¿Qué es el Phishing? Tipos, Ejemplos, Señales de Alerta y Cómo Protegerte

Introducción

Cada 11 segundos, alguna empresa en el mundo es víctima de un ciberataque, y el phishing es la forma más común con la que comienzan esos ataques. En 2026, el phishing sigue siendo la principal amenaza de ingeniería social, costándoles a organizaciones y particulares miles de millones de euros cada año. Pero ¿qué es exactamente el phishing? En términos sencillos, el phishing es un tipo de ciberdelito en el que un atacante se hace pasar por una persona u organización de confianza para engañarte y conseguir que le entregues información sensible como contraseñas, datos de pago o información personal.

A pesar de décadas de campañas de concienciación, el phishing sigue funcionando. El motivo es simple: va dirigido a las personas, no al software. Da igual lo robusto que sea tu cortafuegos o tu antivirus; un mensaje convincente que explote la urgencia, el miedo o la curiosidad puede saltarse cualquier defensa técnica en cuestión de segundos. Y con el auge del contenido generado por IA, las llamadas con voz deepfake y las estafas con códigos QR, el phishing de 2026 no tiene nada que ver con los burdos correos spam de principios de los 2000.

Esta guía cubre todo lo que necesitas saber: qué es el phishing, cómo funciona, todos los tipos de ataque más habituales (desde el spear phishing y el smishing hasta el phishing con IA y el quishing), ejemplos reales que causaron pérdidas millonarias, las señales de alarma que delatan a los atacantes y los pasos concretos que puedes dar para protegerte a ti mismo y a tu organización. Tanto si gestionas las finanzas de una empresa como si simplemente quieres mantener tus cuentas personales a salvo, este artículo es para ti. Y como el phishing apunta cada vez más a cuentas financieras y carteras de criptomonedas, también hablaremos de cómo las herramientas de autocustodia como Bleap —que te da el control total de tus fondos sin depender de un tercero centralizado— añaden una capa de protección realmente importante a tu vida financiera.

Empecemos por el principio.

El phishing es la principal causa de pérdidas de dinero en internet. La forma en que gestionas tus finanzas importa. La Mastercard de autocustodia de Bleap significa que no hay ninguna cuenta centralizada que los atacantes puedan vaciar, además de un 0% en comisiones de cambio de divisa y hasta un 20% de cashback en tus compras del día a día. Descubre más sobre Bleap →

1. Breve historia del phishing: de las estafas en AOL a los ataques con inteligencia artificial

El phishing existe casi desde que existe internet. El término se acuñó a mediados de los años 90, cuando atacantes en America Online (AOL) usaban mensajes instantáneos y correos electrónicos para "pescar" contraseñas y números de tarjetas de crédito de los usuarios. Aquellas primeras estafas eran rudimentarias, pero efectivas: engañaban a los usuarios de AOL para que entregaran sus credenciales de acceso, lo que permitía a los atacantes secuestrar cuentas y robar datos de facturación. La metáfora caló hondo: igual que un pescador usa un cebo, los phishers emplean mensajes falsos diseñados para atrapar a víctimas desprevenidas.

A principios de los 2000, el phishing había evolucionado de las bromas en salas de chat a campañas masivas de correo electrónico dirigidas a clientes de entidades bancarias. Correos falsos que suplantaban a grandes instituciones financieras como PayPal, eBay y bancos de toda la vida inundaron las bandejas de entrada de todo el mundo. Los mensajes eran genéricos, la redacción solía dejar mucho que desear y los sitios web fraudulentos eran bastante toscos, pero aun así millones de personas cayeron en la trampa.

La década de 2010 trajo un cambio importante. Los atacantes pasaron de enviar millones de correos idénticos al spear phishing dirigido: investigaban a sus víctimas individualmente y elaboraban mensajes personalizados. Los actores estatales entraron en escena y convirtieron el phishing en una herramienta clave para el espionaje y el sabotaje de infraestructuras críticas.

A partir de 2020, el panorama volvió a transformarse. La pandemia de COVID-19 impulsó un aumento masivo del teletrabajo, lo que amplió considerablemente la superficie de ataque. El phishing móvil (smishing y vishing) se disparó. El fraude por compromiso de correo empresarial (BEC) se convirtió en la categoría de cibercrimen más costosa en términos económicos. Y más recientemente, las herramientas de phishing basadas en inteligencia artificial permiten a los atacantes generar mensajes impecables y personalizados a gran escala, eliminando el clásico indicador de "mala gramática" que antes ayudaba a los usuarios a identificar las estafas.

El hilo conductor está claro: el phishing ha evolucionado desde correos masivos toscos hasta ataques sofisticados, personalizados y multicanal. Entender esa evolución es fundamental para defenderse de las amenazas actuales.

2. ¿Qué es el phishing y cómo funciona?

2.1 Definición básica

El phishing es una forma de ciberdelito en la que un atacante se hace pasar por una entidad de confianza —como un banco, un empleador, un servicio de mensajería o un organismo gubernamental— para engañar a la víctima y conseguir que revele información confidencial, haga clic en un enlace malicioso o realice una acción perjudicial, como transferir dinero.

Lo que distingue al phishing de otras amenazas como la inyección de malware o el hackeo por fuerza bruta es que ataca la psicología humana, no las vulnerabilidades del software. El atacante no necesita atravesar un cortafuegos ni explotar un fallo de programación. Solo necesita convencer a 1 persona de que haga 1 cosa.

Los principales objetivos de los ataques de phishing son:

• Robo de credenciales: obtener nombres de usuario, contraseñas y datos de acceso para entrar en cuentas ajenas.
• Fraude financiero: engañar a las víctimas para que realicen pagos o faciliten los datos de su tarjeta.
• Distribución de malware: conseguir que las víctimas descarguen software que permite al atacante mantener el acceso de forma continuada o cifrar archivos para pedir un rescate.
• Acceso no autorizado: usar las credenciales robadas para moverse más profundamente dentro de la red de una empresa.

2.2 Anatomía de un ataque de phishing (paso a paso)

Entender cómo se desarrolla un ataque de phishing hace que sea mucho más fácil detectarlo cuando está ocurriendo. Este es el ciclo de vida habitual:

Paso 1. Reconocimiento. El atacante recopila información sobre el objetivo. En el caso del phishing masivo, puede ser tan sencillo como conseguir una lista de direcciones de correo electrónico. En los ataques dirigidos (spear phishing, whaling), el atacante estudia perfiles en redes sociales, páginas web corporativas, notas de prensa e incluso organigramas de LinkedIn para conocer nombres, cargos, jerarquías y actividades recientes.

Paso 2. Creación del señuelo. El atacante elabora un mensaje o sitio web convincente diseñado para parecer legítimo. Esto incluye falsificar direcciones de correo electrónico del remitente, clonar sitios web reales píxel a píxel y redactar textos que imitan el tono de la organización suplantada. En 2026, las herramientas de IA pueden generar contenido de phishing casi perfecto en cuestión de segundos.

Paso 3. Entrega. El señuelo se envía a través del canal elegido: correo electrónico, SMS, llamada telefónica, código QR, mensaje en redes sociales o incluso una plataforma de colaboración como Slack o Microsoft Teams.

Paso 4. El anzuelo. La víctima interactúa con el señuelo. Hace clic en un enlace, abre un archivo adjunto, escanea un código QR o facilita información por teléfono. Este es el momento clave para el que el atacante ha diseñado todo.

Paso 5. Explotación. Una vez que la víctima ha mordido el anzuelo, el atacante recopila las credenciales robadas, instala malware o inicia una transacción fraudulenta.

Paso 6. Monetización. El atacante convierte el acceso en dinero. Esto puede significar vaciar una cuenta bancaria, vender datos robados en la dark web, desplegar ransomware o moverse lateralmente dentro de una red corporativa para acceder a sistemas de mayor valor.

2.3 La psicología detrás del phishing

El phishing funciona porque explota patrones cognitivos muy arraigados en las personas. Los desencadenantes psicológicos más habituales que utilizan los atacantes son:

• Urgencia: «Tu cuenta quedará bloqueada en 24 horas». La urgencia cortocircuita el pensamiento racional y empuja a las víctimas a actuar antes de analizar la situación.
• Miedo: «Se ha detectado un acceso no autorizado en tu cuenta». El miedo activa la respuesta de lucha o huida, lo que hace menos probable una evaluación cuidadosa.
• Autoridad: «Esto te lo envía tu director general» o «Somos la Agencia Tributaria». Las personas están condicionadas a obedecer a figuras de autoridad.
• Curiosidad: "Has recibido un documento" o "Alguien ha compartido una foto tuya." La curiosidad es un motivador muy poderoso que anula la precaución.
• Escasez: "Solo quedan 2 horas para reclamar tu reembolso." La escasez genera miedo a perderse algo que impulsa a actuar de forma impulsiva.

Incluso las personas con conocimientos tecnológicos caen en el phishing. Los sesgos cognitivos, la multitarea, el cansancio y los cambios de contexto reducen la atención que prestamos a cada mensaje. Un ingeniero de software que detectaría fácilmente una estafa en un día de trabajo tranquilo podría hacer clic en un enlace malicioso mientras va corriendo de reunión en reunión con el móvil. La ingeniería social está detrás de todas las variantes de phishing, independientemente del canal de distribución o la sofisticación técnica.

3. Tipos comunes de ataques de phishing

El phishing es un término general que engloba una amplia variedad de vectores de ataque. Cada tipo utiliza un método de entrega diferente, apunta a distintas víctimas y requiere una estrategia de concienciación específica. Estos son los tipos más habituales que necesitas conocer en 2026.

3.1 Phishing por correo electrónico (phishing engañoso)

El phishing por correo electrónico, a veces llamado phishing engañoso, es la forma más extendida. Los atacantes envían correos masivos diseñados para parecer que provienen de organizaciones de confianza. Los mensajes lanzan una red muy amplia, y el éxito de la campaña depende del volumen: si el 0,1 % de 10 millones de destinatarios hace clic, son 10.000 víctimas comprometidas.

Los temas más habituales en los correos de phishing engañoso incluyen:

• Avisos de suspensión de cuenta ("Tu cuenta de PayPal ha sido limitada")
• Actualizaciones de entrega de paquetes ("Tu paquete está esperando a ser recogido")
• Solicitudes de facturas o pagos ("Factura n.º 29481 adjunta")
• Alertas de seguridad ("Actividad de inicio de sesión inusual en tu cuenta")

Los atacantes falsifican las direcciones de remitente manipulando las cabeceras del correo, registrando dominios de apariencia similar (como "amaz0n-support.com") o comprometiendo cuentas de correo legítimas. Muchos de estos mensajes incluyen enlaces a páginas de inicio de sesión falsas que son visualmente idénticas a las reales.

3.2 Spear phishing

El spear phishing es una forma dirigida de phishing por correo electrónico orientada a una persona concreta o a un grupo pequeño dentro de una organización. A diferencia del phishing masivo, los correos de spear phishing están cuidadosamente investigados y personalizados. El atacante puede usar el nombre real de la víctima, hacer referencia a su cargo, mencionar a compañeros por su nombre o aludir a proyectos o eventos recientes.

Esta personalización aumenta drásticamente la tasa de éxito. Mientras que los correos de phishing masivo pueden lograr una tasa de clics del 3-5 %, las campañas de spear phishing superan habitualmente el 20-30 %.

Los objetivos más habituales del spear phishing incluyen:

• Personal de finanzas: Objetivo de solicitudes falsas de facturas o redirecciones de pagos.
• Ejecutivos: Objetivo de correos que suplantan a miembros del consejo, reguladores o asesores legales.
• Departamentos de RRHH: Objetivo de solicitudes de registros de empleados, formularios fiscales o datos de nóminas.
• Administradores de TI: Objetivo de alertas de seguridad falsas o comunicaciones de proveedores fraudulentas.

El spear phishing es la puerta de entrada a muchas de las mayores filtraciones de datos de la historia. Cuando un atacante logra suplantar de forma convincente a un compañero de confianza, incluso los profesionales más experimentados pueden caer en la trampa.

3.3 Ataques de whaling

Un ataque de whaling es una forma especializada de spear phishing que se dirige exclusivamente a ejecutivos de alto nivel como CEOs, CFOs y CISOs. Las consecuencias son más graves y el beneficio para el atacante es proporcionalmente mayor.

En un ataque de whaling típico, el atacante suplanta a un miembro del consejo, un regulador, un asesor legal externo o un compañero ejecutivo, solicitando una transferencia bancaria urgente, un documento confidencial o información empresarial sensible.

Entre los casos de whaling más destacados se encuentran:

• Snapchat (2016): Un empleado recibió un correo electrónico que suplantaba al CEO y entregó información sobre las nóminas de empleados actuales y anteriores.
• Mattel (2015): Un ejecutivo de finanzas recibió un correo de whaling que suplantaba al nuevo CEO y autorizó una transferencia bancaria de 3 millones de euros a una cuenta fraudulenta en China. (Los fondos se recuperaron finalmente gracias a la coincidencia con un día festivo bancario.)

Lo que hace que el whaling sea tan difícil de detectar es que los correos están elaborados con todo detalle, las solicitudes resultan plausibles dentro del contexto de la comunicación ejecutiva, y los destinatarios ocupan puestos tan altos que puede que no estén sujetos al mismo nivel de supervisión informática que el resto del personal.

3.4 Clone phishing

El clonado de phishing es una técnica especialmente engañosa en la que el atacante toma un correo electrónico legítimo que la víctima ya ha recibido, lo duplica y sustituye los enlaces o archivos adjuntos originales por versiones maliciosas. El correo clonado se reenvía a continuación, normalmente desde una dirección falsificada que imita al remitente original.

Este método funciona porque la víctima ya ha visto el mensaje original y reconoce el contenido, la identidad visual y el contexto. Esa familiaridad reduce las sospechas.

Los atacantes acceden a los correos originales a través de buzones comprometidos, interceptación mediante ataques de intermediario (man-in-the-middle) o simplemente observando comunicaciones empresariales habituales (como facturas mensuales o notificaciones de actualización de software) y replicándolas.

3.5 Fraude por Compromiso del Correo Empresarial (BEC)

El compromiso del correo empresarial es una de las formas de phishing con mayor impacto económico. En un ataque BEC, el atacante suplanta la identidad de un directivo de la empresa, un proveedor o un socio comercial para engañar a un empleado y conseguir que redirija un pago legítimo o transfiera fondos a una cuenta fraudulenta.

El BEC es, de manera constante, la categoría de ciberdelincuencia con mayor coste total en términos económicos. Según los datos del Centro de Denuncias de Delitos en Internet del FBI (IC3), el BEC ha provocado pérdidas de decenas de miles de millones de euros a nivel mundial durante la última década.

Los escenarios más habituales de BEC incluyen:

• Fraude del CEO: Un correo que suplanta al director ejecutivo instruye al director financiero o al equipo de finanzas para que transfieran urgentemente fondos a una nueva cuenta.
• Fraude en facturas de proveedores: Un atacante intercepta o falsifica correos de proveedores y cambia los datos bancarios en una factura legítima.
• Redirección de nómina: Un atacante suplanta la identidad de un empleado y solicita un cambio en su cuenta de depósito directo.

Lo que hace que el BEC sea especialmente peligroso es que muchos de estos correos no contienen enlaces maliciosos, ni adjuntos, ni malware. Se basan por completo en la ingeniería social, lo que los hace invisibles para la mayoría de los filtros de seguridad del correo electrónico.

3.6 Smishing (phishing por SMS)

El smishing es el phishing que se lleva a cabo mediante mensajes de texto (SMS). El atacante envía un SMS fraudulento haciéndose pasar por un banco, una empresa de mensajería, un organismo público o una compañía de suministros, y normalmente incluye un enlace a una página web falsa o un número de teléfono al que llamar.

El smishing ha crecido rápidamente en los últimos años por varias razones:

• Los SMS tienen una tasa de apertura mucho más alta que el correo electrónico (más del 90 % de los mensajes se leen en menos de 3 minutos).
• Los dispositivos móviles ofrecen menos espacio en pantalla para revisar las URLs y los datos del remitente.
• Las herramientas de seguridad en móvil están menos desarrolladas que los filtros de correo electrónico.

Los señuelos más habituales en el smishing incluyen:

• "Tu paquete está retenido en el almacén. Confirma la entrega: [enlace]"
• "Se ha detectado actividad inusual en tu cuenta. Verifica ahora: [enlace]"
• Estafas de devolución de impuestos: "Agencia Tributaria: Tienes pendiente una devolución de 438,20 €. Reclámalos aquí: [enlace]"

Los enlaces en los mensajes de smishing suelen llevar a páginas diseñadas para robar credenciales o a formularios de pago que capturan los datos de la tarjeta.

3.7 Vishing (phishing por voz)

El vishing utiliza llamadas telefónicas, ya sea de personas reales o de sistemas automatizados, para suplantar la identidad de organizaciones de confianza y manipular a las víctimas para que faciliten información sensible o realicen acciones perjudiciales.

Los escenarios más habituales de vishing incluyen:

• Estafas de soporte técnico: El llamante afirma ser de Microsoft o Apple y dice que el ordenador de la víctima está infectado y necesita acceso remoto de forma inmediata.
• Alertas de fraude bancario: El llamante dice ser del banco de la víctima, informa de actividad sospechosa y solicita la verificación de la cuenta o los datos de la tarjeta.
• Suplantación de organismos oficiales: El llamante afirma ser de la Agencia Tributaria, el IRS o la policía local, y amenaza con arrestos o multas si no se realiza un pago inmediato.

Los atacantes utilizan la suplantación del identificador de llamadas para que la llamada entrante parezca provenir de un número de teléfono legítimo, como el banco real de la víctima. Esto hace que el vishing sea extremadamente convincente, especialmente para las víctimas que no saben que el identificador de llamadas puede falsificarse.

4. Técnicas de phishing emergentes: novedades en 2025-2026

Los ciberdelincuentes no se quedan quietos. A medida que las defensas mejoran, los atacantes adoptan nuevas tecnologías y explotan nuevos canales. Esta sección repasa las técnicas de phishing emergentes más peligrosas que debes conocer en 2026.

4.1 Phishing generado por IA

El mayor cambio en el panorama del phishing durante los últimos 2 años ha sido el uso generalizado de la inteligencia artificial por parte de los atacantes. Los grandes modelos de lenguaje permiten ahora que cualquier persona —incluso sin conocimientos de escritura ni del idioma del objetivo— genere a escala correos electrónicos de phishing gramaticalmente perfectos y personalizados según el contexto.

Este avance ha eliminado de hecho una de las señales de alerta más clásicas del phishing: los errores gramaticales y ortográficos. En 2026, los mensajes de phishing generados por IA son a menudo indistinguibles de las comunicaciones corporativas legítimas.

Pero el phishing con IA va mucho más allá del texto. Los atacantes utilizan ahora:

• Clonación de voz con deepfake: Con tan solo unos segundos de audio disponible públicamente (de una charla en conferencia, un vídeo de YouTube o un pódcast), los atacantes pueden clonar la voz de una persona y usarla en llamadas de vishing. Hay casos documentados de atacantes que se han hecho pasar por directores ejecutivos en llamadas telefónicas para autorizar transferencias bancarias de seis cifras.
• Vídeo deepfake: En ataques más sofisticados, se utiliza vídeo deepfake en videollamadas para suplantar la identidad de ejecutivos o compañeros de trabajo. Un incidente ampliamente difundido en 2024 involucró a un empleado del departamento financiero en Hong Kong que fue engañado para transferir aproximadamente 23 millones de euros tras participar en una videollamada en la que todos los demás participantes eran deepfakes.
• Phishing como servicio (PhaaS): Las plataformas clandestinas ofrecen ahora kits de phishing basados en IA como servicio de suscripción, con plantillas de correo electrónico, alojamiento e infraestructura para capturar credenciales. Esto reduce drásticamente la barrera de entrada al cibercrimen.

4.2 Quishing (phishing con códigos QR)

El quishing consiste en incrustar URLs maliciosas dentro de códigos QR. Cuando la víctima escanea el código, es redirigida a un sitio web de phishing diseñado para robar credenciales o instalar malware.

El quishing resulta eficaz por una razón concreta: la mayoría de las herramientas de seguridad del correo electrónico analizan los enlaces en el cuerpo del mensaje, pero no pueden examinar fácilmente la URL codificada dentro de la imagen de un código QR. Esto permite a los atacantes eludir los filtros que sí detectarían un enlace malicioso en texto plano.

Los métodos de entrega más habituales del quishing son:

• Códigos QR incrustados en adjuntos de correo electrónico (facturas falsas, avisos de entrega o instrucciones de configuración de MFA)
• Pegatinas con códigos QR físicos colocadas sobre códigos legítimos en parquímetros, menús de restaurantes o señalización pública
• Ataques de fatiga MFA en los que se envían códigos QR a las víctimas para que "vuelvan a autenticarse" en sus cuentas

Las grandes campañas de quishing en 2025 tuvieron como objetivo las credenciales de Microsoft 365: los atacantes enviaban correos electrónicos con códigos QR que dirigían a las víctimas a réplicas muy convincentes de las páginas de inicio de sesión de Microsoft.

4.3 Vishing híbrido (callback phishing)

El vishing híbrido, también conocido como callback phishing, es un ataque en varias fases que combina el correo electrónico y las llamadas telefónicas para sortear las defensas automatizadas.

El proceso habitual funciona así:

1. La víctima recibe un correo electrónico sobre un cargo de suscripción falso, una factura o una alerta de seguridad.
2. El correo no contiene enlaces ni adjuntos maliciosos, por lo que pasa los filtros de seguridad sin problemas.
3. En su lugar, el correo indica a la víctima que llame a un número de teléfono para "resolver" el problema.
4. Cuando la víctima llama, se pone en contacto con un operador humano que la guía para que descargue malware (camuflado como una "herramienta de cancelación" o una "corrección de seguridad") o facilite sus credenciales.

Campañas como BazaCall fueron pioneras en esta técnica, que se ha adoptado ampliamente porque explota un punto ciego: las herramientas de seguridad analizan enlaces y archivos adjuntos, pero no pueden detectar un número de teléfono que conduce a un ingeniero social.

4.4 Phishing de adversario en el medio (AiTM)

El phishing de adversario en el medio es una técnica que burla la autenticación multifactor (MFA) tradicional. En un ataque AiTM, el sitio de phishing actúa como un proxy transparente entre la víctima y el sitio web real.

Así es como funciona:

1. La víctima hace clic en un enlace de phishing y llega a una página de inicio de sesión falsa.
2. La página falsa retransmite el nombre de usuario y la contraseña de la víctima al sitio web real en tiempo real.
3. Cuando el sitio web real envía un desafío de MFA, este pasa a través del proxy hasta la víctima, que lo completa.
4. El proxy captura la cookie de sesión autenticada que emite el sitio web real tras el inicio de sesión exitoso.
5. El atacante utiliza esa cookie de sesión para acceder a la cuenta de la víctima, saltándose por completo la MFA.

Los kits de phishing de código abierto como Evilginx y Modlishka han puesto los ataques AiTM al alcance de atacantes con menos conocimientos técnicos. Esto significa que la MFA basada en SMS e incluso los códigos de aplicaciones de autenticación ya no son una defensa garantizada. Los métodos resistentes al phishing, como las claves de hardware FIDO2 y las passkeys, son la contramedida más eficaz contra los ataques AiTM.

4.5 Phishing en redes sociales y plataformas de colaboración

El correo electrónico ya no es el único canal de phishing. Los atacantes utilizan cada vez más las redes sociales y las herramientas de colaboración en el trabajo para distribuir sus anzuelos de phishing.

Los canales más habituales incluyen:

• LinkedIn InMail: Mensajes falsos de reclutadores o propuestas de negocio que contienen enlaces a páginas de robo de credenciales.
• WhatsApp y Telegram: Mensajes que suplantan la identidad de bancos, servicios de entrega o compañeros de trabajo, a menudo con enlaces acortados.
• Slack y Microsoft Teams: Mensajes de phishing enviados dentro de espacios de trabajo colaborativos, ya sea desde cuentas internas comprometidas o desde cuentas de invitados externos.

Estos canales generan menos desconfianza en los usuarios que el correo electrónico, porque la gente tiende a fiarse más de los mensajes que recibe a través de plataformas laborales o sociales. Además, las herramientas de seguridad en estas plataformas suelen ser menos robustas que los filtros de correo corporativo.

Proteger tus finanzas empieza por tener el control de tu propio dinero. La Mastercard de autocustodia de Bleap te mantiene en control total, sin ninguna cuenta centralizada que los atacantes de phishing puedan comprometer. Sin comisiones de cambio de divisa y hasta un 20% de cashback incluidos de serie. Consigue la tarjeta Bleap →

5. Ejemplos reales de phishing y casos de estudio

Las amenazas abstractas se vuelven reales cuando ves el daño que han causado ataques de phishing reales. Estos casos abarcan grandes corporaciones, infraestructuras críticas y usuarios cotidianos.

5.1 La estafa de Bitcoin en Twitter/X (2020)

En julio de 2020, unos atacantes utilizaron spear phishing telefónico para dirigirse a empleados de Twitter, engañándoles para que facilitaran acceso a herramientas de administración interna. Con ese acceso, los atacantes secuestraron cuentas de alto perfil pertenecientes a Barack Obama, Elon Musk, Bill Gates, Apple y otros, publicando mensajes que promocionaban una estafa de Bitcoin.

El daño económico fue relativamente modesto (aproximadamente 110.000 € en Bitcoin robados), pero el impacto reputacional fue enorme. El incidente demostró que hacer phishing a un puñado de empleados podía comprometer toda una plataforma global.

Lección: El phishing dirigido a empleados internos puede darle a los atacantes las llaves de sistemas mucho más valiosos que las cuentas individuales. Esta es también la razón por la que las herramientas financieras de autocustodia importan. Cuando tú controlas tus propios fondos, como ocurre con una cuenta de autocustodia de Bleap, no existe ninguna plataforma centralizada que un solo empleado comprometido pueda desbloquear.

5.2 El ataque a Colonial Pipeline (2021)

En mayo de 2021, Colonial Pipeline, que suministra casi la mitad del combustible consumido en la costa este de EE. UU., fue paralizado tras un ataque de ransomware. El punto de entrada inicial fue una única credencial VPN comprometida, que se cree fue obtenida mediante phishing o relleno de credenciales.

El impacto fue grave: escasez de combustible, compras por pánico y un pago de rescate de aproximadamente 4 millones de euros.

Lección: 1 credencial robada, obtenida a través de 1 correo de phishing, puede desencadenar un fallo catastrófico en infraestructuras críticas. La higiene de credenciales y la autenticación multifactor resistente al phishing no son opcionales en sistemas críticos.

5.3 El fraude al CEO de FACC AG (2016)

FACC, un fabricante austriaco de piezas aeroespaciales, perdió aproximadamente 50 millones de euros cuando un empleado del departamento financiero recibió un correo electrónico que suplantaba al CEO de la empresa, instruyéndole para transferir fondos destinados a un proyecto de adquisición ficticio. El empleado obedeció y el dinero fue transferido a cuentas controladas por los atacantes.

Lección: Incluso las grandes empresas con operaciones sofisticadas caen víctimas de la ingeniería social cuando no se aplican procedimientos de verificación adecuados para transacciones de alto valor.

5.4 Ejemplo de phishing cotidiano dirigido a consumidores

El phishing no es solo un problema empresarial. Aquí tienes un recorrido realista de cómo es un correo de phishing bancario típico:

1. El correo llega a tu bandeja de entrada desde "security@your-bank-alerts.com" (no el dominio real del banco).
2. El asunto dice: "Urgente: se ha detectado actividad de inicio de sesión inusual en tu cuenta."
3. El cuerpo del mensaje incluye el logotipo del banco, un diseño profesional y un aviso indicando que tu cuenta será bloqueada a menos que verifiques tu identidad en las próximas 24 horas.
4. El botón dice "Verificar mi identidad" y enlaza a una página web que parece idéntica a la de inicio de sesión de tu banco, pero la URL es "your-bank-verify.com" en lugar del dominio real del banco.
5. Introduces tus credenciales y la página muestra un error o te redirige al sitio real del banco. Mientras tanto, el atacante ya tiene tu nombre de usuario y contraseña.
6. En cuestión de minutos, el atacante inicia sesión y realiza transferencias o modifica tus datos de contacto.

Lo que ves: una alerta de seguridad de apariencia legítima. Lo que está ocurriendo en realidad: un robo de credenciales cuidadosamente orquestado.

5.5 Ejemplo de smishing: el timo del falso aviso de entrega de paquete

El timo del "paquete no entregado" es uno de los ataques de phishing dirigidos a consumidores más comunes a nivel mundial. Así es como funciona:

1. Recibes un mensaje de texto: "Royal Mail: No hemos podido entregar tu paquete. Programa una nueva entrega: [enlace acortado]"
2. Haces clic en el enlace, que abre una réplica muy convincente de la web de Royal Mail.
3. Te piden que pagues una pequeña "tarifa de reentrega" (1,50 € o similar) e introduces los datos de tu tarjeta.
4. Los atacantes ya tienen tu nombre, dirección e información completa de la tarjeta, que usan para compras fraudulentas o venden en la dark web.

En versiones más sofisticadas, la web falsa también solicita tus credenciales de banca online, lo que da a los atacantes acceso directo a tu cuenta.

6. Por qué el phishing es tan peligroso: las consecuencias reales

6.1 Pérdidas económicas

El impacto económico del phishing es demoledor. Según el informe Cost of a Data Breach de IBM, el phishing se sitúa sistemáticamente entre los vectores de ataque más costosos, con un coste medio por brecha de datos relacionada con phishing que asciende a millones de euros. El informe anual IC3 del FBI sobre delitos en internet recoge regularmente pérdidas por phishing y BEC de decenas de miles de millones a nivel global.

Para los consumidores particulares, las pérdidas derivadas de estafas de phishing van desde unos pocos cientos de euros hasta los ahorros de toda una vida, dependiendo del tipo de ataque y de la rapidez con la que reaccione la víctima.

6.2 Brechas de datos y sanciones regulatorias

Las credenciales robadas mediante phishing son con frecuencia la primera ficha de dominó en brechas de datos a gran escala. Una vez que el atacante dispone de un nombre de usuario y una contraseña válidos, puede acceder a sistemas internos, extraer datos de clientes y comprometer bases de datos enteras.

Con normativas como el RGPD y la CCPA, las organizaciones que sufren brechas de datos pueden enfrentarse a multas cuantiosas, a menudo de millones de euros. Más allá de las sanciones regulatorias, el daño reputacional y la pérdida de clientes que genera una brecha pueden superar con creces el coste económico directo.

6.3 Distribución de ransomware

El phishing es el principal vector de acceso inicial para los grupos de ransomware. La cadena habitual es sencilla: un correo de phishing conduce al robo de credenciales o a la instalación de malware, lo que abre el acceso a la red y desemboca en el despliegue del ransomware.

En los escenarios de doble extorsión, los atacantes cifran los datos de la víctima y amenazan con publicarlos si no se paga un rescate, multiplicando así la presión sobre la organización.

6.4 Interrupción del negocio e impacto operativo

Más allá de las pérdidas económicas directas, los ataques de phishing generan una grave interrupción del negocio. El tiempo de inactividad de los sistemas durante la investigación y la recuperación puede prolongarse durante días o semanas. La productividad cae en picado mientras los empleados se quedan sin acceso a los sistemas. Los equipos de TI se ven desbordados por la respuesta al incidente. Y el daño a largo plazo en la confianza de clientes, socios y usuarios puede tardar años en repararse.

7. ¿A quién atacan? Sectores más afectados y perfiles de víctimas

7.1 Sectores con mayor riesgo

Ciertos sectores sufren ataques de phishing de forma desproporcionada:

• Servicios financieros y banca: El objetivo más evidente para el robo de credenciales y el fraude BEC. Los correos de phishing que suplantan a bancos siguen siendo la categoría más numerosa de señuelos.
• Sanidad: Los hospitales y clínicas son blancos preferentes para el ransomware, y los datos de pacientes tienen un alto valor en la dark web.
• Empresas tecnológicas: Los atacantes apuntan a estas compañías para acceder a la cadena de suministro, sabiendo que comprometer a un proveedor de software puede abrir la puerta a miles de clientes finales.
• Administración pública y defensa: Las campañas de phishing de estados nación tienen como objetivo a funcionarios para llevar a cabo espionaje y sabotear infraestructuras críticas.
• Educación y organizaciones sin ánimo de lucro: Suelen contar con presupuestos de seguridad más reducidos y defensas menos maduras, lo que las convierte en objetivos fáciles y atractivos.
• Comercio minorista y e-commerce: El premio son los datos de tarjetas de pago, con ataques de phishing dirigidos tanto a clientes como al personal interno.

7.2 Perfiles individuales de víctimas

Dentro de las organizaciones, ciertos roles son objeto de phishing con más frecuencia que otros:

• Personal de finanzas y cuentas a pagar: Atacados para cometer fraudes de transferencia BEC y esquemas de facturas falsas.
• Personal de RR. HH. y nóminas: Atacados para robar registros de empleados, estafas con formularios fiscales y fraudes de redirección de nóminas.
• Directivos de alto nivel (C-suite): Objetivo de ataques de whaling que buscan transferencias de grandes sumas o información estratégica sensible.
• Empleados nuevos: Especialmente vulnerables porque no conocen los procesos internos, tienen predisposición a cumplir con lo que se les pide y es menos probable que cuestionen la autoridad.
• Trabajadores en remoto: La menor supervisión de seguridad, el uso de dispositivos personales y la dependencia de la comunicación digital generan una vulnerabilidad adicional.

7.3 Por qué nadie está a salvo

Las estadísticas demuestran sistemáticamente que el phishing tiene éxito entre todo tipo de personas, independientemente de su perfil demográfico o nivel técnico. Investigadores de seguridad, profesionales de TI y directivos de ciberseguridad han caído en ataques de phishing bien ejecutados. No se puede subestimar el papel que juegan el cansancio, la distracción y la multitarea en las tasas de clics. Un estudio de la Universidad de Stanford reveló que casi el 88 % de las brechas de seguridad tienen su origen en errores humanos, siendo el phishing la causa principal.

Ningún nivel de conocimientos técnicos hace a una persona inmune. La mejor defensa es una combinación de concienciación, escepticismo y controles técnicos.

8. Cómo reconocer un intento de phishing: señales de alerta que debes conocer

Tu primera línea de defensa es saber qué buscar. Estas señales de alerta del phishing se aplican al correo electrónico, los SMS y las llamadas telefónicas.

8.1 Señales de phishing en el correo electrónico

Dirección del remitente sospechosa o falsificada. Comprueba siempre la dirección de correo completa, no solo el nombre que aparece en pantalla. Fíjate en discrepancias de dominio (un correo de "Amazon" que viene de "amazon-security@mail.ru"), caracteres adicionales o ataques homoglifos en los que se sustituyen letras por caracteres visualmente similares (usando "rn" en lugar de "m", o una "а" cirílica en lugar de una "a" latina).

Saludos genéricos. Las empresas legítimas que tienen tu cuenta suelen dirigirse a ti por tu nombre. Los correos que empiezan con "Estimado cliente", "Estimado usuario" o "Estimado titular de cuenta" deben ponerte en guardia de inmediato.

Lenguaje urgente o amenazante. "Tu cuenta será suspendida en 24 horas", "Se requiere acción inmediata" o "Si no respondes, tu cuenta será cancelada". Los atacantes utilizan la urgencia para anular tu capacidad de razonamiento crítico.

Archivos adjuntos inesperados. Ten especial cuidado con tipos de archivo como .zip, .exe, .docm y .html. Incluso los archivos .pdf pueden contener enlaces maliciosos. Si no esperabas ningún adjunto, verifica con el remitente por otro canal antes de abrirlo.

Solicitudes de información confidencial. Ningún banco legítimo, organismo gubernamental ni proveedor de servicios te pedirá que facilites contraseñas, PIN, números completos de tarjeta o códigos de un solo uso por correo electrónico.

Mala gramática y faltas de ortografía. Sigue siendo una señal de alerta, aunque la IA está erosionando rápidamente su fiabilidad. En 2026, muchos correos de phishing son gramaticalmente perfectos, así que la ausencia de errores no significa que un correo sea seguro.

8.2 Enlaces y URLs sospechosas

Pasa el ratón por encima antes de hacer clic. En el ordenador, coloca el cursor sobre cualquier enlace para ver la URL de destino real en la barra de estado del navegador. En el móvil, mantén pulsado el enlace para previsualizar la URL.

Señales de alerta en las URLs:

• Dominios mal escritos: "paypa1.com" (con el número 1 en lugar de la letra l)
• Subdominios sospechosos: "paypal.com.sitio-malicioso.com" (el dominio real aquí es sitio-malicioso.com)
• Acortadores de URL (bit.ly, t.co) en correos electrónicos donde el remitente debería enlazar directamente a su propio sitio web
• Dominios con pinta extraña: "acceso-seguro-8xk3f.com"

HTTPS no significa seguro. Los sitios de phishing usan certificados SSL de forma habitual, así que el candado en la barra de direcciones del navegador solo indica que la conexión está cifrada, no que el sitio web sea legítimo.

Los códigos QR merecen el mismo nivel de desconfianza que los enlaces. Trata cada código QR como un enlace desconocido. Si escaneas uno, comprueba la URL que abre antes de introducir cualquier dato.

8.3 Señales de alerta en mensajes SMS

• Mensajes inesperados de números desconocidos que hacen referencia a marcas conocidas (tu banco, una empresa de mensajería, un organismo público)
• URLs acortadas sin contexto ni explicación
• Solicitudes para llamar a un número o "verificar" información con urgencia
• Mensajes que generan sensación de pánico: "Tu tarjeta ha sido bloqueada" o "Se ha detectado una transacción sospechosa"

8.4 Señales de alerta en vishing y llamadas telefónicas

• La persona que llama dice ser de tu banco, de la Agencia Tributaria, del HMRC, del IRS, de Microsoft o de las fuerzas de seguridad
• Generan una presión extrema para que actúes de inmediato y te disuaden de colgar o de devolver la llamada
• Te piden contraseñas, PINs o códigos de un solo uso. Ninguna organización legítima te pedirá nunca estos datos por teléfono.
• Te piden que instales software de acceso remoto como AnyDesk, TeamViewer o Quick Assist
• Te piden que muevas dinero a una "cuenta segura" (esto es siempre una estafa)

8.5 Señales de Alerta Específicas del Phishing en el Entorno Laboral

• Solicitudes inusuales de pagos o transferencias bancarias, especialmente de "directivos", sobre todo cuando llegan con sensación de urgencia y piden saltarse los procesos de aprobación habituales
• Solicitudes para cambiar los datos bancarios de un proveedor en facturas ya existentes
• Correos de un compañero o responsable que resultan ligeramente "raros" en tono o estilo, especialmente si van acompañados de una petición fuera de lo normal
• Solicitudes fuera del horario habitual con sensación de urgencia ("necesito que esto esté hecho antes de la reunión del consejo mañana por la mañana")
• Cualquier petición de mantener una transacción en secreto o de no comentarla con nadie

Ante la duda, verifica. Coge el teléfono y llama directamente a la persona usando un número que ya tengas guardado, no el que aparece en el mensaje sospechoso.

9. Cómo protegerte a ti mismo y a tu organización del phishing

Prevenir el phishing requiere combinar controles técnicos con concienciación humana. Ninguna solución por sí sola es suficiente. Aquí tienes una estrategia de defensa completa.

9.1 Buenas prácticas individuales

Para antes de hacer clic. El hábito más eficaz contra el phishing es tomarse las cosas con calma. Aplica el escepticismo ante cualquier mensaje inesperado que te pida que hagas algo, especialmente si genera urgencia. Pregúntate: "¿Esperaba esto? ¿Tiene sentido?"

Verifica por tu cuenta. Si recibes un correo sospechoso de tu banco, no hagas clic en el enlace. En su lugar, abre el navegador y ve directamente a la web del banco, o llama al número de teléfono que aparece en el reverso de tu tarjeta. Nunca uses las direcciones de respuesta ni los números de teléfono que aparecen en un mensaje sospechoso.

Nunca facilites contraseñas, PIN ni códigos de un solo uso a nadie que se ponga en contacto contigo. Esto se aplica independientemente de quién diga ser. Las organizaciones legítimas jamás te pedirán esa información.

Mantén el software y los sistemas operativos actualizados. Aunque el phishing tiene como objetivo a las personas, el malware que distribuye aprovecha las vulnerabilidades del software. Tener los dispositivos con los parches al día reduce el daño en caso de que hagas clic en un enlace malicioso.

Usa un gestor de contraseñas. Un gestor de contraseñas genera contraseñas únicas y complejas para cada cuenta, lo que elimina el riesgo de reutilizar credenciales. Si una cuenta se ve comprometida por phishing, las demás cuentas no quedan expuestas con la misma contraseña. Los gestores de contraseñas también ayudan a detectar el phishing: no rellenarán automáticamente tus credenciales en un sitio web falso porque el dominio no coincide.

9.2 Autenticación multifactor (MFA)

La MFA sigue siendo fundamental, aunque técnicas avanzadas como el phishing AiTM puedan eludir los códigos por SMS. La razón es sencilla: la MFA sigue frenando la gran mayoría de los ataques que dependen únicamente de contraseñas robadas.

Sin embargo, no todos los MFA son iguales:

• Lo mejor: MFA resistente al phishing. Las llaves de hardware FIDO2 (como YubiKey) y las passkeys son el estándar de oro. Vinculan criptográficamente la autenticación al dominio del sitio web legítimo, lo que las hace inmunes a los ataques de proxy AiTM.
• Buena opción: apps de autenticación. Apps como Google Authenticator o Microsoft Authenticator son bastante más seguras que los códigos SMS, aunque siguen pudiendo ser vulneradas por phishing AiTM en tiempo real.
• Mínimo recomendable: OTP por SMS. Mejor que no tener MFA, pero es la opción más débil debido a los riesgos de SIM swapping y a su vulnerabilidad ante AiTM.

Si tu servicio admite passkeys o llaves de hardware, úsalas.

9.3 Controles técnicos para organizaciones

Para las organizaciones, una defensa técnica por capas reduce significativamente la amenaza del phishing:

• Pasarelas de seguridad del correo electrónico con registros DMARC, DKIM y SPF correctamente configurados. Estos protocolos autentican a los remitentes legítimos y ayudan a prevenir la suplantación de dominios.
• Herramientas antiphishing y filtrado por reputación de URL que analizan los enlaces del correo en tiempo real y bloquean los dominios maliciosos conocidos.
• Aislamiento del navegador y sandboxing que abren los enlaces sospechosos en un entorno controlado, impidiendo que el malware llegue al dispositivo del usuario.
• Software de detección y respuesta en endpoints (EDR) que detecta y contiene el malware en caso de que un usuario haga clic en un enlace malicioso.
• Filtrado DNS que bloquea las conexiones a dominios maliciosos conocidos a nivel de red.
• Arquitectura de red de confianza cero (Zero Trust) que limita el movimiento lateral exigiendo una verificación continua, garantizando que unas credenciales comprometidas no den a los atacantes carta blanca dentro de la red.

9.4 Formación en concienciación sobre seguridad

Los controles técnicos detectan muchas amenazas, pero la concienciación humana detecta el resto. En 2026, una formación en seguridad eficaz va mucho más allá de marcar una casilla de cumplimiento anual:

• Aprendizaje continuo y en pequeñas dosis es más eficaz que sesiones anuales de una hora. Módulos cortos entregados mensual o trimestralmente mantienen la concienciación sobre el phishing siempre presente.
• Campañas de phishing simulado que ponen a prueba a los empleados con correos electrónicos de phishing falsos pero realistas. El objetivo no es sancionar a quienes hacen clic, sino identificar lagunas de conocimiento y ofrecer formación de seguimiento específica.
• Construir una cultura de «seguridad ante todo» en la que reportar mensajes sospechosos se recompense, no se castigue. Si los empleados temen que se les culpe por hacer clic en un enlace, ocultarán los incidentes en lugar de notificarlos, retrasando la respuesta y aumentando el daño.
• Formación específica por rol para los grupos de mayor riesgo: el personal de finanzas debería recibir formación específica sobre BEC, los directivos deberían aprender sobre el whaling, y los nuevos empleados deberían recibir una incorporación intensiva sobre concienciación frente al phishing.

9.5 Políticas y procesos organizativos

Los controles técnicos y la formación se refuerzan con políticas claras:

• Verificación fuera de banda para todos los cambios de pago o transferencias bancarias. Si alguien solicita un cambio en los datos bancarios, verifica la solicitud a través de un canal de comunicación independiente (una llamada telefónica a un número conocido) antes de procesarla.
• Canales de escalada claros ante comunicaciones sospechosas, para que los empleados sepan exactamente a quién contactar y cómo hacerlo.
• Controles de incorporación de proveedores que validen la identidad de los nuevos proveedores y verifiquen los datos bancarios antes del primer pago.
• Planes de respuesta ante incidentes que incluyan específicamente escenarios de phishing, con roles definidos, protocolos de comunicación y procedimientos de recuperación.
• Evaluaciones periódicas del riesgo de phishing y ejercicios de simulación que pongan a prueba la preparación de la organización ante escenarios de phishing realistas.

9.6 Protección contra el smishing y el vishing

El smishing y el vishing requieren sus propias defensas específicas:

• Regístrate en servicios de bloqueo de llamadas como el Telephone Preference Service (TPS) en el Reino Unido o el registro Do Not Call en Estados Unidos.
• Activa el filtro de spam a nivel de operadora en tu móvil (la mayoría de las operadoras ya ofrecen esta opción).
• Establece una política de "devolución de llamada". Ante cualquier llamada que solicite información sensible o una acción financiera, cuelga y vuelve a llamar usando el número oficial que aparece en la web de la organización. Nunca uses el número que te facilite el interlocutor.
• Conciencia a todo el mundo sobre la regla de "ningún interlocutor legítimo te pedirá tu OTP". Este simple conocimiento evita un porcentaje muy alto de ataques de vishing.

Este tipo de protección por capas se extiende también a tus herramientas financieras. Usar una solución financiera de autocustodia, como Bleap, significa que no existe ninguna línea de atención al cliente centralizada que un atacante pueda suplantar para acceder a tus fondos. Cuando tienes el control total de tus propias finanzas, la superficie de ataque se reduce considerablemente.

10. Qué hacer si has sido víctima de phishing: pasos de respuesta inmediata

Actuar con rapidez tras un ataque de phishing puede limitar considerablemente el daño. Esto es exactamente lo que debes hacer.

10.1 Pasos de respuesta personal inmediata

1. No entres en pánico, pero actúa rápido. Los primeros minutos tras darte cuenta de que has caído en un phishing son los más importantes. Cuanto más rápido actúes, menos margen tendrá el atacante para explotar lo que ha robado.
2. Desconecta el dispositivo de internet si hiciste clic en un enlace o descargaste un archivo. Esto contiene el posible malware y evita que se comunique con los servidores del atacante o se extienda a otros dispositivos de tu red. Desactiva el Wi-Fi y desenchufa cualquier cable ethernet.
3. Cambia las contraseñas de inmediato en la cuenta comprometida. Si reutilizas esa contraseña en otras cuentas (algo que no deberías hacer, aunque mucha gente lo hace), cámbialas también. Usa un gestor de contraseñas para generar reemplazos únicos y robustos.
4. Activa o refuerza la autenticación multifactor (MFA) en la cuenta comprometida y en cualquier cuenta que compartiera la misma contraseña. Si usabas MFA por SMS, pásate a una aplicación de autenticación o a una llave de seguridad física.
5. Analiza el dispositivo en busca de malware. Ejecuta un análisis completo con tu antivirus o herramienta antimalware en el dispositivo afectado. Si descargaste algún archivo o instalaste software como parte del ataque, considera este paso obligatorio.
6. Comprueba si hay actividad no autorizada. Accede a tus cuentas financieras y revisa las transacciones recientes. Revisa tu correo electrónico para ver si el atacante ha configurado reglas de reenvío (una táctica habitual para interceptar los correos de restablecimiento de contraseña). Revisa las aplicaciones conectadas y las sesiones activas, y revoca todo lo que no reconozcas.
7. Contacta con tu entidad financiera. Si has facilitado los datos de tu tarjeta o tus credenciales bancarias, ponte en contacto con tu banco de inmediato para bloquear o sustituir la tarjeta. Si usas una cuenta de autocustodia como Bleap, tus fondos están bajo tu control directo y no existe una cuenta centralizada que un atacante pueda vaciar mediante ingeniería social al servicio de atención al cliente.

10.2 Cómo denunciar el ataque

• Denuncia a la organización suplantada. Si el correo de phishing suplantaba a tu banco, reenvíalo a su dirección de notificación de phishing (la mayoría de los bancos disponen de una).
• Denuncia ante las autoridades nacionales de ciberdelincuencia. En el Reino Unido, denuncia en Action Fraud. En EE. UU., denuncia al IC3 del FBI. En la UE, denuncia ante el CERT de tu país.
• Denuncia a tu proveedor de correo electrónico. Marca el mensaje como phishing (no solo como spam) para que el proveedor pueda bloquearlo para otros usuarios.

10.3 Pasos de respuesta organizativa

Si formas parte de una organización:

1. Notifícalo internamente de inmediato a tu equipo de seguridad informática o al punto de contacto designado. No elimines el correo de phishing, ya que el equipo de IT lo necesitará para el análisis.
2. Aísla las cuentas y los sistemas afectados hasta que puedan investigarse y solucionarse.
3. Notifica a las partes afectadas. Si los datos de clientes o socios pueden haberse visto comprometidos, consulta con tus equipos legal y de cumplimiento normativo para determinar las obligaciones de notificación.
4. Lleva a cabo una revisión posterior al incidente. Analiza cómo el correo de phishing logró eludir los controles, por qué la víctima hizo clic y qué carencias —técnicas o de proceso— pueden corregirse para evitar que vuelva a ocurrir.
5. Actualiza la formación y las defensas en función de las lecciones aprendidas.

El principio clave: trata cada incidente de phishing como una posible brecha de seguridad hasta que se demuestre lo contrario. Reaccionar de menos es mucho más peligroso que pasarse de precavido.

11. El phishing y tu seguridad financiera: por qué importa la autocustodia

El phishing se dirige de forma abrumadora a las cuentas financieras porque ahí es donde está el dinero. Tanto si el atacante va tras tus credenciales bancarias, las de tu exchange de criptomonedas o los datos de tu tarjeta, el objetivo final casi siempre es robarte el dinero.

Aquí es donde la arquitectura de tus herramientas financieras marca una diferencia real. Las cuentas financieras tradicionales, y la mayoría de las plataformas centralizadas de criptomonedas, dependen de la custodia centralizada. Tus fondos están en un sistema controlado por una empresa. Si un atacante hace phishing a un agente de atención al cliente, explota una herramienta interna comprometida o te engaña para que entregues tus credenciales de acceso, puede llegar a vaciar tu cuenta.

Las herramientas de autocustodia cambian fundamentalmente esta dinámica. Con la Mastercard de autocustodia de Bleap, tú tienes el control total de tus propios fondos. No existe ningún fondo centralizado de clientes que los atacantes puedan atacar, ni ningún agente de soporte al que puedan manipular socialmente para que conceda acceso a la cuenta.

Esto no te hace inmune al phishing. Sigues necesitando proteger tus propias credenciales y claves privadas. Pero elimina toda una categoría de ataque: aquella en la que una brecha a nivel de la empresa compromete tus fondos personales.

Combinarlo con las comisiones de cambio de divisa del 0% de Bleap, hasta un 20% de cashback en tus gastos del día a día y el trading de criptomonedas sin comisiones significa que no tienes que sacrificar comodidad ni valor por seguridad. Lo tienes todo.

Si te tomas en serio la protección de tus finanzas frente al phishing, la estructura de tus cuentas financieras importa tanto como tus hábitos de concienciación.

Tu dinero es tan seguro como el sistema que lo custodia. La Mastercard de autocustodia de Bleap pone tus fondos bajo tu control, no el de una empresa. 0% de comisiones en divisas, hasta un 20% de cashback y sin suscripción mensual. Abre una cuenta en Bleap →

12. Lista de verificación para prevenir el phishing: referencia rápida

Usa esta lista como guía de referencia rápida tanto para personas a título individual como para organizaciones:

Para personas a título individual:

• Usa un gestor de contraseñas y no reutilices contraseñas nunca
• Activa la MFA resistente al phishing (clave de hardware FIDO2 o passkey) siempre que sea posible
• Pasa siempre el cursor por encima de los enlaces antes de hacer clic y verifica la URL de destino
• No facilites nunca contraseñas, PINs ni códigos de un solo uso en respuesta a ninguna comunicación entrante
• Verifica las solicitudes inesperadas contactando al remitente a través de un canal de confianza independiente
• Mantén todos los dispositivos y programas actualizados
• Denuncia los intentos de phishing sospechosos a tu proveedor de correo electrónico y a las autoridades competentes
• Usa herramientas financieras de autocustodia (como Bleap) para reducir el impacto de un robo de credenciales

Para organizaciones:

• Configura DMARC, DKIM y SPF en todos los dominios de correo electrónico
• Implanta pasarelas de seguridad de correo electrónico con filtrado de reputación de URLs
• Implementa MFA resistente al phishing para todo el personal, empezando por las cuentas con privilegios
• Realiza campañas periódicas de phishing simulado con formación de seguimiento
• Exige verificación fuera de banda para todos los cambios de pagos y transferencias bancarias
• Establece procedimientos claros de respuesta a incidentes y de escalado para casos de phishing
• Ofrece formación específica por rol para los departamentos de finanzas, RRHH, directivos y nuevas incorporaciones
• Revisa y actualiza los procesos de incorporación de proveedores y de verificación de facturas

Imprímela, guárdala en favoritos y compártela con tu equipo. La concienciación sobre el phishing es una práctica continua, no un evento puntual.

Conclusión

El phishing no es una amenaza nueva, pero sí una en constante evolución. Desde las burdas estafas de contraseñas de AOL de los años 90 hasta los ataques de deepfake generados por IA en 2026, el principio fundamental nunca ha cambiado: los atacantes manipulan la confianza para robar información y dinero. Lo que sí ha cambiado es la sofisticación, la escala y la cantidad de canales a través de los cuales el phishing puede alcanzarte.

La buena noticia es que los fundamentos de la defensa siguen siendo sólidos. La concienciación, el escepticismo, la verificación, una autenticación multifactor robusta, controles técnicos por capas y una cultura que premia reportar los incidentes en lugar de señalar culpables detendrán la gran mayoría de los ataques de phishing. Ninguna herramienta o técnica por sí sola es una solución mágica, pero combinarlas crea una defensa exponencialmente más difícil de penetrar.

Y la arquitectura de tu vida financiera importa. Elegir herramientas de autocustodia para tu dinero elimina los puntos centralizados de fallo que los ataques de phishing explotan con mayor frecuencia. La Mastercard de autocustodia de Bleap te da control total sobre tus fondos, 0% de comisiones en divisas, hasta un 20% de cashback y trading de criptomonedas sin comisiones, todo sin cuota mensual. No es una solución contra el phishing, pero sí una base financiera más inteligente que reduce lo que los atacantes pueden robarte incluso si consiguen pasar.

Mantente escéptico. Verifica todo. Y asegúrate de que las herramientas que guardan tu dinero son tan seguras como tus propios hábitos.

Preguntas frecuentes

¿Qué es el phishing en términos sencillos?

El phishing es un tipo de ciberdelito en el que alguien se hace pasar por una organización de confianza (como tu banco, tu empresa o una compañía de mensajería) para engañarte y conseguir que reveles información sensible, como contraseñas, datos de tu tarjeta o información personal. El "cebo" suele ser un correo electrónico, un mensaje de texto, una llamada telefónica o un sitio web falso.

¿Cuáles son los tipos de ataques de phishing más habituales?

Los más comunes son: el phishing por correo electrónico (correos falsos enviados de forma masiva), el spear phishing (correos dirigidos que usan datos personales), el whaling (ataques dirigidos a directivos), el smishing (phishing por SMS), el vishing (phishing por voz o teléfono), el fraude BEC (suplantación de ejecutivos para desviar pagos), el clone phishing (duplicación de correos reales con enlaces maliciosos) y el quishing (phishing mediante códigos QR).

¿Cómo puedo saber si un correo es un intento de phishing?

Fíjate en estas señales de alerta: una dirección de remitente sospechosa o que no coincide, saludos genéricos ("Estimado cliente"), lenguaje urgente o amenazante, archivos adjuntos inesperados, solicitudes de contraseñas o información personal, y enlaces sospechosos. Pasa el cursor por encima de los enlaces para comprobar adónde llevan realmente antes de hacer clic.

¿Qué debo hacer si he hecho clic en un enlace de phishing?

Desconecta tu dispositivo de internet de inmediato. Cambia las contraseñas de la cuenta afectada (y de cualquier otra donde hayas usado la misma contraseña). Activa o refuerza la autenticación multifactor (MFA). Realiza un análisis completo en busca de malware. Revisa tus cuentas financieras para detectar transacciones no autorizadas. Informa del incidente a tu equipo de informática y a las autoridades competentes.

¿Puede el phishing saltarse la autenticación multifactor (MFA)?

Sí. Técnicas avanzadas como el phishing Adversary-in-the-Middle (AiTM) utilizan servidores proxy para interceptar cookies de sesión en tiempo real, esquivando así el MFA basado en SMS y el de aplicaciones de autenticación. Los métodos de MFA resistentes al phishing, como las llaves de hardware FIDO2 y las passkeys, son la defensa más sólida.

¿Cuál es la diferencia entre phishing y spear phishing?

El phishing estándar utiliza mensajes genéricos enviados de forma masiva a miles de personas a la vez. El spear phishing es dirigido: usa datos personales de una persona concreta (nombre, cargo, empresa, actividad reciente) para crear un ataque personalizado y muy convincente. El spear phishing tiene una tasa de éxito mucho más alta.

¿Qué es el phishing con IA y por qué es peligroso?

El phishing con IA hace referencia a ataques de phishing que utilizan inteligencia artificial, especialmente grandes modelos de lenguaje, para generar mensajes personalizados y gramaticalmente impecables a gran escala. La IA ha eliminado el indicador de "mala gramática" que antes ayudaba a identificar el phishing. Los ataques más avanzados también incluyen voz y vídeo deepfake en ataques de vishing.

¿Cómo protege la autocustodia frente al phishing?

Las herramientas financieras de autocustodia, como Bleap, te dan control directo sobre tus fondos en lugar de almacenarlos en un sistema centralizado. Esto significa que no hay una línea central de atención al cliente que los atacantes puedan manipular mediante ingeniería social, ni un único empleado comprometido que pueda desbloquear tu dinero. No te hace inmune al phishing, pero elimina un vector de ataque importante.

¿Qué es el quishing?

El quishing es phishing que se distribuye a través de códigos QR. Los atacantes incrustan URLs maliciosas dentro de códigos QR, que eluden muchos filtros de seguridad del correo electrónico incapaces de leer enlaces integrados en imágenes. Al escanear el código, te redirigen a un sitio web de phishing. Comprueba siempre la URL a la que apunta un código QR antes de introducir cualquier información.

¿Cómo denuncio un ataque de phishing?

Reporta los correos de phishing a tu proveedor de correo electrónico marcándolos como phishing (no solo como spam). Reenvíalos a la dirección de notificación de phishing de la organización suplantada. En el Reino Unido, repórtalo a Action Fraud. En EE. UU., repórtalo al IC3 del FBI. En la UE, repórtalo a tu CERT nacional o a la autoridad de ciberseguridad correspondiente. Si perteneces a una organización, notifícalo de inmediato a tu equipo de seguridad informática interna.