¿Qué es el phishing? Definición, tipos y protección
¿Qué es Phishing? Phishing es una forma de fraude en la que los atacantes se hacen pasar por una entidad de confianza para obtener credenciales, pagos o realizar otras acciones. Phishing es una subcategoría del ingeniería social, es decir, la manipulación de las personas en lugar de la tecnología. Los canales típicos son correo electrónico, SMS, teléfono y código QR. La protección se basa principalmente en MFA resistente al phishing y en Passkeys.
LO MÁS IMPORTANTE EN RESUMEN
- Clasificación: Phishing es una subcategoría del ingeniería social. El ataque se dirige a la persona, no a una vulnerabilidad técnica.
- Tipos: Phishing masivo, Phishing dirigido, Fraude BEC/CEO, Smishing, Vishing y Quishing a través de códigos QR, cada vez más con voces generadas por IA y deepfakes.
- Protección: MFA resistente al phishing o Passkeys primero. El entrenamiento de concienciación complementa, pero no sustituye la tecnología.
Cómo funciona el phishing
El phishing sigue un patrón reconocible. Un atacante se hace pasar por un remitente de confianza, como un banco, un proveedor o un superior. A través de un mensaje genera presión y exige una acción concreta: iniciar sesión, aprobar algo, una transferencia o abrir un adjunto. El destinatario debe actuar antes de verificar.
de las primeras visitas observadas comienzan con phishing
ENISA Tendencia de Amenazas 2025
Los disparadores clásicos son la presión de tiempo, la amenaza de perjuicios, un supuesto paquete o una supuesta alerta de seguridad. El mensaje dirige a una página de inicio de sesión falsificada, instala código malicioso o redirige un pago a una IBAN modificada. El punto de ataque siempre es el ser humano. Si la manipulación tiene éxito, el objetivo entrega la información o la autorización por sí mismo.
La ENISA Tendencia de Amenazas 2025 sitúa el phishing en el 60 por ciento de las primeras visitas observadas, con una distancia marcada frente a la explotación de vulnerabilidades. También el informe de situación del BSI enumera el phishing como una tendencia persistente. Un cebo bien elaborado resulta difícil de identificar como fraude sin recurrir a la tecnología.
Phishing como subconjunto de Ingeniería Social
La Ingeniería Social es el término general y se refiere a la manipulación de personas para obtener información o realizar acciones. En lugar de explotar una vulnerabilidad técnica, el atacante utiliza patrones humanos como la disposición a ayudar, la autoridad, el miedo, la curiosidad o la presión temporal. El phishing es una subconjunto de esto, en el que un mensaje digital es la herramienta central.
La distinción: Un correo masivo con un enlace falsificado es phishing clásico. Un ataque dirigido con investigación previa sobre una persona concreta es spear-phishing. Una llamada telefónica sin mensaje previo es vishing, es decir, ingeniería social por teléfono. Un ataque presencial, por ejemplo mediante un supuesto artesano en el sitio, también es ingeniería social, pero no se incluye dentro del phishing.
Para la defensa, la distinción es relevante. La protección contra phishing comienza en la bandeja de entrada, la protección contra vishing en la centralita, y la protección BEC en el proceso de autorización de transferencias. Quien considera el phishing de forma aislada solo cubre una parte de la amenaza.
Formas de phishing
El phishing se presenta en varias modalidades, que varían según el objetivo, el canal y el método de engaño. La forma básica es el phishing masivo, con gran volumen de mensajes y un saludo genérico. La tasa de éxito depende del volumen. El spear‑phishing se dirige a personas o equipos específicos y utiliza detalles previamente obtenidos para crear un mensaje personalizado. El esfuerzo es mayor, y la tasa de éxito también lo es.
Business Email Compromise (BEC) o CEO‑Fraud (fraude del CEO) ataca los procesos financieros y de autorización. Un supuesto superior o proveedor exige una transferencia urgente, a menudo a una IBAN modificada. El smishing distribuye el anzuelo a través de SMS o mensajería, frecuentemente relacionado con paquetes o temas aduaneros. El vishing es phishing por voz en llamadas telefónicas, donde la voz genera más autoridad que el texto. El quishing utiliza códigos QR como punto de entrada: la URL real solo se hace visible después de escanear y evita muchos filtros de correo electrónico.
La inteligencia artificial (IA) está cambiando las reglas del juego. Las voces generadas imitan a personas conocidas, y los deepfake aparecen en videollamadas. El esfuerzo disminuye; una simple autorización telefónica basta para llevar a cabo un ataque, si la voz convence.
Detectar y repeler phishing
La protección comienza con la tecnología. El entrenamiento en concienciación es un complemento y no debe ser la última línea de defensa. Quien pretenda resolver el phishing solo mediante la vigilancia de los empleados está dejando la seguridad al azar.
Verifica la protección ahora
- ✓Migrar a MFA resistente a phishing o a Passkeys
- ✓Configurar y monitorizar DMARC, SPF y DKIM
- ✓Operar un gateway de correo con rewriting de URLs y sandbox de adjuntos
- ✓Establecer un canal de reporte para mensajes sospechosos
- ✓Complementar procesos de autorización de transferencias con una segunda confirmación
La medida más importante es la autenticación multifactor resistente a phishing, o, de forma más contundente, Passkeys. Estos procedimientos vinculan la autenticación a un dominio y hacen que un token interceptado sea inútil para otro origen. Los códigos SMS clásicos o TOTP de aplicaciones son interceptables y no ofrecen esa protección. Las Passkeys eliminan por completo el secreto compartido.
Como complemento, los filtros en la bandeja de entrada: DMARC, SPF y DKIM para la verificación del remitente, gateways de correo con detección basada en IA, rewriting de URLs y sandbox de detonación de adjuntos. Estos filtros reducen el volumen, pero no impiden un ataque dirigido a través de un remitente comprometido legítimo.
Las señales de alerta típicas siguen siendo estables: urgencia y presión, dominios de remitente divergentes, solicitudes inesperadas de inicio de sesión y exigencias de excepción al proceso habitual. Un canal de reporte claro sin castigos por errores reportados aumenta la tasa de detección.
Preguntas frecuentes
Cada pregunta está bloqueada. Un toque desbloquea la respuesta.
¿Es phishing lo mismo que ingeniería social?
No. La ingeniería social es el término general para la manipulación de personas. El phishing es una subcategoría de ella que utiliza mensajes digitales. Otras formas son el vishing por teléfono o ataques de presencia en sitio.
¿Cuál es la diferencia entre phishing y spear-phishing?
El phishing masivo se dirige a muchos destinatarios con una saludo genérico. El phishing dirigido apunta a individuos o equipos específicos y aprovecha detalles previamente recopilados. El esfuerzo es mayor, la tasa de éxito también.
¿Es suficiente el entrenamiento de concienciación como protección?
No. La capacitación en concienciación complementa, pero no debe ser la última línea de defensa. La medida más importante es la autenticación multifactor (MFA) resistente al phishing o passkeys.
¿Qué autenticación multifactor protege contra el phishing?
Los métodos resistentes al phishing, como las claves FIDO2 o los autenticadores de plataforma, vinculan el inicio de sesión a un dominio. Un token interceptado es inútil para otro origen. Los códigos SMS o el TOTP son interceptables y no ofrecen esta protección.
¿Qué es Quishing?
Quishing es phishing a través de códigos QR. El código dirige a una página falsificada. La URL solo se hace visible después de escanearla y evade muchos filtros de correo electrónico, ya que el enlace malicioso no aparece en el texto del correo.
Selección de la redacción
Recomendado¿Qué es un passkey? Definición, funcionamiento y estándaresRecomendado¿Qué es el ransomware? Definición, proceso y protecciónRecomendadoCuando una llamada paraliza la producción automotriz
Más de la red MBF Media
MyBusinessFutureSi la actualización en sí misma se convierte en una puerta de entradacloudmagazinProhibir la IA oscura es el reflejo más costoso en la ciberseguridad




