¿Qué es un ataque de phishing?

Los ataques de phishing consisten en engañar a la víctima para que realice alguna acción que beneficie al atacante. Estos ataques van de simples a complejos. Muchos de ellos pueden ser detectados por usuarios preparados.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque de phishing
  • Explorar los ataques de phishing más comunes
  • Aprender maneras de protegerte contra el phishing

Copiar el enlace del artículo

Resumen del artículo:

  • Un ataque de phishing utiliza mensajes engañosos de fuentes aparentemente confiables para engañar a las víctimas y hacer que revelen información confidencial como credenciales de inicio de sesión, contraseñas o datos financieros para uso malicioso.
  • Los atacantes utilizan varios métodos sofisticados, incluidas la suplantación de dominios, los sitios web falsos y la IA generativa, para ejecutar un ataque de phishing por correo electrónico, SMS, llamadas telefónicas o redes sociales.
  • La prevención eficaz contra un ataque de phishing implica comprobar las URL, usar herramientas de seguridad para correos electrónicos y adoptar los modelos de seguridad Zero Trust para identificar y bloquear los intentos de comunicación fraudulenta.

¿Qué es un ataque de phishing?

"Phishing" se refiere a un intento de robo de información sensible, como ser nombres de usuario, contraseñas, números de tarjetas de crédito, información de cuentas bancarias u otros datos importantes para utilizar o vender la información robada. El atacante, que se hace pasar por una fuente confiable con una solicitud atractiva, atrae a la víctima para engañarla, de manera similar a como un pescador usa el cebo para atrapar un pez.

Un ataque de phishing

¿Cómo se lleva a cabo el phishing?

Los ejemplos más comunes de phishing se utilizan para apoyar otras acciones maliciosas, como la usurpación de cuentas, los ataques de ransomware o el compromiso del correo electrónico empresarial. Históricamente, los ataques de phishing solían ocurrir a través de correos electrónicos o mensajes instantáneos. Hoy en día, los ataques de phishing ocurren a través de diversos medios, desde mensajes de texto SMS hasta llamadas telefónicas y códigos QR.

Existen varias técnicas que los atacantes pueden emplear para hacer que sus intentos de phishing sean más efectivos:

  • Encontrar, comprar o extraer información de contacto conocida
  • Crear sitios web y aplicaciones falsos que imitan a los auténticos.
  • Utilizar técnicas como el flujo rápido de DNS para disfrazar sus servidores de alojamiento.
  • Utilizar la suplantación de dominio y la suplantación de correo electrónico para que los mensajes parezcan legítimos.
  • Manipular los enlaces para que las URL en los mensajes de phishing parezcan legitimas.
  • Enviar correos electrónicos desde una infraestructura de confianza que pueda pasar las comprobaciones y superar los filtros de spam.
  • Utilizar de la IA generativa para crear rápidamente mensajes realistas y sin errores.

La mayoría de los ataques de phishing pueden dividirse en algunas categorías generales. Es útil familiarizarse con algunos de estos diferentes vectores de ataques de phishing para detectarlos en el entorno.

Informe
Informe de Security Signals 2026

Estafa de falsificación de sitio web

Este tipo de estafa suele ir acompañado de otras estafas, como la estafa de desactivación de cuentas (ver más abajo). En este ataque, el atacante crea un sitio web que es prácticamente idéntico al sitio web legítimo de una empresa que utiliza la víctima, como un banco. Cuando el usuario visita la página por cualquier medio, ya sea un intento de phishing por correo electrónico, un hipervínculo dentro de un foro o un motor de búsqueda, la víctima llega a un sitio web que cree que es el legítimo en lugar de una copia fraudulenta. Toda la información introducida por la víctima se recopila para su venta u otro uso malicioso.

Cuando se comenzó a utilizar Internet, este tipo de páginas duplicadas eran bastante fáciles de detectar debido a su elaboración deficiente. Hoy en día, los sitios fraudulentos pueden parecer una copia perfecta del original.

Al verificar la URL en el navegador web, puede ser posible detectar un fraude. Si la URL parece diferente a la habitual, debe considerarse altamente sospechosa. Si la página web se muestra como insegura y el HTTPS no está activado, esto es una señal de alerta y prácticamente garantiza que el sitio está roto o es un ataque de phishing.

Sin embargo, los atacantes pueden utilizar la suplantación de dominio para lograr una imitación muy parecida a la URL real del sitio web. También pueden utilizar métodos como el secuestro de dominios para apoderarse de la dirección real del sitio web. Incluso los usuarios más perspicaces pueden ser engañados; por lo tanto, a veces es prudente contactar a la supuesta fuente del correo electrónico (por ejemplo, llamando a la línea de atención al cliente del banco) para asegurarse de que el mensaje que llevó a la página web sea legítimo.

Estafa de desactivación de cuenta

Al jugar con la urgencia generada en la víctima, que cree que le van a desactivar una cuenta importante, los atacantes son capaces de engañar a algunas personas para que entreguen información importante, como las credenciales de acceso. Este es un ejemplo: el atacante envía un correo electrónico que parece que viene de una institución importante, como un banco, y afirma que la cuenta bancaria de la víctima será desactivada si no actúa rápido. El atacante solicitará entonces el nombre de usuario y la contraseña de la cuenta bancaria de la víctima para detener la desactivación. En una versión más refinada del ataque, una vez que se ha introducido la información, se dirigirá a la víctima al sitio web legítimo del banco para que todo parezca correcto.

Este tipo de ataque se puede contrarrestar si se va directamente al sitio web del servicio en cuestión y viendo si el proveedor legítimo notifica al usuario que hay problemas con la cuenta. También es recomendable comprobar la barra de URL y asegurarse de que el sitio web sea seguro. Cualquier sitio web que solicite un nombre de usuario y una contraseña que no sean seguros debe ponerse en duda seriamente y, casi sin excepción, no debe usarse.

Estafa nigeriana

Este ataque común de phishing por correo electrónico se popularizó con el correo electrónico del “príncipe nigeriano”, en el que un supuesto príncipe nigeriano en una situación desesperada ofrece a la víctima una gran suma de dinero a cambio de una pequeña tarifa por adelantado. Como era de esperar, cuando se paga la tarifa, nunca llega una gran cantidad de dinero. La historia interesante es que este tipo de estafa ha ocurrido durante más de cien años en diferentes formas; originalmente se conocía a finales del siglo XIX como la estafa del "prisionero español", en la que un estafador contactaba a una víctima para aprovecharse de su codicia y simpatía. Supuestamente, el estafador intentaba sacar de contrabando a un prisionero español adinerado, quien recompensaría generosamente a la víctima a cambio del dinero para sobornar a algunos guardias de la prisión.

Este ataque (en todas sus formas) se mitiga al no responder a solicitudes de desconocidos en las que se debe entregar dinero para recibir algo a cambio. Si suena demasiado bueno para ser verdad, probablemente lo sea. Una simple búsqueda en Google sobre el tema de la solicitud o parte del texto en sí suele revelar los detalles de la estafa. Los filtros de spam también pueden ser entrenados para detectar este tipo de correos electrónicos.

Me interesa
Seguridad y velocidad con cualquier plan de Cloudflare

¿Cómo se integra el phishing en campañas de ataque más generales?

Algunos ataques de phishing tienen como objetivo simplemente recopilar información privada de tantas personas como sea posible. Los atacantes pueden usar esa información para tomar el control de las cuentas de usuario o robar sus identidades. O bien, pueden vender esa información en los mercados clandestinos al mejor postor.

Otros ataques de phishing son parte de esfuerzos más grandes de grupos llamados amenazas persistentes avanzadas (APT). Una APT que desee acceder a la información confidencial de una empresa, infectarla con ransomware o comprometerla de cualquier otro modo podría comenzar con una campaña de phishing que le permita acceder a una cuenta perteneciente a un empleado de la empresa. Una vez que tienen este punto de entrada, pueden utilizar varias técnicas para penetrar más en la red de la empresa (este proceso se denomina movimiento lateral). Muchos ciberataques de gran importancia han comenzado con correos electrónicos de phishing bastante simples.

¿Qué es el spear phishing?

Este tipo de phishing está dirigido a personas o empresas específicas, de ahí el término phishing de objetivo definido. Al recopilar detalles o comprar información sobre un objetivo específico, un atacante puede llevar a cabo una estafa personalizada. Actualmente, este es el tipo de phishing más eficaz.

¿Qué es el clone phishing?

El phishing de clonación implica imitar un correo electrónico legítimo previamente entregado y modificar sus enlaces o archivos adjuntos para engañar a la víctima y hacer que abra un sitio web o archivo malicioso. Por ejemplo, al tomar un correo electrónico y adjuntar un archivo malicioso con el mismo nombre que el archivo original adjunto, y luego reenviar el correo electrónico con una dirección de correo electrónico falsa que parece provenir del remitente original, los atacantes son capaces de aprovecharse de la confianza de la comunicación inicial para que la víctima tome medidas.

¿Qué es el whaling?

Para los ataques dirigidos específicamente a altos ejecutivos u otros usuarios privilegiados dentro de las empresas, se suele utilizar el término whaling. Este tipo de ataques suelen tener contenido que probablemente requiera la atención de la víctima, como citaciones legales u otros asuntos ejecutivos. Los ataques de whaling pueden ser muy personalizados y es probable que el estafador se haga pasar por alguien que el objetivo conoce, ya sea otro líder dentro de la organización o alguna otra parte de confianza.

Phishing multicanal

Los atacantes con suficientes recursos pueden realizar campañas de phishing en simultaneo a través de múltiples canales. En lugar de simplemente enviar correos electrónicos a sus objetivos, también envían mensajes de texto, los llaman por teléfono, se comunican con ellos en las redes sociales, etc. Los modelos de IA generativa pueden ayudar a los atacantes a crear el contenido que necesitan, desde el texto del correo electrónico hasta deepfakes de personas de confianza. Este artículo sobre el phishing multicanal explica cómo la seguridad Zero Trust puede ayudar a las organizaciones a defenderse de este tipo de campañas.

¿Cómo ayuda Cloudflare a las organizaciones a defenderse de los ataques de phishing?

El phishing puede producirse a través de una variedad de vectores de ataque, pero uno de los principales es el correo electrónico. Muchos proveedores de correo electrónico intentan bloquear automáticamente los correos electrónicos de phishing, pero a veces siguen llegando a los usuarios, lo que hace que la seguridad del correo electrónico sea una preocupación importante.

Afortunadamente, existen muchas señales reveladoras que indican que un correo electrónico puede ser parte de un ataque de phishing. Descubre cómo identificar un correo electrónico de phishing.

Además, Cloudflare Email Security ofrece una protección avanzada contra el phishing mediante el rastreo de Internet y la investigación de la infraestructura de phishing para identificar las campañas de phishing con antelación. Descubre cómo funciona Cloudflare Email Security.