Glosario
¿Qué es el phishing? Los tipos de ataque y defensas más seguras que 'saber detectarlo'
El phishing suplanta a alguien de confianza para llevarte a un sitio falso y robar contraseñas o datos. Apunta a las personas, no al software. Los tipos (spear phishing, BEC, smishing, AiTM) y la defensa real: MFA resistente al phishing.
«Hacerse pasar por alguien de tu confianza para llevarte a un sitio falso»: eso es el phishing. Aquí tienes los tipos y las defensas más seguras (sin pasos de ataque).
Cómo funciona: apunta a las personas, no a «un agujero en el software»
Donde el XSS o la inyección SQL explotan un defecto del software, el phishing explota el juicio humano. Mensajes como «tu cuenta está suspendida» o «urgente: confirma ahora» usan urgencia, autoridad y miedo para robar el momento en que de otro modo te pararías a pensar, y luego te llevan a un sitio falso idéntico al original para que escribas tu contraseña. Un sitio con cero vulnerabilidades técnicas igualmente filtra credenciales si engañan a sus usuarios.
Los tipos (nombres distintos, mismo núcleo)
Phishing masivo
enviado a muchas personas
Spear phishing
dirigido a una persona/organización concreta
BEC
suplantar a un proveedor/directivo para ordenar un pago
Smishing
por SMS
Vishing
por teléfono
AiTM
retransmite el inicio de sesión al sitio real, derrota el MFA
Los nombres difieren, pero el núcleo es el mismo: atraerte falsificando la confianza. En particular, el BEC (compromiso del correo corporativo) causa grandes pérdidas económicas sin ningún malware: solo «una solicitud de pago que parece de un proveedor». Es un tipo que detienes con una comprobación del proceso de negocio, no con tecnología.
Defensa: detenlo con un mecanismo, no con la vigilancia
Usa MFA resistente al phishing (lo más importante)
Un mecanismo que no responde a los sitios falsos es la respuesta real. Las passkeys / llaves de seguridad por hardware (FIDO2) están ligadas al dominio, así que en un dominio falso la autenticación simplemente no se puede completar; ni siquiera el atacante en el medio (AiTM) puede retransmitirla. Los códigos por SMS/aplicación de autenticación pueden retransmitirse, así que mueve primero tus llaves del reino (correo, dominio, pagos) a un MFA resistente (→ elegir MFA).
No hagas clic en el enlace: ve tú mismo al sitio oficial
No toques los enlaces del correo o el SMS; llega al sitio oficial directamente mediante un marcador o escribiendo la dirección. Cuanto más se presente un mensaje como «comprobación de cuenta», «facturación» o «entrega», más deberías abrirlo a tu manera, no a través de su enlace.
Corta la falsificación de correo con tecnología
Configura correctamente SPF/DKIM/DMARC de tu dominio para que el correo falsificado que suplanta tu dominio pueda rechazarse en el extremo receptor (→ qué son SPF/DKIM/DMARC). Un gestor de contraseñas no autocompletará en un dominio falso, así que «no se rellenó» es en sí una señal de que el sitio es falso.
Haz una pausa ante urgencia/autoridad; verifica los pagos por otro canal
«Ahora mismo», «de parte del directivo», «puedes detenerlo»: esa presión es la señal de una trampa. Cuando te estén metiendo prisa, párate. Para cualquier solicitud que implique un pago o credenciales, verifica a la persona por un canal aparte, como una llamada, antes de actuar (el corazón de la defensa contra el BEC).
Fácil de derrotar
Solo contraseña más un código por SMS/aplicación de autenticación. Con un sitio falso idéntico al original retransmitiendo el código (AiTM), incluso a una persona cuidadosa le quitan las credenciales. Una defensa que asume «yo sé detectarlo».
Lo detiene de verdad
Una passkey/llave por hardware ligada al dominio. En un dominio falso la autenticación no se puede completar, así que ni siquiera un usuario engañado sufre una brecha. Un mecanismo «seguro aunque no sepas detectarlo».
La visión de este sitio: 'ten cuidado' no es una estrategia de defensa
Creemos que apoyarse solo en «formación del personal» y «concienciación» para el phishing es endeble. Ahora que el atacante en el medio (AiTM) es rutinario, por muy cuidadosa que sea una persona, no puede vencer a un sitio falso idéntico al original más la retransmisión del código. La concienciación puede ayudar, pero no puede ser la última línea. La respuesta real es un mecanismo: despliega MFA resistente al phishing ligado al dominio, empezando por las llaves del reino. Invertir en un diseño «irrompible aunque no sepas detectarlo» supera a intentar «formar a gente que sepa detectarlo». Esa es la respuesta moderna.
Punto ciego: «a mí no me engañan» es la creencia más peligrosa
El mayor escollo en la defensa contra el phishing es el exceso de confianza de «yo sé detectarlo». El atacante en el medio (AiTM) muestra una pantalla idéntica al original y retransmite la contraseña y el código de un solo uso que escribes al sitio real en el acto. En otras palabras, aunque tengas cuidado e introduzcas el código correcto, ese código correcto también es robado. Así que basar tu defensa en «la vigilancia para detectarlo» es en sí el error; lo correcto es pasar a un mecanismo: autenticación que no se puede completar en un dominio falso (MFA resistente al phishing). Negarse a quedarse en «ten cuidado» es el punto de partida de la defensa moderna contra el phishing.
Sigue leyendo
- Aprende: elegir MFA correctamente (qué es el MFA resistente al phishing)
- Glosario: qué son SPF/DKIM/DMARC (corta el correo falsificado con tecnología)
- Glosario: qué es el ransomware (el phishing es su principal vía de entrada)
- Aprende: almacenar contraseñas con seguridad (evita que las credenciales robadas se aprovechen)
- Glosario: qué es una redirección abierta (abusa de un dominio legítimo para rebotar a los usuarios a un sitio falso)
FAQ
Q¿Puedo simplemente detectar el phishing si tengo cuidado?
Creer que «yo sé detectarlo» es un exceso de confianza peligroso. El phishing moderno usa sitios falsos idénticos al original y retransmisiones de «atacante en el medio (AiTM)» que pasan la contraseña y el código de un solo uso que escribes directamente al sitio real en tiempo real, así que incluso a las personas cuidadosas les roban los códigos SMS o de la aplicación de autenticación junto con la contraseña. Por eso la defensa real no es la vigilancia sino un mecanismo que no responde a los sitios falsos: MFA resistente al phishing ligado al dominio (passkeys/llaves de seguridad).
Q¿Qué tipos de phishing existen?
Los comunes: phishing masivo enviado a muchas personas; spear phishing dirigido a una persona u organización concreta; BEC (compromiso del correo corporativo), suplantando a un directivo o proveedor para ordenar un pago; smishing por SMS; y vishing por teléfono. Además, el phishing con atacante en el medio (AiTM) retransmite tu inicio de sesión al sitio real y es especialmente peligroso porque puede derrotar el MFA habitual.
Q¿Activar el MFA detiene el phishing?
El MFA es muy recomendable, pero depende del tipo. Los códigos de un solo uso por SMS y por aplicación de autenticación pueden ser derrotados cuando un atacante en el medio retransmite el código en tiempo real. Lo que no se puede retransmitir es el MFA resistente al phishing ligado al dominio, como las passkeys o las llaves de seguridad por hardware (FIDO2): en un dominio falso la autenticación simplemente no se puede completar. Consulta la guía sobre cómo elegir MFA para más detalles.