Phishing
Conozca las últimas tácticas de phishing, cómo funcionan y las estrategias probadas para proteger a su organización de las ciberamenazas.
Comprendamos el phishing
El phishing no necesita presentación. Si utiliza Internet o un dispositivo inteligente, ya habrá presenciado un ataque de phishing, ya sea un correo electrónico, un mensaje de texto, una llamada telefónica, una publicación en las redes sociales o todo lo anterior.
La amenaza del phishing es tan grave como sugiere su reputación. El auge de la IA generativa ha provocado un aumento masivo del phishing con técnicas más sofisticadas y en mayor volumen que nunca.
Ingeniería social: Cómo el phishing utiliza la confianza como arma
Nos inclinamos a creer lo que vemos, sobre todo si procede de una fuente confiable. Esto significa que una parte clave del éxito de un ataque de phishing consiste en una mentira convincente. Eso es ingeniería social. Los atacantes pueden hacerse pasar por nuestros colegas, amigos, agentes de la ley o marcas de confianza: lo que sea necesario para convencernos de bajar la guardia. Y funciona: el 90 % de los ciberataques implican ingeniería social.¹
Más información: ¿Qué es el phishing?
Los ataques de phishing aumentaron un 58.2 % interanual en 2023, ya que los atacantes explotaron la IA generativa para potenciar nuevas y sofisticadas técnicas de engaño.
Tipos de ataques de phishing
Todos los ataques de phishing tienen objetivos similares: engañar a las víctimas para que descarguen malware, sigan enlaces maliciosos o divulguen información privilegiada. Pero los phishers pueden utilizar muchos enfoques y tipos de medios para hacer que sus ataques parezcan más convincentes, personales o urgentes. Explore a continuación algunos de los tipos más comunes.
El phishing por correo electrónico es el tipo de phishing más tradicional, en el que los phishers envían correos electrónicos fraudulentos animando a las víctimas a actuar. Este método tiene un umbral de acceso bajo porque los correos electrónicos son fáciles de distribuir ampliamente y muchas partes de ellos (remitente, encabezados) son fáciles de falsificar.
El vishing (phishing de voz) se realiza a través del teléfono o VoIP. Al tratarse de una interacción directa en tiempo real, el vishing juega fuertemente con nuestro sentido de la urgencia y nuestros instintos sociales. Los sofisticados ataques de vishing actuales suelen combinar técnicas como la suplantación del identificador de llamadas y las falsificaciones de voz. Más información.
El smishing (phishing por SMS) se realiza a través de mensajes de texto o mensajes directos en las redes sociales. Aunque es similar al phishing por correo electrónico, el smishing puede ser muy eficaz debido a la percepción de la naturaleza personal de los mensajes de texto y a que la mayoría de la gente lee los textos antes de borrarlos. Más información.
El phishing selectivo es un ataque muy dirigido a un grupo pequeño de víctimas, o incluso a una sola víctima. Al no ser específico de ningún medio, el spear phishing es personalizado, ya que utiliza detalles específicos relacionados con la(s) víctima(s) para hacer más creíbles y engañosas sus solicitudes fraudulentas. Más información.
El phishing de intermediario (Man-in-the-middle, MiTM) es un ataque avanzado en el que los phishers interceptan y manipulan sigilosamente las comunicaciones entre dos partes en tiempo real. Pueden cambiar los mensajes, redirigir a las víctimas a sitios web maliciosos, recopilar datos confidenciales y mucho más. Más información.
Cómo identificar ataques de phishing: tipos comunes, tácticas clave y consejos de prevención
Técnicas y tácticas de phishing
Los atacantes de phishing utilizarán todos los medios a su disposición (explotando la confianza, el miedo o el simple descuido de sus víctimas) para incentivar la acción.
Hoy en día, los atacantes tienen más opciones a su disposición que nunca.
Quishing (phishing de códigos QR)
Utiliza códigos QR maliciosos en lugar de hipervínculos estándar. Aunque un código QR es funcionalmente igual que un hipervínculo, es menos probable que las víctimas los examinen detenidamente.
Compromiso del correo electrónico empresarial (BEC)
Utiliza direcciones de correo electrónico comprometidas o suplantadas de colegas o jefes de las víctimas para solicitar información confidencial, transferencias financieras o acceso privilegiado.
Typosquatting
Explota a los usuarios que teclean mal las URL, llevándoles a menudo a dominios parecidos que imitan marcas populares y de confianza.
Ataques de phishing impulsados por la IA: una amenaza creciente para la ciberseguridad
Phishing con deepfake
Utiliza voz o video generados por IA para hacerse pasar por personas de confianza de las víctimas, y puede ser casi indistinguible de la persona real. Obtenga más información sobre los ataques de deepfake.
Phishing asistido por LLM
Utiliza modelos GenAI como ChatGPT para producir traducciones precisas con errores mínimos, lo que ayuda a los phishers a dirigirse mejor a las víctimas que hablan otros idiomas.
El 43.1 % de los ataques de phishing empresariales imitan a Microsoft.
Obtenga más información en el Informe sobre phishing de ThreatLabz 2024.
El papel de la IA en el phishing
El phishing potenciado por la IA sigue en aumento
Continuando con las tendencias de los últimos años, el engaño asistido por IA seguirá siendo cada vez más difícil de discernir para los humanos de las comunicaciones reales y benignas. Consulte nuestras predicciones completas:
Temporada de phishing 2025: La última predicción desvelada
Tendencias de ciberseguridad en 2025: amenazas impulsadas por la IA y riesgos internos
El tiempo medio para un phishing exitoso es de solo 49 segundos.² Con un costo medio mundial de una violación de datos cercano a los 5 millones de dólares estadounidenses,³ la mejor manera de luchar contra el phishing es prevenirlo.
Estrategias de detección y prevención
Zscaler ofrece un conjunto de soluciones para prevenir el phishing exitoso en cada etapa de un ataque.
Zscaler Internet Access™ ayuda a identificar y detener la actividad maliciosa al enrutar e inspeccionar todo el tráfico de Internet a través de una plataforma Zero Trust basada en proxy y nativa de la nube, que bloquea eficazmente:
- URL e IP maliciosas y riesgosas, incluidas categorías de URL de alto riesgo definidas por políticas que se usan comúnmente para el phishing
- Firmas IPS desarrolladas a partir del análisis de Zscaler ThreatLabz de kits y páginas de phishing
- Sitios de phishing novedosos identificados por escaneos de contenido impulsados por IA/ML
La protección contra amenazas avanzada bloquea todos los dominios de comando y control (C2) conocidos para evitar que el malware se comunique con malintencionados o exfiltre datos a ellos.
Zero Trust Firewall extiende la protección C2 a todos los puertos y protocolos, incluidos los destinos C2 emergentes.
Zscaler ITDR (detección y respuesta a amenazas de identidad) reduce el riesgo de ataques basados en la identidad a través de la visibilidad continua, la supervisión de riesgos y la detección de amenazas.
Zero Trust Browser transmite a los usuarios contenidos maliciosos o riesgosos en forma de píxeles para ofrecer una experiencia casi nativa que elimina las fugas de datos y evita la distribución de amenazas activas.
Cloud Sandbox evita el malware desconocido distribuido en cargas útiles de segunda etapa.
DNS Security defiende contra ataques basados en DNS e intentos de exfiltración.
Zscaler Private Access™ limita el movimiento lateral aplicando el acceso con privilegios mínimos, la segmentación de usuario a aplicación y la inspección completa en línea del tráfico de aplicaciones privadas.
AppProtection inspecciona las cargas útiles completas de las aplicaciones para exponer las amenazas.
Herramientas
Comprenda las brechas en su seguridad que podrían dejarlo expuesto a phishing, botnets, descargas automáticas y más:
Inicie un análisis de la exposición a las amenazas de Internet
Cada día aparecen decenas de miles de nuevos sitios de phishing. Analice cualquier URL para confirmar que es segura en solo unos segundos:
1. Gen Digital, Q2 2024 Cybersecurity Trends.2. Verizon, 2024 Data Breach Investigations Report.3. IBM, Cost of a Data Breach Report 2024.
Zero Trust Essentials
Explore more topics
Browse our learning hubs–read up on fundamentals, use cases, benefits, and strategies.