Phishing
Conozca las últimas tácticas de phishing, cómo funcionan y las estrategias probadas para proteger a su organización de las ciberamenazas.
Comprendamos el phishing
El phishing no necesita presentación. Si utiliza Internet o un dispositivo inteligente, ya habrá presenciado un ataque de phishing, ya sea un correo electrónico, un mensaje de texto, una llamada telefónica, una publicación en las redes sociales o todo lo anterior.
La amenaza del phishing es tan grave como sugiere su reputación. El auge de la IA generativa ha provocado un aumento masivo del phishing con técnicas más sofisticadas y en mayor volumen que nunca.
Ingeniería social: Cómo el phishing utiliza la confianza como arma
Nos inclinamos a creer lo que vemos, sobre todo si procede de una fuente confiable. Esto significa que una parte clave del éxito de un ataque de phishing consiste en una mentira convincente. Eso es ingeniería social. Los atacantes pueden hacerse pasar por nuestros colegas, amigos, agentes de la ley o marcas de confianza: lo que sea necesario para convencernos de bajar la guardia. Y funciona: el 90 % de los ciberataques implican ingeniería social.¹
Más información: ¿Qué es el phishing?
Tipos de ataques de phishing
Todos los ataques de phishing tienen objetivos similares: engañar a las víctimas para que descarguen malware, sigan enlaces maliciosos o divulguen información privilegiada. Pero los phishers pueden utilizar muchos enfoques y tipos de medios para hacer que sus ataques parezcan más convincentes, personales o urgentes. Explore a continuación algunos de los tipos más comunes.
Técnicas y tácticas de phishing
Los atacantes de phishing utilizarán todos los medios a su disposición (explotando la confianza, el miedo o el simple descuido de sus víctimas) para incentivar la acción.
Hoy en día, los atacantes tienen más opciones a su disposición que nunca.
Quishing (phishing de códigos QR)
Utiliza códigos QR maliciosos en lugar de hipervínculos estándar. Aunque un código QR es funcionalmente igual que un hipervínculo, es menos probable que las víctimas los examinen detenidamente.
Compromiso del correo electrónico empresarial (BEC)
Utiliza direcciones de correo electrónico comprometidas o suplantadas de colegas o jefes de las víctimas para solicitar información confidencial, transferencias financieras o acceso privilegiado.
Ataques de phishing impulsados por la IA: una amenaza creciente para la ciberseguridad
Phishing asistido por LLM
Utiliza modelos GenAI como ChatGPT para producir traducciones precisas con errores mínimos, lo que ayuda a los phishers a dirigirse mejor a las víctimas que hablan otros idiomas.
El papel de la IA en el phishing
Tendencias de ciberseguridad en 2025: amenazas impulsadas por la IA y riesgos internos
El tiempo medio para un phishing exitoso es de solo 49 segundos.² Con un costo medio mundial de una violación de datos cercano a los 5 millones de dólares estadounidenses,³ la mejor manera de luchar contra el phishing es prevenirlo.
Estrategias de detección y prevención
Zscaler ofrece un conjunto de soluciones para prevenir el phishing exitoso en cada etapa de un ataque.
Zscaler Internet Access™ ayuda a identificar y detener la actividad maliciosa al enrutar e inspeccionar todo el tráfico de Internet a través de una plataforma Zero Trust basada en proxy y nativa de la nube, que bloquea eficazmente:
- URL e IP maliciosas y riesgosas, incluidas categorías de URL de alto riesgo definidas por políticas que se usan comúnmente para el phishing
- Firmas IPS desarrolladas a partir del análisis de Zscaler ThreatLabz de kits y páginas de phishing
- Sitios de phishing novedosos identificados por escaneos de contenido impulsados por IA/ML
La protección contra amenazas avanzada bloquea todos los dominios de comando y control (C2) conocidos para evitar que el malware se comunique con malintencionados o exfiltre datos a ellos.
Zero Trust Firewall extiende la protección C2 a todos los puertos y protocolos, incluidos los destinos C2 emergentes.
Zscaler ITDR (detección y respuesta a amenazas de identidad) reduce el riesgo de ataques basados en la identidad a través de la visibilidad continua, la supervisión de riesgos y la detección de amenazas.
Zero Trust Browser transmite a los usuarios contenidos maliciosos o riesgosos en forma de píxeles para ofrecer una experiencia casi nativa que elimina las fugas de datos y evita la distribución de amenazas activas.
Cloud Sandbox evita el malware desconocido distribuido en cargas útiles de segunda etapa.
DNS Security defiende contra ataques basados en DNS e intentos de exfiltración.
Zscaler Private Access™ limita el movimiento lateral aplicando el acceso con privilegios mínimos, la segmentación de usuario a aplicación y la inspección completa en línea del tráfico de aplicaciones privadas.
AppProtection inspecciona las cargas útiles completas de las aplicaciones para exponer las amenazas.
Herramientas
Comprenda las brechas en su seguridad que podrían dejarlo expuesto a phishing, botnets, descargas automáticas y más:
Inicie un análisis de la exposición a las amenazas de Internet
Cada día aparecen decenas de miles de nuevos sitios de phishing. Analice cualquier URL para confirmar que es segura en solo unos segundos:
1. Gen Digital, Q2 2024 Cybersecurity Trends.2. Verizon, 2024 Data Breach Investigations Report.3. IBM, Cost of a Data Breach Report 2024.