¿Qué es el phishing?

by | Published Septiembre 25th, 2025

Hand holding smartphone with an email icon on the screen with a fishing hook and line attached

El phishing es un delito cibernético muy común que consiste en engañar a las personas para que revelen contraseñas, números de tarjetas de crédito o datos personales, información que los delincuentes utilizan para sustraer datos y activos valiosos, así como para hacerse con el control de los sistemas e instalar malware. Los estafadores saben que el mejor momento para llevar a cabo un ataque de phishing es cuando las víctimas menos se lo esperan.

Así es como funciona el phishing: el delincuente envía un correo electrónico, un mensaje de texto o un mensaje a través de las redes sociales desde lo que puede parecer un remitente conocido y de confianza, logrando que la víctima lo considere legítimo, actúe con rapidez —a menudo sin pensarlo— y comparta información confidencial. Una vez que el ciberdelincuente logra acceder al sistema, puede causar estragos.

Las pérdidas pueden ser enormes. El acceso a los sistemas confidenciales de una empresa puede paralizar sus operaciones y dar lugar al robo de activos, propiedad intelectual y datos valiosos. Dada la gravedad de lo que está en juego, unida a la gran variedad y al enorme volumen de intentos de phishing, nunca ha sido tan urgente la necesidad de adoptar un enfoque integral para hacer frente a esta forma insidiosa de ciberdelincuencia.

¿Cuáles son algunas técnicas de phishing?

El phishing adopta muchas formas y utiliza técnicas que están en constante evolución. Comprender los tipos y las técnicas de estos ciberataques es el primer paso para desarrollar buenas prácticas de ciberseguridad que permitan hacerles frente.

Correo electrónico/Correo basura

La mayoría de los ataques de phishing comienzan con el uso indebido del correo electrónico. La víctima recibe un mensaje que parece proceder de una fuente que conoce y en la que confía, como un banco, una tienda en línea, un proveedor de servicios o incluso un compañero de trabajo. Estos correos electrónicos pueden contener enlaces a sitios web falsos o archivos adjuntos maliciosos que engañan a los destinatarios para que revelen información confidencial o instalen malware sin darse cuenta.

Phishing con arpón

El spear phishing utiliza mensajes personalizados para dar una mayor apariencia de legitimidad. En ellos pueden mencionarse nombres, cargos profesionales o acontecimientos y transacciones recientes, todo ello con el fin de aumentar la probabilidad de que el destinatario muerda el anzuelo y haga clic.

Mensaje de texto (smishing)

El «smishing», que utiliza las plataformas de mensajes cortos (SMS) para llevar a cabo ataques de phishing, se sirve de mensajes de texto para engañar a las víctimas con falsos avisos de entrega, alertas bancarias o notificaciones de premios. Todos ellos incluyen enlaces a sitios web fraudulentos. A menudo, las personas responden a estos mensajes urgentes sin pensarlo dos veces, lo que deja sus dispositivos móviles a merced de los estafadores.

Ingeniería social

La ingeniería social recurre a técnicas de manipulación que se aprovechan de la naturaleza humana en lugar de las vulnerabilidades técnicas. Los atacantes utilizan llamadas telefónicas, redes sociales o incluso interacciones presenciales para hacerse pasar por una persona de confianza con el objetivo de obtener acceso a sistemas, datos y activos financieros.

Malware

Aunque algunos ataques de phishing tienen como objetivo el robo directo de datos y activos, otros están diseñados para instalar software malicioso en los sistemas con el fin de secuestrarlos, establecer un mecanismo de robo de datos a largo plazo o propagarse de un sistema sensible a otro. El malware adopta muchas formas.

Troyanos

Un troyano es un programa malicioso que se disfraza de aplicación, documento o archivo legítimo. Una vez descargado, se ejecuta y permite a los ciberdelincuentes actuar a su antojo. Los troyanos pueden robar datos, descargar más malware, instalar rastreadores y otorgar a los atacantes el control total de su dispositivo y, en ocasiones, de los sistemas conectados a él.

Registradores de teclas

Estos programas registran cada pulsación de tecla que realiza el usuario para capturar nombres de usuario, contraseñas, números de tarjetas de crédito, apellidos de soltera de la madre y otra información valiosa. Se trata de un tipo de malware que se transmite a través de descargas, archivos adjuntos de correo electrónico o al visitar sitios web infectados.

Técnicas de ciberseguridad para combatir el phishing

Para detener los ataques de phishing y proteger los sistemas y los datos es necesaria una combinación de tecnología, formación y vigilancia constante. El Centro Nacional de Ciberseguridad del Reino Unido recomienda cuatro niveles de mitigación:

Prevención

Detener un ataque antes de que se produzca es la mejor forma de proteger la información y los activos. Conocer cómo se inician los ataques permite abordar el factor humano. Limitar la cantidad de información personal disponible en su sitio web ofrece a los posibles atacantes menos material que puedan utilizar para la ingeniería social. Las tecnologías que filtran los correos electrónicos, exigen la autenticación multifactorial y supervisan los dominios pueden reducir el número de correos electrónicos y mensajes de texto maliciosos que llegan a las bandejas de entrada. Las herramientas de seguridad en los puntos de inicio de sesión o de transferencia de datos pueden frustrar eficazmente los ataques. Las herramientas que detectan intrusiones y el software antimalware pueden detectar posibles ataques en el momento en que se producen.

Detección

Cuanto antes se detecte un ataque, antes se podrá poner en marcha una respuesta, lo que, en el mejor de los casos, limitará los daños causados. La formación de los empleados también desempeña un papel fundamental, ya que ayuda a los usuarios no solo a evitar ser víctimas de la ciberdelincuencia, sino también a notificar rápidamente los intentos de phishing, tanto si han fracasado como si han tenido éxito. Es fundamental fomentar una cultura en la que no se culpe a nadie y que anime a notificar los incidentes de forma oportuna.

Mitigación

No es realista pensar que ustedprevenir todos los ciberataques, por lo que las organizaciones también necesitan una estrategia para limitar el daño que pueden causar los ciberdelincuentes en caso de que falle la primera línea de defensa. Aislar los dispositivos y sistemas atacados, revocar nombres de usuario y contraseñas, y bloquear sitios web maliciosos puede limitar el daño. Incorporar capas de seguridad en todo el sistema, como la autenticación multifactorial, los gestores de contraseñas y formas alternativas de autenticación —como la biometría— también puede resultar eficaz.

Respuesta

Actuar con la mayor rapidez posible para proteger los sistemas y los datos es la prioridad principal. Restablecer el funcionamiento de los sistemas y recuperar los datos intactos permite que las organizaciones sigan operando. La detección oportuna es fundamental. Se puede utilizar software para supervisar los sistemas en busca de brechas de seguridad, pero es aquí donde su cultura de notificación dará sus frutos.

Sin embargo, la detección es solo el principio; también usted crear un sistema eficaz para que los usuarios puedan presentar informes. Además, su organización necesita contar con un plan de respuesta bien ensayado que le permita actuar con rapidez. Un informe posterior al incidente ayudará a la organización a reforzar sus defensas para evitar que se repitan los ataques.

Únase a la primera línea de la defensa cibernética contra el phishing

El phishing es una puerta de entrada al cibercrimen: la vía de acceso a la mayoría de los principales ataques digitales. Los ciberdelincuentes son cada vez más sofisticados, lo que aumenta la necesidad de contar con profesionales con conocimientos en ciberseguridad. Una carrera en el ámbito tecnológico, concretamente en ciberseguridad, ofrece numerosas oportunidades laborales, puestos interesantes y salarios cada vez más elevados. Con un título en ciberseguridad, ustedoportunidades en el sector empresarial, la administración pública y las organizaciones sin ánimo de lucro, protegiendo a estas entidades frente a amenazas en constante evolución.

La Universidad de Excelsior ha sido designada Centro de Excelencia Académica en Ciberdefensa por la Agencia de Seguridad Nacional y el Departamento de Seguridad Nacional, y es sede del Instituto Nacional de Ciberseguridad. La Licenciatura en Ciencias en Ciberseguridad de Excelsior usted habilidades y usted formación práctica usted prosperar y liderar en este campo, así como para presentarse a exámenes de certificación como el CEH o el Security+. El programa de Licenciatura en Ciencias en Ciberseguridad no solo usted prepara usted hacer frente a las amenazas a las que se enfrenta nuestro mundo hoy en día, como el phishing; usted prepara usted proteger a las organizaciones de las ciberamenazas que aún están por surgir, usted su lugar en la primera línea de la ciberdefensa.