¿Cómo reconocer los ataques de phishing en 2025?

La creciente ola de ataques de phishing: Cómo identificar y detener a los ciberdelincuentes en 2025

En el primer trimestre de 2025, el Informe de tendencias de la actividad de phishing del APWG registró la asombrosa cifra de 1.003.924 ataques de phishing, el mayor total trimestral desde finales de 2023. Los ciberdelincuentes explotan cada vez más los códigos QR en los correos electrónicos para atraer a los usuarios a sitios de phishing o descargas de malware.

El sector SaaS/Webmail siguió siendo el más atacado (18%), mientras que el sector financiero, incluidas las plataformas bancarias, de pago y de criptomonedas, representó el 30,9% de todos los ataques de phishing. Además, las estafas de transferencias electrónicas por Business Email Compromise (BEC) aumentaron un 33% en comparación con el trimestre anterior.

En este post, exploraremos los tipos más comunes de ataques de phishing, cómo reconocerlos y prevenirlos, y cómo su organización puede ir un paso por delante de los ciberdelincuentes.

¿Qué es el phishing?

El phishing es un tipo de ciberataque en el que los delincuentes se hacen pasar por organizaciones, colegas o amigos de confianza para engañar a las víctimas y conseguir que revelen datos confidenciales, como datos de acceso, credenciales financieras o información personal.

Estos ataques pueden llegar a través del correo electrónico, SMS, llamadas de voz o mensajes instantáneos, que a menudo contienen enlaces o archivos adjuntos maliciosos. Un solo mensaje engañoso puede conducir al robo de identidad, a pérdidas financieras o a la infección por malware. Reconocer los mensajes de phishing es un paso vital para reforzar la concienciación de su organización en materia de ciberseguridad.

Tipos habituales de ataques de phishing

1. Spear Phishing

Un ataque dirigido que utiliza información detallada sobre la víctima para parecer auténtico. Los ciberdelincuentes investigan a sus objetivos, elaborando mensajes a medida difíciles de detectar.

2. Phishing por correo electrónico

Una amplia campaña que envía mensajes fraudulentos a muchos destinatarios, a menudo utilizando un lenguaje urgente o que induce al miedo para engañar a los usuarios para que hagan clic en enlaces maliciosos o proporcionen datos confidenciales.

3. Compromiso del correo electrónico empresarial (BEC)

Una forma sofisticada de phishing en la que los atacantes se hacen pasar por ejecutivos o proveedores para solicitar transferencias bancarias o datos confidenciales.

4. La caza de ballenas

Una forma de phishing dirigido a altos ejecutivos o empleados de alto valor, con el objetivo de robar información estratégica o financiera.

5. Smishing

Ataques de phishing enviados a través de SMS o aplicaciones de mensajería como WhatsApp. Estos mensajes suelen incluir enlaces maliciosos disfrazados de actualizaciones de entrega, alertas de pago o notificaciones urgentes.

6. Vishing

El phishing de voz, o vishing, consiste en que los estafadores llaman a las víctimas y fingen representar a organizaciones de confianza, manipulándolas para que revelen datos confidenciales o realicen acciones específicas.

Para obtener información más detallada, lea también nuestro completo recurso – La guía definitiva para la concienciación sobre el phishing

Cómo detectar un ataque de phishing

Los correos electrónicos de phishing son cada vez más difíciles de distinguir de los legítimos. Los ciberdelincuentes utilizan ahora marcas profesionales, nombres de dominio realistas y detalles personalizados para engañar incluso a los destinatarios más precavidos.

He aquí las principales señales de advertencia a las que debe estar atento:

• Enlaces sospechosos: Pase el ratón por encima de los hipervínculos antes de hacer clic. Si la URL no coincide con el remitente o parece sospechosa, no la abra.
• Solicitudes de información confidencial: Desconfíe de mensajes no solicitados que le pidan contraseñas, datos bancarios u otros datos confidenciales.
• Detalles inusuales del remitente: Compruebe dos veces la dirección de correo electrónico del remitente. Incluso pequeñas alteraciones ortográficas pueden revelar una cuenta falsa.
• Saludos genéricos: Frases como «Estimado cliente» o «Estimado miembro» en lugar de su nombre real suelen indicar un intento de phishing.
• Mensajes urgentes o basados en el miedo: Los estafadores crean pánico para apresurar a las víctimas. Las tácticas más comunes incluyen afirmar que hay un problema con su cuenta u ofrecer recompensas falsas.
• Errores ortográficos o gramaticales: Las organizaciones profesionales mantienen una comunicación de alta calidad; una mala ortografía o gramática es una fuerte señal de alarma.

Refuerce su defensa contra los ataques de phishing

Para proteger a su organización del phishing, es vital combinar la formación de los empleados, los simulacros de phishing y sólidos programas de concienciación sobre ciberseguridad.

Los ataques de phishing evolucionan rápidamente y el error humano sigue siendo la principal vulnerabilidad. Proteja su organización con la plataforma de gestión de riesgos humanos de MetaCompliance, que ofrece formación automatizada sobre concienciación en materia de seguridad, simulación avanzada de phishing y contenidos educativos específicos diseñados para proteger su empresa contra el phishing y otros ataques de ingeniería social.