26 de marzo de 2026 • Phishing
El phishing es una forma de fraude digital en la que los ciberdelincuentes se hacen pasar por otra persona. Piensa, por ejemplo, en una autoridad importante o en una persona famosa. A través de correos electrónicos, mensajes de WhatsApp o SMS que parecen urgentes, te piden que facilites información, como datos personales o bancarios.
Para las organizaciones, es fundamental saber identificar estos ataques. En la práctica, muchas empresas recurren a simulaciones de phishing para formar a sus empleados en la detección de estas amenazas.
A continuación, explicamos 10 tipos de ataques de phishing, junto con consejos para evitarlos.
10 tipos de ataques phishing
1. Pulverizador phishing
Con el spray phishing, los ciberdelincuentes envían mensajes a un gran número de personas dentro de una campaña de spray phishing por defecto. A veces se trata de diez mil correos electrónicos o mensajes de texto al mismo tiempo. Lanzan una amplia red, por así decirlo, con la esperanza de que algunas personas caigan en la trampa del correo electrónico. Suele tratarse de un correo electrónico de una empresa que solicita actualizar una contraseña o renovar los datos de una tarjeta de crédito.
2. Correo electrónico phishing
El envío de correos electrónicos es una de las formas más comunes de phishing. Estos correos están diseñados para que parezca que proceden de una fuente fiable. Normalmente, en estos correos electrónicos, se le pide que rellene un formulario o que responda al correo electrónico. Así es como los ciberdelincuentes obtienen información personal.
Una forma de correo electrónico phishing es el clon phishing, en el que se copia un correo legítimo y se sustituyen los enlaces y archivos por otros maliciosos. Puede tratarse, por ejemplo, de un archivo de factura, un enlace que contenga un virus o un enlace que le envíe a un sitio web para introducir sus datos personales.
3. Móvil phishing
Mobile phishing también se conoce como smishing o SMS phishing. Recibirá un mensaje del autor con la urgencia de que actúe. Piense en llamar a un número de teléfono o hacer clic en un enlace a un sitio web. A menudo, le pedirán información personal, como contraseñas o datos de su tarjeta de crédito.
La otra forma de phishing móvil es el teléfono phishing o vishing. Con esta forma de phishing, no recibirá un mensaje, sino que le llamarán. Los atacantes se hacen pasar por su banco, la policía u otras empresas u organismos. Intentan asustarle para que tome medidas, a menudo transferir dinero.
4. Persecución en ambulancia
Con este tipo de ataques phishing , los ciberdelincuentes aprovechan los acontecimientos actuales. Piense en pedir donaciones para fondos de ayuda, desastres naturales o guerras. Los agresores pueden recopilar datos personales y sacar dinero a las víctimas.
5. Cuenta caducada/cambio de contraseña
Recibirá un mensaje por correo electrónico o a través de su móvil con la solicitud de restablecer su contraseña. Estos mensajes a menudo parecen proceder de una fuente fiable y a veces son difíciles de distinguir de los mensajes reales. Por ejemplo, considere un mensaje de su banco. Si ha cambiado la contraseña a través de un enlace que el correo electrónico, el autor tiene la información necesaria para acceder a su cuenta bancaria.
6. Caza de ballenas phishing
En este ataque phishing , también conocido como business e-mail compromise, los ciberdelincuentes se dirigen a las grandes ballenas, es decir, a los empleados con un alto cargo dentro de una organización. A menudo se hacen pasar por un empleado de alto rango dentro de la organización para hacer creíble el acceso a información financiera o plataformas corporativas.
7. Wifi gemelo
Un gemelo WiFi es una red WiFi que copia la dirección de otra red. Cualquiera que se conecte a ella también quedará expuesto a los hackers. De este modo, obtienen acceso a contraseñas y otra información. Este tipo de ataque phishing suele producirse en zonas públicas como centros comerciales, cafeterías y aeropuertos. Así que no siempre es buena idea conectarse a una red Wi-Fi pública.
8. Lanza phishing
phishing spear phishing es un phishing muy personal. Esto se debe a que el atacante finge ser una persona que conoce bien al objetivo. Para ello, se investiga a fondo al objetivo, por lo que el ataque parece muy personal. El objetivo es obtener acceso a información confidencial para explotar al objetivo.
9. Pretextos
Este tipo de ataque phishing es muy eficaz porque da una sensación de legitimidad. Las víctimas recibirán inicialmente un mensaje por un canal distinto del correo electrónico para hacerles saber que en breve recibirán un correo electrónico. Por ejemplo, se hacen pasar por un proveedor e indican que la víctima recibirá en breve un presupuesto por correo electrónico. Así, en el correo electrónico final se hace referencia a este contacto telefónico, lo que hace que parezca más fiable.
10. Man-in-the-Middle
Por último, hablaremos de una forma bastante complicada de phishing: man-in-the-middle. El ciberdelincuente intercepta los correos electrónicos entre dos personas. El ciberdelincuente intercepta los correos electrónicos entre dos personas y los reenvía a estas dos personas, que piensan que proceden la una de la otra. De este modo, aumenta la confianza en los correos electrónicos, lo que permite al delincuente solicitar datos privados y otra información.
Consejos para prevenir los tipos de ataques phishing
1. Formación del personal
Si forma a su personal para que reconozca las técnicas de phishing y los factores psicológicos que las motivan, podrá prevenir un gran número de ataques. Los empleados aprenderán a verificar la identidad de los remitentes, a evitar hacer clic en enlaces o descargar archivos sin pensar y a analizar los mensajes con espíritu crítico. Entre las señales de alerta más importantes se incluyen:
- Saludos genéricos: los correos electrónicos de phishing suelen carecer de personalización.
- Enlaces o archivos adjuntos inesperados: sobre todo si no los has solicitado.
- Errores gramaticales y ortográficos: a menudo son un indicio de mala intención.
- Urgencia o presión: los atacantes intentan precipitar las decisiones.
2. No haga clic en todo
Nunca hagas clic en enlaces sin verificar la fuente, aunque el mensaje parezca legítimo. En su lugar, accede manualmente al sitio web oficial o comprueba el enlace pasando el cursor por encima. Las pequeñas diferencias en los nombres de dominio son una táctica habitual de phishing.
3. Comprobar HTTPS
Especialmente cuando te pidan que facilites información confidencial, debes comprobar si la URL empieza por HTTPS en lugar de HTTP. La «S» adicional no garantiza que se trate de un sitio web seguro, pero ofrece mayor protección frente a los piratas informáticos que un sitio HTTP. (Así que no te fíes únicamente del HTTPS)
4. Fomentar la presentación de denuncias
Crea una cultura en la que los empleados se sientan cómodos a la hora de informar sobre correos electrónicos sospechosos. Cuanto antes se denuncie un intento de phishing, antes se podrán tomar medidas para proteger al resto de la organización.
4. Utilizar Guardey
Para proteger eficazmente a su organización contra los ataques de phishing, la sensibilización por sí sola no es suficiente. Los empleados deben enfrentarse a situaciones reales y aprender a reaccionar ante ellas.
Con la simulación de phishing, puede simular de forma segura ataques reales y formar a los empleados para que reconozcan y denuncien las amenazas en la práctica. Esto reduce considerablemente el riesgo de que se produzcan intentos de phishing con éxito.
Además, Guardey ayuda a las organizaciones a mejorar continuamente la concienciación en materia de seguridad mediante formación interactiva e información en tiempo real. De este modo, no solo se forma a los empleados una vez, sino que se crea una cultura de seguridad a largo plazo dentro de la organización.