¿Qué es el phishing?
El phishing es un mensaje fraudulento, casi siempre por correo, diseñado para parecer que viene de una fuente legítima, como un banco, un proveedor conocido o el propio jefe, con el objetivo de engañar a la persona y obtener contraseñas y datos sensibles o instalar un programa malicioso. Es la puerta de entrada más común de los ataques cibernéticos.
Cómo funciona un ataque de phishing
El phishing no invade sistemas, convence a una persona. El engaño suele seguir cuatro pasos.
La carnada
El criminal arma un mensaje que imita una fuente confiable, con logotipo, dirección y tono parecidos a los reales.
El gatillo
Un motivo para actuar sin pensar: urgencia, miedo, un cobro, un premio o una orden que parece venir de un superior.
La acción
La víctima hace clic en el enlace, abre el adjunto o escribe la contraseña en una página falsa que copia la verdadera.
La cosecha
La credencial o el dato va directo al criminal, que usa el acceso para robar dinero, datos o instalar ransomware.
Fuente: Cyber Encyclopedia de N-able.
Cómo reconocer un phishing
- El nombre del remitente no coincide con el dominio real del correo
- Enlaces que, al pasar el mouse, apuntan a una dirección distinta del texto
- Un saludo genérico (“Estimado cliente”) en lugar de su nombre
- Urgencia o amenaza: “su cuenta será bloqueada en 24 horas”
- Un adjunto inesperado que usted no solicitó
- Un pedido de contraseña, código o dato sensible por mensaje
- Errores de gramática, formato extraño o algo simplemente “fuera de tono”
Tipos de phishing
- Phishing tradicional Correos masivos, genéricos, enviados a miles de personas.
- Spear phishing Dirigido a una persona específica, con detalles reales para parecer legítimo.
- Whaling Enfocado en ejecutivos que autorizan pagos o acceden a datos críticos.
- Vishing, smishing y quishing Las mismas tácticas por teléfono (voz), SMS o código QR.
Por qué el phishing es tan peligroso
El phishing es la puerta de entrada de la mayoría de los ataques, del ransomware al fraude del correo corporativo. En el informe de delitos en internet del FBI (IC3 2024), el phishing y la suplantación fueron el delito cibernético más denunciado, con 193.407 registros, más del doble que el segundo lugar. Y la ventana de reacción es muy corta: Verizon (DBIR 2025) midió que el tiempo mediano hasta que alguien hace clic en un correo de phishing es de apenas 21 segundos tras la entrega. Por eso la defensa no puede depender solo de la atención humana: cuando una persona se equivoca, toda la empresa queda expuesta.
Cómo protegerse del phishing
La defensa eficaz es por capas, porque ninguna persona acierta el 100% de las veces:
- Una segunda verificación de identidad (MFA)Si roban la contraseña, el segundo factor aún impide el acceso.
- Seguridad de correo gestionadaFiltra la mayoría de los mensajes maliciosos antes de que lleguen a la bandeja.
- Capacitación y simulación de phishingConvierte al equipo en una capa de defensa que reconoce el engaño.
- Verificar por un canal independienteAnte un pedido de dinero o datos, confirme por teléfono, no por el correo recibido.
- Defensa avanzada de endpointSi alguien hace clic, contiene el programa malicioso antes de que se propague.
En la práctica
Ante la duda, verifique por otro canal. Una llamada confirma lo que un correo no prueba.
Cómo trata Zamak el phishing
Zamak Technologies combina seguridad de correo gestionada, una segunda verificación de identidad y capacitación con simulación de phishing, para que la defensa no dependa de que la persona nunca se equivoque. Un buen punto de partida es la simulación de phishing, que muestra cómo reaccionaría su equipo ante un engaño real.