La guía definitiva sobre el phishing
Publicado el: 21 Jul 2025
Última modificación: 11 Nov 2025
¿Qué es el phishing?
En el mundo cada vez más digital de hoy en día, gran parte de lo que hacemos -ya sea por negocios o por placer- se lleva a cabo en línea. Este auge de la actividad en línea ha dado lugar a una explosión masiva de la ciberdelincuencia.
La ciberdelincuencia se ha convertido en una poderosa herramienta para los delincuentes que buscan robar nuestros datos personales y extorsionarnos. La velocidad, el anonimato y la comodidad de Internet han permitido a los delincuentes lanzar ataques muy selectivos con muy poco esfuerzo.
Según el informe Cifas/Global Anti-Scam Alliance de 2025 para el Reino Unido, las estafas y fraudes contra los consumidores alcanzaron unos 9.400 millones de libras en los últimos 12 meses.
El más exitoso y peligroso de todos los ciberataques es el phishing. Las investigaciones han descubierto que el 91% de todos los ciberataques comienzan con un correo electrónico de phishing.
El phishing sigue siendo la forma más común de ciberataque debido a su sencillez, eficacia y alto retorno de la inversión. Ha evolucionado desde sus primeros días de engañar a la gente con cuentos de príncipes nigerianos o peticiones urgentes de ayuda médica. Los ataques de phishing que tienen lugar hoy en día son sofisticados, muy selectivos y cada vez más difíciles de detectar.
Tipos de ataques de phishing
Los ataques de suplantación de identidad se presentan en muchas formas diferentes, pero el hilo conductor de todos ellos es su explotación del comportamiento humano. Los siguientes ejemplos son las formas de ataque más utilizadas.
Cómo detectar los ataques de phishing
Identificar los correos electrónicos de phishing se ha vuelto mucho más difícil a medida que los delincuentes se han vuelto más sofisticados. Los correos electrónicos actuales suelen estar bien escritos, personalizados y utilizan los logotipos y el lenguaje de marcas de confianza, lo que hace difícil distinguirlos de los mensajes legítimos. A pesar de ello, todavía existen algunas señales de advertencia que pueden ayudarnos a alertarnos de un intento de phishing.
Consejos para identificar las estafas de phishing
Identificar un correo electrónico de phishing se ha vuelto mucho más difícil que antes, ya que los delincuentes han perfeccionado sus habilidades y se han vuelto más sofisticados en sus métodos de ataque. Los correos electrónicos de phishing que recibimos en nuestra bandeja de entrada están cada vez mejor redactados, son personalizados, contienen los logotipos y el lenguaje de marcas que conocemos y en las que confiamos y están elaborados de tal forma que resulta difícil distinguir entre un correo electrónico oficial y un correo electrónico dudoso redactado por un estafador.
McAfee calcula que el 97% de las personas de todo el mundo son incapaces de identificar un sofisticado correo electrónico de phishing, por lo que los ciberdelincuentes siguen consiguiendo engañar a la gente para que facilite información personal o descargue programas maliciosos. A pesar de la creciente sofisticación y de la naturaleza convincente de estos correos electrónicos, todavía existen algunas señales que pueden alertarnos de la presencia de un correo electrónico de phishing.
Una URL no coincidente
Una de las primeras cosas que hay que comprobar en un correo electrónico sospechoso es la validez de una URL. Si pasa el ratón por encima del enlace sin hacer clic en él, debería ver aparecer la dirección completa del hipervínculo. A pesar de parecer perfectamente legítima, si la URL no coincide con la dirección mostrada, es un indicio de que el mensaje es fraudulento y probablemente se trate de un correo electrónico de phishing.
El correo electrónico solicita información personal
Una empresa de confianza nunca enviará un correo electrónico a sus clientes solicitando información personal como el número de cuenta, la contraseña, el pin o las preguntas de seguridad. Si recibe un correo electrónico solicitando esta información, es probable que se trate de un correo de phishing y debe eliminarlo inmediatamente.
Mala ortografía y gramática
Los ciberdelincuentes no son famosos por su ortografía y gramática de primera calidad. Cuando las empresas legítimas envían correos electrónicos a sus clientes, suelen ser revisados por redactores para garantizar que la ortografía y la gramática son correctas. Si detecta faltas de ortografía o una gramática deficiente en un correo electrónico, es poco probable que proceda de una organización oficial y podría indicar la presencia de un correo electrónico de phishing.
El uso de un lenguaje amenazador o urgente
Una táctica habitual del phishing consiste en promover una sensación de miedo o urgencia para apresurar a alguien a hacer clic en un enlace. Los ciberdelincuentes utilizarán a menudo amenazas de que su seguridad se ha visto comprometida y que se requiere una acción urgente para remediar la situación. Tenga cuidado con las líneas de asunto que afirman que su cuenta ha sufrido un «intento de inicio de sesión no autorizado» o que su «cuenta ha sido suspendida». Si no está seguro de que la solicitud sea legítima, póngase en contacto directamente con la empresa a través de su página web oficial o su número de teléfono oficial.
Correspondencia inesperada
Si recibe un correo electrónico en el que se le informa de que ha ganado un concurso en el que no ha participado, o en el que se le pide que haga clic en un enlace para recibir un premio, es muy probable que se trate de un correo electrónico de phishing. Si una oferta parece demasiado buena para ser cierta, ¡suele serlo!
Cómo protegerse contra los ataques de phishing
1. Evite hacer clic en enlaces sospechosos
Las estafas de phishing suelen engañar a la gente para que abra correos electrónicos o haga clic en enlaces que parecen proceder de fuentes legítimas. Estos enlaces pueden dirigirle a sitios web falsos que roban información personal o infectan su ordenador con malware. Las empresas legítimas nunca le pedirán que introduzca o actualice información confidencial por correo electrónico.
2. Educar al personal
Incluso los sistemas de seguridad más sólidos son vulnerables si los empleados proporcionan información a los ciberdelincuentes sin saberlo. Una formación regular ayuda al personal a reconocer los intentos de phishing y a comprender su papel en la prevención de los ataques. Las pruebas de phishing simuladas también pueden reforzar la concienciación y fortalecer su primera línea de defensa.
3. Tenga cuidado con lo que comparte en Internet
Las redes sociales y los perfiles públicos proporcionan a los ciberdelincuentes información para elaborar ataques de phishing muy selectivos. Limite los datos personales que comparte, utilice la configuración de privacidad, restrinja el acceso a usuarios desconocidos y utilice contraseñas seguras para reducir el riesgo.
4. Verificar la seguridad del sitio web
Antes de introducir información personal, compruebe que un sitio web es seguro. Busque las direcciones URL que empiecen por «https» y el icono de un candado en la barra de direcciones. Esto indica que el sitio utiliza el cifrado SSL, que mantiene sus datos seguros.
5. Instale y actualice el software antivirus
Los programas antivirus ayudan a detectar amenazas y a bloquear accesos no autorizados. Mantenga sus programas actualizados para protegerse de las vulnerabilidades de las versiones de software más antiguas.
Actúe: Para reforzar las defensas de su organización y formar eficazmente al personal, explore el software MetaCompliance Advanced Phishing Simulation, que proporciona simulaciones realistas de phishing y ransomware para salvaguardar su empresa.
Preguntas frecuentes: La guía definitiva sobre el phishing
¿Qué es el phishing?
El phishing es un ciberataque en el que los delincuentes intentan robar información personal o instalar programas maliciosos, a menudo utilizando correos electrónicos, mensajes de texto o llamadas telefónicas que parecen legítimos.
¿Cuáles son los principales tipos de phishing?
- Phishing estándar: correos electrónicos o mensajes genéricos que engañan a los usuarios para que revelen información.
- Spear-phishing: Ataques dirigidos que utilizan datos personales para parecer auténticos.
- Whaling: Phishing dirigido a altos ejecutivos.
- Vishing: Suplantación de identidad basada en el teléfono.
- Smishing: Suplantación de identidad por mensaje de texto.
- Phishing de clonación: Se copia un correo electrónico legítimo y se modifica para incluir enlaces o archivos adjuntos maliciosos.
¿Cómo reconozco un intento de phishing?
Esté atento a enlaces o archivos adjuntos sospechosos, solicitudes urgentes de información confidencial, saludos genéricos o correos electrónicos que parezcan ligeramente «raros» procedentes de fuentes de confianza.
¿Cómo puedo protegerme del phishing?
- Evite hacer clic en enlaces desconocidos.
- Verifique la seguridad del sitio web antes de introducir los datos.
- Tenga cuidado con lo que publica en Internet.
- Mantenga actualizado el software antivirus.
- Aprenda a detectar los correos electrónicos y mensajes sospechosos.
¿Por qué el phishing sigue siendo tan eficaz?
Los correos electrónicos de suplantación de identidad son cada vez más sofisticados, personalizados y a menudo imitan a marcas de confianza, lo que hace difícil distinguirlos de los mensajes legítimos.
¿Cómo pueden defenderse las empresas contra el phishing?
La formación del personal, los simulacros avanzados de phishing, unos sistemas de seguridad sólidos y herramientas como la plataforma de gestión de riesgos humanos de MetaCompliance ayudan a proteger a los empleados y a reducir el riesgo de filtración de datos.