrando a sus víctimas.
Las redes sociales son el terreno fértil perfecto para el robo de identidad. Aquí, el ataque no solo busca dinero, sino el control de la reputación digital.
Secuestro de cuentas: A través de mensajes directos (DMs) en Instagram, X (antes Twitter) o Facebook, los estafadores se hacen pasar por el equipo de soporte técnico, alertando sobre una supuesta infracción de normas para obtener tus contraseñas.
El factor confianza en WhatsApp: Es frecuente el uso de mensajes que simulan ser de un familiar en apuros ("Hola, perdí mi teléfono, este es mi nuevo número..."). Esta técnica busca transferencias inmediatas bajo una presión emocional extrema.
Una modalidad emergente es el QRishing. Los atacantes sustituyen códigos QR legítimos en lugares públicos (como menús de restaurantes o parquímetros) por códigos maliciosos.
Invisibilidad: Al escanearlo, el usuario es dirigido a una web fraudulenta o se inicia la descarga automática de un archivo infectado sin que este sospeche nada, ya que el código QR es, visualmente, indescifrable para el ojo humano.
Puesto que el phishing no explota vulnerabilidades del software, sino de la vulnerabilidad humana, el empleado se constituye como la primera y última línea de defensa de cualquier organización. No basta con instalar barreras tecnológicas; es imperativo transformar al usuario en un sensor activo de amenazas.
Capacita a tu equipo para reconocer señales de alerta, como remitentes desconocidos o mensajes con urgencia exagerada. Y tan importante como detectarlos es actuar rápido: habilita canales simples para reportar estos casos y frenar el ataque a tiempo.
Para frenar el éxito de los atacantes, las instituciones deben establecer protocolos que limiten el margen de error humano:
Protocolos de verificación cruzada: Ante cualquier solicitud de información sensible o fondos, el empleado debe estar obligado a verificar la identidad del peticionario mediante un canal independiente. Esto implica evitar los enlaces proporcionados en el mensaje o realizar una llamada directa a la extensión oficial del colega o superior.
Validación de identidad fuera de banda: Si se recibe un mensaje de texto de un número desconocido, la norma debe ser la desconfianza sistemática hasta que la fuente sea confirmada por medios institucionales.
Las empresas pueden fortalecer la formación de sus empleados y sus políticas internas con la implementación de herramientas de seguridad. Estas herramientas son clave para identificar mensajes de phishing y frustrar los intentos de los atacantes que buscan infiltrarse en las redes corporativas mediante estas tácticas.
Software de seguridad de correo electrónico y los filtros de spam emplean datos de estafas de phishing conocidas y algoritmos de aprendizaje automático para la identificación de mensajes de spam y correos electrónicos de phishing. Estos mensajes no deseados se mueven a una carpeta especial, donde cualquier código o enlace malicioso es neutralizado.
La autenticación multifactor puede evitar que los hackers se apoderen de las cuentas de usuario. Los phishers pueden robar contraseñas, pero les resulta mucho más difícil robar un segundo factor, como un escaneo de huellas dactilares o un código de acceso de un solo uso.
Las plataformas de ciberseguridad empresarial, como la Gestión de Eventos e Información de Seguridad (SIEM) y la Orquestación, Automatización y Respuesta de Seguridad (SOAR), aprovechan la automatización y la inteligencia artificial (IA) para la detección y respuesta a actividades anómalas. Estas herramientas son cruciales para frustrar ataques de phishing que buscan instalar malware o comprometer cuentas.
Los filtros web actúan como una capa de navegación segura, impidiendo que el usuario acceda a dominios con reputación negativa o sitios web maliciosos conocidos. Al desplegar alertas críticas ante páginas sospechosas, estas herramientas mitigan el daño potencial de las campañas de phishing de última generación.
Las soluciones de detección y respuesta en el endpoint (EDR) y de gestión unificada monitorean cada dispositivo de la red corporativa. Mediante el uso de inteligencia artificial (IA) y analítica avanzada, estas herramientas pueden interceptar intentos de intrusión y bloquear la ejecución de malware de manera autónoma, protegiendo al equipo incluso si el usuario hace clic en un enlace fraudulento.
¡Conoce cómo financiarte con Kapital!
Recibe la llamada de un asesor