GUÍAS E INSTRUCCIONES

Phishing: ¿qué es, cómo funciona y cómo proteger a los trabajadores?



Dirección copiada

Los ataques de suplantación de identidad dirigidos a usuarios empresariales, que ‘pican el anzuelo’ están aumentando exponencialmente. Con frecuencia, el engaño del empleado o gerente individual es el punto de partida para comprometer la red corporativa. Aquí te explicamos cómo defenderte

Actualizado el 11 de mar. de 2025



phishing

En Colombia los ataques mediante la técnica de phishing han crecido significativamente, según OlimpIA, la empresa de Ciberseguridad quienes recuerdan que el país se destaca incluso en la región, registrando el 17 % de los incidentes. ¿Qué hace tan peligrosa y popular a esta modelidad criminal?

¿Qué se entiende por suplantación de identidad?

El phishing es un fraude informático diseñado con el objetivo de robar información relevante, como credenciales para acceder a cuentas bancarias o datos sensibles relacionados con patentes y propiedad intelectual protegida.

Se trata de un ataque que se enmarca dentro del ámbito de la denominada ingeniería social: actividades perpetradas por delincuentes que, mediante trucos psicológicos, consiguen que la víctima realice una determinada acción, como compartir información confidencial.

De acuerdo con Ricardo Cazares, director Regional de Ventas App Sec & Data Sec Norte de Latinoamérica de Thales, los ataques automatizados, como los de phishing, se harán más frecuentes y difíciles de detectar. La IA permitirá a los ciberdelincuentes diseñar ataques más realistas y difíciles de identificar, lo que pondrá a prueba la capacidad de las empresas para protegerse frente a ellos.

Diferencia entre Spearing Phishing y Spray Phishing

Cuando se trata de un ataque dirigido y dirigido a una persona concreta, hablamos de spear phishing, mientras que si se trata de implicar al mayor número de víctimas posible, hablamos de suplantación de identidad mediante espray.

En la práctica, el atacante utiliza un mensaje de correo electrónico, un SMS o un banner publicitario que aparece dentro de una aplicación utilizada por el usuario para enviar enlaces a sitios web falsos, pero con un aspecto muy similar al de las páginas web oficiales y seguras. Las estrategias son las más diversas: desde correos electrónicos que anuncian el despido del destinatario del mensaje hasta notificaciones de entrega falsas de una empresa de mensajería.

El mensaje es aparentemente cierto, porque proviene de una fuente considerada confiable, como un amigo (cuya identidad ha sido robada por el delincuente) o un banco. Por lo general, el remitente asegura la atención de la víctima insertando un llamamiento urgente para cambiar o actualizar las credenciales de acceso a un servicio en línea, so pena de ser excluido del propio servicio.

El objetivo es, por supuesto, instar al usuario a que tome de forma rápida y furiosa la acción que desencadena el ciberataque, sin reflexionar y, sobre todo, sin verificar cuidadosamente el origen y la veracidad del mensaje. El enlace apunta a un sitio web falso con un gráfico muy similar al de una página oficial y, por lo general, contiene un formulario que debe rellenarse introduciendo información personal como el nombre de usuario y la contraseña para acceder a una cuenta corriente o a los códigos de seguridad de una tarjeta de crédito (CVV).

De hecho, a menudo, la suplantación de identidad representa el primer paso para iniciar una actividad delictiva más compleja, como la transmisión de un programa (dropper) que introduzca malware en los sistemas de información del usuario y en los de la organización de la que forma parte. El siguiente paso es la exfiltración de datos o comprometer el funcionamiento de los servidores y terminales corporativos implementados, por ejemplo, mediante el ransomware, un malware que cifra los datos e imposibilita su consulta.

Tipos de suplantación de identidad

Cuando se piensa en la suplantación de identidad, la imagen que viene a la mente es la del clásico correo electrónico falso procedente de un conocido proveedor de servicios o de un gran grupo bancario. En el contexto local, según un informe de Kaspersky, Colombia sufrió 41 millones de ataques de phishing entre enero y diciembre del año pasado.

De acuerdo con el estudio sobre tendencias de phishing consolidado por Spacelift, el correo electrónico sigue siendo el medio más común de este ataque, con un estimado de 3.400 millones de correos de phishing enviados diariamente.

Además, el 74% de los ataques exitosos de phishing se debieron, al menos en parte, a errores humanos. Durante el tercer trimestre de 2023, se registraron 493,2 millones de ataques de phishing, un aumento significativo desde los 180,4 millones del trimestre anterior. Por último, pero no menos relevante, desde el lanzamiento de ChatGPT en noviembre de 2022, el volumen de correos de phishing ha aumentado un 1.265%.

Es claro que en temas de phishing, no se trata solo del correo electrónico como vector de ataque.

La suplantación de identidad (suplantación de identidad por SMS) y la suplantación de identidad mediante aplicaciones

Además de la variante tradicional del correo electrónico fraudulento, los atacantes también utilizan SMS falsos, que simulan las comunicaciones enviadas por los proveedores de servicios, los administradores de plataformas de pagos y las entidades bancarías. En este caso, estamos hablando del smishing (SMS+phishing).

La finalidad siempre es adquirir información personal y financiera. Por lo general, el mensaje pide a la persona que haga clic en un enlace y acceda a una página web introduciendo un PIN, un nombre de usuario y una contraseña, o que haga una llamada telefónica para verificar, actualizar o reactivar una cuenta. De hecho, proporciona información confidencial a los actores malintencionados, que pueden utilizarla para filtrar datos empresariales confidenciales o vaciar cuentas corrientes.

Vishing (suplantación de identidad por voz)

El vishing, o suplantación de identidad por voz (voice phishing), es una técnica que consiste en utilizar llamadas telefónicas para implementar estafas informáticas. Mediante técnicas de ingeniería social, el atacante engaña a las víctimas para que compartan información financiera o personal o para que realicen una acción específica como, por ejemplo, intentar acceder a su cuenta bancaria en línea.

Por lo general, en el vishing, el atacante se hace pasar por un funcionario del banco o la empresa que gestiona los circuitos de las tarjetas de crédito, quien denuncia la afectación de la cuenta corriente o los cargos fraudulentos y solicita una respuesta inmediata por parte del interlocutor.

Caza de ballenas

En el caso de que la víctima sea un alto directivo corporativo la suplantación de identidad se convierte en una auténtica ‘caza de ballenas’ llamada así por el tamaño y potencial del crimen.

El objetivo de los ciberdelincuentes en este caso es manipular y engañar al directivo para convencerlo de que comparta la información empresarial confidencial que posea, por ejemplo, la relacionada con una patente, o inducirlo a realizar acciones malintencionadas, como autorizar transferencias bancarias y transferencias bancarias.

El suplantación de identidad

Una variante muy común es la suplantación de identidad basada en zombis, en la que los delincuentes se apoderan de una cuenta oficial (una dirección de correo electrónico empresarial) y responden a un correo electrónico antiguo con un enlace malicioso. Dado que el destinatario conoce el asunto del correo electrónico y el remitente, es aún más difícil no caer en la trampa.

Phishing Adversary-in-the-Middle (AITM)

El phishing AITM es una forma de ataque de suplantación de identidad sofisticada y particularmente peligrosa en la que los ciberdelincuentes se interponen entre la víctima y una entidad legítima para interceptar o manipular las comunicaciones. Por lo tanto, puede poner en peligro el correo electrónico corporativo y provocar la adquisición de credenciales.

Una vez que acceden a la cuenta de la víctima, los delincuentes intentan alcanzar sus objetivos con ataques BEC (Business Email Compromise) en el 39 % de los casos: falsifican cuentas de correo electrónico haciéndose pasar por alguien de la organización víctima o de otra organización de confianza. Tras comprometer la plataforma de correo electrónico en la nube, los atacantes pueden realizar diversas operaciones, como apoderarse de comunicaciones confidenciales, manipular transacciones financieras o utilizar las cuentas de correo electrónico comprometidas para llevar a cabo nuevos ataques.

Para evitar este riesgo, son esenciales los programas de formación para todos los empleados, que deben estar preparados para reconocer y denunciar las técnicas de suplantación de identidad, los correos electrónicos falsificados y los enlaces sospechosos con el personal de seguridad.

La tecnología puede ayudar: en la actualidad, existen herramientas avanzadas de filtrado y protección del correo electrónico que utilizan Inteligencia Artificial para detectar y bloquear los intentos de suplantación de identidad y los enlaces y archivos adjuntos maliciosos antes de que lleguen a las bandejas de entrada de los usuarios. Por último, las opciones de autenticación sin contraseña, como el código QR o la autenticación FIDO2, pueden ayudar a proteger contra los ataques de suplantación de identidad de AITM.

Phishing en las redes sociales

Al aprovechar la amplia base de usuarios y la confianza depositada en las plataformas sociales para perpetrar ataques selectivos y generalizados, esta forma de suplantación de identidad aprovecha las características intrínsecas de las redes sociales: interacción rápida, grandes redes de contactos y un alto volumen de intercambios de información, para engañar a los usuarios e inducirlos a revelar datos confidenciales o a acceder a enlaces maliciosos.

Características del phishing en las redes sociales

  • Perfiles falsos y suplantación de identidad: los atacantes crean cuentas que imitan las de personas reales, empresas conocidas o incluso entidades gubernamentales. Al utilizar estos perfiles, pueden ganarse la confianza de las víctimas, lo que las hace más propensas a compartir información personal o a acceder a enlaces que conducen a páginas de suplantación de identidad.
  • Mensajes directos (DM) fraudulentos: a través de la mensajería directa, los usuarios reciben comunicaciones que parecen provenir de amigos o marcas de confianza y que suelen contener enlaces que conducen a sitios de suplantación de identidad diseñados para robar credenciales de inicio de sesión o datos financieros.
  • Publicaciones y anuncios engañosos: los atacantes suelen publicar publicaciones o crear anuncios que promocionan ofertas, concursos o obsequios irresistibles. Estas publicaciones están diseñadas para atraer clics a sitios externos fraudulentos.
  • Hashtags y temas de actualidad: Los ciberdelincuentes utilizan hashtags populares o aparecen en los debates más populares para difundir enlaces o solicitudes de información maliciosos, haciéndose pasar por contribuciones legítimas a la conversación.

Proteger a los trabajadores remotos: una estrategia contra la suplantación de identidad en 7 pasos

Por lo general, en el caso de los ataques perpetrados contra usuarios empresariales, el intento de robar información personal y confidencial representa solo el camino para acceder a la red corporativa, que representa el verdadero objetivo de los ciberdelincuentes. Un correo electrónico malintencionado o un SMS bien redactado, combinados con una ingeniosa actividad de ingeniería social (por ejemplo, un objeto muy atractivo), en la mayoría de los casos logran el objetivo de persuadir al menos a uno de los desafortunados destinatarios de que lea, haga clic e introduzca información confidencial. Y en ese punto, la suerte está echada.

Estos son los consejos de los expertos para proteger eficazmente a los usuarios de los peligros de la suplantación de identidad.

  1. Asegúrese de que los empleados asistan a una o más sesiones de formación sobre los principales peligros. El objetivo de esta actividad debería ser enseñar a reconocer y desenmascarar los intentos de suplantación de identidad, a reaccionar con rapidez ante un posible incidente y a proporcionar información clara sobre los contactos de la empresa a los que denunciar la sospecha de una ciberamenaza o actividad fraudulenta.
  2. Suscríbase a un servicio de evaluación, sensibilización y lucha contra la suplantación de identidad para comprender el grado de preparación de los empleados y la resiliencia de los sistemas de TI ante el avance de las nuevas amenazas. La sensibilización sobre los peligros de estos ataques permite, en muchos casos, frenar de raíz los intentos de suplantación de identidad. Si es posible, complete la formación con ejercicios en los que los empleados reciban correos electrónicos de suplantación de identidad falsos, a fin de poner a prueba su conocimiento y preparación ante esta amenaza. En muchos casos, la reacción de los empleados ante una campaña de suplantación de identidad es lo que marca la diferencia entre un intento fallido de penetrar en la red corporativa y una catástrofe.
  3. Adopte la autenticación multifactorial para proteger al máximo los datos más confidenciales relacionados, por ejemplo, con las transacciones financieras o el acceso a las cuentas bancarias. Esto se puede hacer con un sistema de identificación biométrica o con una contraseña de un solo uso (OTP) que se envía al teléfono del empleado.
  4. Actualice el software con regularidad: las vulnerabilidades de las aplicaciones pueden facilitar que un atacante se infiltre en la red mediante un intento de suplantación de identidad.
  5. Suscríbase a un servicio de inteligencia sobre ciberamenazas: estos servicios permiten al CISO estar siempre informado sobre las amenazas emergentes en el sector y la región de referencia. La empresa podrá analizar su posición de defensa y evaluar su capacidad para responder a las amenazas avanzadas basándose en datos reales, en lugar de en simples suposiciones.
  6. Cree un equipo de respuesta a incidentes: estos expertos pueden ayudar a la organización a reanudar sus operaciones diarias con mayor rapidez en caso de que se produzca un incidente, reduciendo el impacto en la reputación de las marcas de la empresa y reduciendo los gastos relacionados.
  7. Contrata un seguro contra los ciberriesgos: es una buena práctica para protegerte del peligro de sufrir enormes pérdidas financieras en caso de un ciberataque.

Preguntas frecuentes sobre phishing

¿Cómo funciona el phishing?

El phishing es un ataque cibernético en el que los estafadores se hacen pasar por entidades legítimas (bancos, empresas, plataformas digitales) para engañar a las personas y obtener datos sensibles como contraseñas, información financiera o credenciales de acceso. Generalmente, se ejecuta a través de correos electrónicos, mensajes de texto o llamadas fraudulentas que incluyen enlaces maliciosos o archivos adjuntos peligrosos.

¿Cómo se diferencia el phishing de otros tipos de ataques cibernéticos?

A diferencia de otros ataques, el phishing se basa en la manipulación psicológica (ingeniería social) en lugar de explotar vulnerabilidades técnicas. Mientras que un ataque de malware busca infectar un sistema con software malicioso, el phishing engaña a la víctima para que revele voluntariamente su información.

¿Cómo identificar un correo electrónico de phishing?

Para identificar intentos de estafa, es útil recordar las cuatro P: Pretender, Problema, Presión y Pago. Se debe tener cuidado con direcciones de correo electrónico sospechosas y mensajes engañosos, evitar hacer clic en enlaces sin verificar la fuente y nunca descargar archivos adjuntos de correos o mensajes de texto desconocidos.

  • Remitente sospechoso o desconocido.
  • Errores ortográficos o gramaticales.
  • Enlaces que llevan a sitios web falsos (pasando el cursor sobre ellos se puede ver la URL real).
  • Solicitudes urgentes de información personal o financiera.
  • Archivos adjuntos inesperados o sospechosos.

¿Qué hacer si recibo un correo sospechoso?

Es importante:

  • No abrir archivos adjuntos ni hacer clic en enlaces.
  • Verificar directamente con la entidad remitente a través de sus canales oficiales.
  • Marcar el correo como spam o phishing en el servicio de correo.
  • Reportarlo a las autoridades o equipos de seguridad de la empresa.

¿Cómo reportar un phishing?

Para reportar un correo de phishing, abra su gestor de correo y cree un nuevo mensaje. Luego, arrastre y suelte el correo sospechoso en este nuevo mensaje y envíelo a phishing-report@colcert.gov.co.

También puede acceder a los encabezados del correo abriendo el mensaje y seleccionando Archivo > Propiedades > Detalles. Copie esta información y adjúntela en un nuevo correo dirigido a phishing-report@colcert.gov.co.

Si no puede reenviar el mensaje completo, envíe al menos la URL del sitio web de phishing para que pueda ser analizada.

¿Qué medidas deben tomar las empresas para evitar el phishing?

  • Implementar autenticación en dos pasos (2FA).
  • Capacitar a los empleados sobre cómo reconocer ataques de phishing.
  • Usar filtros avanzados de correo electrónico para detectar mensajes fraudulentos.
  • Monitorear y actualizar constantemente la seguridad de los sistemas.
  • Fomentar una cultura de seguridad digital en toda la organización.

Fuente: Digital4.biz, Network Digital360

Artículos relacionados

Artículo 1 de 5