Ciberamenazas y contramedidas

Phishing

Se lee en aproximadamente 5 minutos

Última actualización: 2026-03-25

Qué es el phishing

El phishing es un ciberataque que suplanta la identidad de organizaciones o personas de confianza para robar contraseñas, números de tarjetas de crédito e información personal. Se considera un término acuñado a partir de la combinación de "fishing" (pesca) y "sophisticated" (sofisticado).

Según informes del IPA (Agencia de Promoción de Tecnología de la Información), el phishing se mantiene constantemente entre las 10 principales amenazas de seguridad cada año, y el número de víctimas sigue en aumento. No se trata de un ataque técnicamente avanzado, sino de una forma de ingeniería social que explota las vulnerabilidades psicológicas humanas.

Métodos típicos

  • Phishing por correo electrónico: El método más común, que utiliza correos que suplantan a bancos o proveedores de servicios para dirigir a sitios falsos. Se caracterizan por mensajes que generan urgencia como "Su cuenta será suspendida" o "Se ha detectado un acceso no autorizado".
  • Smishing (phishing por SMS): Método que utiliza SMS. Los casos que simulan notificaciones de entrega fallida o avisos de pagos pendientes están aumentando rápidamente.
  • Spear phishing: Ataque dirigido que apunta a individuos u organizaciones específicas, enviando correos altamente creíbles utilizando información recopilada previamente. El "whaling", que se dirige a ejecutivos de empresas, es una variante de este tipo.
  • Phishing de clonación: Método que replica correos legítimos recibidos anteriormente, reemplazando solo los enlaces por sitios falsos. Los destinatarios que han visto el correo original son menos propensos a sospechar.

La verificación de los encabezados de correo es un medio de defensa efectivo. Se comprueba si el dominio del remitente indicado en los encabezados Return-Path o Received coincide con el remitente mostrado. Por ejemplo, si el remitente aparece como "support@amazon.co.jp" pero el Return-Path es "noreply@xyz-random.com", se puede determinar que hay una alta probabilidad de phishing.

Cómo identificar sitios falsos

Verificar los siguientes puntos puede aumentar las posibilidades de identificar un sitio de phishing.

  • Verificar la URL: Prestar atención a dominios con una letra diferente al legítimo (ejemplo: amaz0n.com) o dominios falsos que incluyen el nombre legítimo como subdominio (ejemplo: amazon.security-check.com).
  • No juzgar solo por la presencia de HTTPS: Actualmente, aproximadamente el 80% de los sitios de phishing obtienen certificados TLS/SSL, por lo que el icono del candado por sí solo no garantiza la seguridad.
  • No hacer clic directamente en enlaces de correos: Adquiera el hábito de acceder a los sitios oficiales desde los marcadores del navegador o motores de búsqueda.
  • Irregularidades en el idioma: Verifique si hay expresiones poco naturales típicas de traducción automática, diferencias en las fuentes o irregularidades en el uso de la puntuación.

También es útil conocer los patrones típicos de URL de phishing. Se utiliza frecuentemente la técnica de incluir el dominio legítimo como subdominio o ruta para hacerlo parecer auténtico, como https://amazon.co.jp.account-verify.com/login. En la barra de direcciones del navegador, el nombre de dominio justo antes del último .com (account-verify.com) es el destino real de la conexión.

Qué hacer si eres víctima

Si has ingresado información en un sitio de phishing, toma las siguientes medidas de inmediato.

  1. Cambiar inmediatamente la contraseña del servicio afectado
  2. Cambiar también las contraseñas de otros servicios donde reutilizabas la misma contraseña
  3. Si ingresaste información de tarjeta de crédito, contactar a la compañía de la tarjeta y solicitar la suspensión
  4. Habilitar la autenticación de dos factores
  5. Reportar al Consejo Anti-Phishing (https://www.antiphishing.jp/)

Para prevenir la expansión del daño, también es importante tomar medidas adicionales según el tipo de información ingresada. Si ingresaste tu dirección de correo electrónico y contraseña, los atacantes pueden intentar el credential stuffing para acceder de forma no autorizada a otros servicios. Utiliza un gestor de contraseñas para identificar los servicios donde usas la misma contraseña y cámbialas todas.

Métodos de phishing más recientes

Los ataques de phishing se vuelven más sofisticados cada año, y han surgido métodos que no se pueden prevenir simplemente con "tener cuidado con los correos sospechosos".

Phishing con código QR (quishing) es un método que dirige a sitios falsos mediante códigos QR incrustados en correos o materiales impresos. Como la URL no se puede verificar visualmente en un código QR, al escanearlo con el smartphone ya se accede al sitio falso. También se han reportado ataques físicos donde se pegan códigos QR falsos sobre los códigos QR de pago en estacionamientos.

Phishing con IA generativa es un método que genera masivamente correos de phishing en lenguaje natural utilizando modelos de lenguaje de gran escala. Las expresiones poco naturales y los errores gramaticales que se veían en los correos de phishing convencionales han desaparecido, alcanzando una calidad indistinguible de los correos comerciales legítimos. Además, se han confirmado casos donde se analiza la información pública y publicaciones en redes sociales del objetivo con IA para generar automáticamente correos de spear phishing personalizados.

Vishing (phishing por voz) es un método que utiliza llamadas telefónicas. Se hacen pasar por bancos o compañías de tarjetas, informando que "se ha detectado un uso fraudulento" para obtener números de tarjeta y PIN. Al falsificar el número de origen (spoofing) para mostrar el número legítimo, no se puede distinguir solo por la pantalla de llamada entrante.

Phishing de intermediario (AiTM) es un método avanzado donde el atacante coloca un proxy inverso entre el sitio legítimo y el usuario, robando credenciales de autenticación y cookies de sesión en tiempo real. Aunque el usuario cree haber iniciado sesión en el sitio legítimo, como el atacante ha obtenido la cookie de sesión, puede eludir la autenticación de dos factores. Como contramedida a este método, la implementación de passkeys (FIDO2) es la más efectiva.

Conceptos erróneos comunes

Los correos de phishing se pueden identificar fácilmente a simple vista
Los correos de phishing recientes son muy elaborados y muchos son prácticamente indistinguibles de los correos legítimos. Especialmente en el spear phishing, donde se utilizan nombres de socios comerciales o colegas reales, incluso los expertos en seguridad pueden ser engañados.
Si tiene HTTPS (icono de candado) es seguro
Con la popularización de certificados SSL gratuitos como Let's Encrypt, la mayoría de los sitios de phishing son compatibles con HTTPS. El icono del candado solo indica que la comunicación está cifrada, no garantiza la legitimidad del sitio.

Términos relacionados

Ingeniería social Una metodología de ataque que explota las debilidades psicológicas humanas en lu… Credential Stuffing Un ataque automatizado que toma combinaciones de nombre de usuario y contraseña … Autenticación de dos factores (2FA) Un método de seguridad que requiere un factor de autenticación adicional más all… Passkey Una tecnología de autenticación sin contraseña basada en el estándar FIDO2/WebAu… Filtración de datos Un incidente en el que información personal o datos confidenciales en poder de u…

Artículos relacionados

Cómo detectar phishing - Lista de verificación práctica para evitar estafas Aprende las tácticas de phishing más recientes y puntos de verificación específicos para identificar… Fundamentos de seguridad del correo electrónico - Cómo protegerte del phishing Aprende a identificar correos de phishing, comprende el cifrado de correo electrónico y sigue consej…
← Glosario