Phishing
Conozca las últimas tácticas de phishing, cómo funcionan y estrategias comprobadas para proteger a su organización de las ciberamenazas.
Comprender el phishing
El phishing no necesita presentación. Si usa Internet o un dispositivo inteligente, ha visto un ataque de phishing, ya sea un correo electrónico, un mensaje de texto, una llamada telefónica, una publicación en las redes sociales o todo lo anterior.
La amenaza del phishing es tan grave como su reputación sugiere. El auge de la IA generativa ha provocado un aumento masivo del phishing, que utiliza técnicas más sofisticadas y en un volumen mayor que nunca.
Ingeniería social: cómo el phishing se convierte en un arma para la confianza
Tenemos tendencia a creer lo que vemos, especialmente si proviene de una fuente confiable. Esto significa que una parte clave de un ataque de phishing exitoso es una mentira convincente. Eso es ingeniería social. Los atacantes pueden hacerse pasar por nuestros colegas, amigos, agentes de la ley o marcas de confianza: lo que sea necesario para convencernos de bajar la guardia. Y funciona: el 90 % de los ciberataques implican ingeniería social.¹
Leer más: ¿Qué es el phishing?
Los ataques de phishing aumentaron un 58,2 % interanual en 2023, ya que los atacantes explotaron la IA generativa para impulsar nuevas y sofisticadas técnicas de engaño.
Tipos de ataques de phishing
Todos los ataques de phishing tienen objetivos similares: engañar a las víctimas para que descarguen malware, sigan enlaces maliciosos o divulguen información privilegiada. Pero los phishers pueden utilizar muchos enfoques y tipos de medios para hacer que sus ataques parezcan más convincentes, personales o urgentes. Explore algunos de los tipos más comunes a continuación.
El phishing por correo electrónico es el tipo de phishing más tradicional, en el que los estafadores envían correos electrónicos fraudulentos animando a las víctimas a actuar. Este método tiene una baja barrera de entrada porque los correos electrónicos son fáciles de distribuir ampliamente y muchas partes de ellos (remitente, encabezados) son fáciles de falsificar.
El vishing (phishing de voz) se realiza a través del teléfono o VoIP. Dado que interacciona de manera directa en tiempo real, el vishing juega de lleno con nuestro sentido de urgencia e instintos sociales. Hoy en día, los sofisticados ataques de vishing a menudo combinan técnicas como suplantación de identificación de llamadas y falsificaciones de voz. Más información.
El smishing (phishing por SMS) se realiza a través de mensajes de texto o mensajes directos en las redes sociales. Aunque es similar al phishing por correo electrónico, el smishing puede ser muy eficaz debido a la naturaleza personal percibida de los mensajes de texto y porque la mayoría de las personas leen los textos antes de eliminarlos. Más información.
El spear phishing (phishing selectivo) es un ataque muy específico dirigido a un grupo pequeño de víctimas, o incluso a una sola víctima. El spear phishing no se utiliza en ningún medio concreto, es personalizado y utiliza detalles específicos relacionados con las víctimas para hacer que sus solicitudes fraudulentas sean más creíbles y engañosas. Más información.
El phishing de intermediario (MiTM) es un ataque avanzado en el que los phishers interceptan y manipulan sigilosamente las comunicaciones entre dos partes en tiempo real. Pueden modificar mensajes, redirigir a las víctimas a sitios web maliciosos, recopilar datos confidenciales y más. Más información.
Identificar ataques de phishing: tipos comunes, tácticas clave y consejos de prevención
Técnicas y tácticas de phishing
Los atacantes de phishing utilizarán todos los medios a su disposición (explotando la confianza, el miedo o el simple descuido de sus víctimas) para promover la acción.
Hoy en día, los atacantes tienen más opciones disponibles que nunca.
Quishing (phishing de códigos QR)
Utiliza códigos QR maliciosos en lugar de hipervínculos estándar. Si bien un código QR funciona igual que un hipervínculo, es menos probable que las víctimas lo examinen con atención.
Correo electrónico empresarial comprometido (BEC)
Utiliza direcciones de correo electrónico comprometidas o falsificadas de colegas o líderes de las víctimas para solicitar información confidencial, transferencias financieras o acceso privilegiado.
Typosquatting (allanamiento de error tipográfico)
Explota a los usuarios que escriben mal las URL y, a menudo, los lleva a dominios similares que imitan marcas populares y confiables.
Ataques de phishing impulsados por IA: una amenaza creciente para la ciberseguridad
Phishing deepfake
Utiliza voz generada por IA y/o vídeo para hacerse pasar por personas en las que las víctimas confían, y puede ser casi indistinguible de la realidad. Obtenga más información sobre los ataques deepfake.
Suplantación de identidad asistida por LLM
Utiliza modelos de IA generativa como ChatGPT para producir traducciones precisas con errores mínimos, lo que ayuda a los estafadores a identificar mejor a las víctimas que hablan otros idiomas.
El 43,1 % de los ataques de phishing empresariales imitan a Microsoft.
Obtenga más información en el Informe de phishing de ThreatLabz 2024.
El papel de la IA en el phishing
El phishing impulsado por IA sigue en aumento
Siguiendo las tendencias de los últimos años, será cada vez más difícil para los humanos discernir el engaño asistido por IA de las comunicaciones reales y benignas. Consulte nuestras predicciones completas:
Temporada de phishing 2025: las últimas predicciones reveladas
Tendencias de ciberseguridad en 2025: amenazas impulsadas por IA y riesgos internos
El tiempo medio para un phishing exitoso es de sólo 49 segundos.² Con el coste promedio global de una filtración de datos próximo a los 5 millones de dólares estadounidenses,³ la mejor manera de combatir el phishing es prevenirlo.
Estrategias de detección y prevención
Zscaler ofrece un conjunto de soluciones para prevenir el phishing exitoso en cada etapa de un ataque.
Zscaler Internet Access™ ayuda a identificar y detener la actividad maliciosa al enrutar e inspeccionar todo el tráfico de Internet a través de una plataforma de zero trust basada en proxy y nativa de la nube, que bloquea eficazmente:
- URL e IP maliciosas y arriesgadas, incluidas categorías de URL de alto riesgo definidas por políticas que se usan comúnmente para phishing
- Firmas IPS desarrolladas a partir del análisis de ThreatLabz de kits y páginas de phishing
- Nuevos sitios de phishing identificados mediante análisis de contenido generados por AI/ML
Advanced Threat Protection bloquea todos los dominios de comando y control (C2) conocidos para evitar que el malware se comunique con actores maliciosos o les filtre datos.
Zero TrustFirewall extiende la protección C2 a todos los puertos y protocolos, incluidos los destinos C2 emergentes.
Zscaler ITDR (detección y respuesta a amenazas de identidad) reduce el riesgo de ataques basados en identidad a través de visibilidad continua, supervisión de riesgos y detección de amenazas.
Zero Trust Browser transmite contenido malicioso o arriesgado a los usuarios en forma de píxeles para una experiencia casi nativa que elimina las filtraciones de datos y evita la distribución de amenazas activas.
Sandbox en la nube previene el malware desconocido entregado en cargas útiles de segunda etapa.
Seguridad DNS defiende contra ataques basados en DNS e intentos de exfiltración.
Zscaler Private Access™ protege las aplicaciones limitando el movimiento lateral con acceso con privilegios mínimos, segmentación de usuario a aplicación e inspección completa en línea del tráfico de aplicaciones privadas.
AppProtection inspecciona todas las cargas útiles de la aplicación para exponer amenazas.
Herramientas
Comprenda las brechas en su seguridad que podrían dejarlo expuesto a phishing, botnets, descargas automáticas y más:
Inicie un análisis de exposición a amenazas de Internet
Cada día surgen decenas de miles de nuevos sitios de phishing. Analice cualquier URL para confirmar que es segura en sólo unos segundos:
1. Gen Digital, Tendencias de ciberseguridad del segundo trimestre de 2024.
2. Verizon, Informe de investigaciones sobre vulneraciones de datos de 2024.
3. IBM, Informe sobre el coste de una vulneración de datos de 2024.
Zero Trust Essentials
Explore more topics
Browse our learning hubs–read up on fundamentals, use cases, benefits, and strategies.