Ir al contenido
Amenazas y Ataques

¿Qué es el phishing?

El phishing es un mensaje fraudulento, casi siempre por correo, diseñado para parecer que viene de una fuente legítima, como un banco, un proveedor conocido o el propio jefe, con el objetivo de engañar a la persona y obtener contraseñas y datos sensibles o instalar un programa malicioso. Es la puerta de entrada más común de los ataques cibernéticos.

Zamak TechnologiesActualizado el 9 de julio de 2026

Cómo funciona un ataque de phishing

El phishing no invade sistemas, convence a una persona. El engaño suele seguir cuatro pasos.

1

La carnada

El criminal arma un mensaje que imita una fuente confiable, con logotipo, dirección y tono parecidos a los reales.

2

El gatillo

Un motivo para actuar sin pensar: urgencia, miedo, un cobro, un premio o una orden que parece venir de un superior.

3

La acción

La víctima hace clic en el enlace, abre el adjunto o escribe la contraseña en una página falsa que copia la verdadera.

4

La cosecha

La credencial o el dato va directo al criminal, que usa el acceso para robar dinero, datos o instalar ransomware.

Fuente: Cyber Encyclopedia de N-able.

Cómo reconocer un phishing

  • El nombre del remitente no coincide con el dominio real del correo
  • Enlaces que, al pasar el mouse, apuntan a una dirección distinta del texto
  • Un saludo genérico (“Estimado cliente”) en lugar de su nombre
  • Urgencia o amenaza: “su cuenta será bloqueada en 24 horas”
  • Un adjunto inesperado que usted no solicitó
  • Un pedido de contraseña, código o dato sensible por mensaje
  • Errores de gramática, formato extraño o algo simplemente “fuera de tono”

Tipos de phishing

  • Phishing tradicional Correos masivos, genéricos, enviados a miles de personas.
  • Spear phishing Dirigido a una persona específica, con detalles reales para parecer legítimo.
  • Whaling Enfocado en ejecutivos que autorizan pagos o acceden a datos críticos.
  • Vishing, smishing y quishing Las mismas tácticas por teléfono (voz), SMS o código QR.

Por qué el phishing es tan peligroso

193.407
denuncias de phishing al FBI en 2024, el delito cibernético más reportado (IC3 2024)
21 s
es el tiempo mediano hasta que alguien hace clic en un phishing tras la entrega (Verizon DBIR 2025)
N.º 1
el phishing es la puerta de entrada más común de los ataques cibernéticos

El phishing es la puerta de entrada de la mayoría de los ataques, del ransomware al fraude del correo corporativo. En el informe de delitos en internet del FBI (IC3 2024), el phishing y la suplantación fueron el delito cibernético más denunciado, con 193.407 registros, más del doble que el segundo lugar. Y la ventana de reacción es muy corta: Verizon (DBIR 2025) midió que el tiempo mediano hasta que alguien hace clic en un correo de phishing es de apenas 21 segundos tras la entrega. Por eso la defensa no puede depender solo de la atención humana: cuando una persona se equivoca, toda la empresa queda expuesta.

Cómo protegerse del phishing

La defensa eficaz es por capas, porque ninguna persona acierta el 100% de las veces:

  1. Una segunda verificación de identidad (MFA)Si roban la contraseña, el segundo factor aún impide el acceso.
  2. Seguridad de correo gestionadaFiltra la mayoría de los mensajes maliciosos antes de que lleguen a la bandeja.
  3. Capacitación y simulación de phishingConvierte al equipo en una capa de defensa que reconoce el engaño.
  4. Verificar por un canal independienteAnte un pedido de dinero o datos, confirme por teléfono, no por el correo recibido.
  5. Defensa avanzada de endpointSi alguien hace clic, contiene el programa malicioso antes de que se propague.

En la práctica

Ante la duda, verifique por otro canal. Una llamada confirma lo que un correo no prueba.

Cómo trata Zamak el phishing

Zamak Technologies combina seguridad de correo gestionada, una segunda verificación de identidad y capacitación con simulación de phishing, para que la defensa no dependa de que la persona nunca se equivoque. Un buen punto de partida es la simulación de phishing, que muestra cómo reaccionaría su equipo ante un engaño real.

Preguntas frecuentes sobre el phishing

¿Cómo saber si un correo es phishing?
Desconfíe de la urgencia, de los pedidos de contraseña, de los enlaces cuyo destino no coincide con el texto y de remitentes cuya dirección no corresponde a la empresa. Ante la duda, no haga clic y confirme por otro canal.
¿Cuál es la diferencia entre phishing y spam?
El spam es correo no deseado, generalmente publicidad. El phishing es un fraude que intenta robar datos o dinero haciéndose pasar por alguien confiable.
¿Qué es el spear phishing?
Es el phishing dirigido a una persona específica, usando detalles reales (nombre, cargo, proyectos) para parecer legítimo y aumentar la probabilidad de éxito.
Hice clic en un enlace de phishing, ¿y ahora?
No escriba nada, desconecte el dispositivo de la red y avise a TI o a seguridad de inmediato. Cambie la contraseña del servicio afectado desde otro dispositivo confiable.
¿El antivirus protege contra el phishing?
Ayuda, pero no basta. El phishing engaña a la persona, no al sistema. La protección real combina seguridad de correo, una segunda verificación de identidad y capacitación.
¿Capacitar al equipo lo resuelve?
Reduce mucho el riesgo, pero ninguna persona acierta siempre. La capacitación es una capa; funciona junto con la tecnología, no en su lugar.

Términos relacionados

RansomwareBEC (fraude de correo)Ingeniería socialMFADark web
Amenazas y Ataques
RansomwarePhishingBEC (fraude de correo)Ingeniería socialDoble extorsiónDark webDeep web
Endpoint e Identidad
MFA
Detección y Respuesta
EDRMDRXDRMITRE ATT&CK
Red y Acceso
ZTNA
Continuidad y Recuperación
BackupBackup inmutableRPO (punto de recuperación)RTO (tiempo de recuperación)DRaaS (recuperación ante desastres como servicio)
Gobernanza y Cumplimiento
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernética