Qué es el phishing y cómo proteger tu empresa

Qué es el phishing

El phishing es una técnica de engaño digital mediante la cual un atacante suplanta la identidad de una persona, empresa o institución de confianza para manipular a la víctima y conseguir que revele información confidencial, haga clic en un enlace malicioso o transfiera dinero.

No necesita explotar vulnerabilidades técnicas complejas. No requiere herramientas sofisticadas. Le basta con engañar a una persona. Y eso, lamentablemente, funciona con una eficacia alarmante.

Según el Instituto Nacional de Ciberseguridad (INCIBE), el phishing representa más del 80% de los incidentes de seguridad reportados en España. Es el punto de entrada preferido de los ciberdelincuentes porque es barato, escalable y extraordinariamente efectivo.

Cómo funciona un ataque de phishing

El mecanismo es siempre el mismo: crear una situación de urgencia o confianza que lleve a la víctima a actuar sin pensar.

El atacante envía un correo electrónico que parece legítimo del banco, de Correos, de la Agencia Tributaria, del CEO de la empresa, de un proveedor habitual. El mensaje incluye un enlace a una web falsa que imita a la original o un archivo adjunto que instala malware al abrirse.

La víctima introduce sus credenciales en la web falsa o ejecuta el archivo. El atacante obtiene lo que buscaba.

Todo el proceso puede durar menos de treinta segundos.

Tipos de phishing más frecuentes en empresas españolas

El phishing ha evolucionado. Ya no es solo el correo con errores ortográficos del príncipe nigeriano. Existen variantes cada vez más sofisticadas y difíciles de detectar:

Spear phishing Ataque dirigido a una persona o empresa concreta. El atacante investiga previamente a la víctima su cargo, sus proveedores, sus proyectos actuales y personaliza el mensaje para que resulte completamente creíble. Es el tipo más peligroso y el más difícil de detectar.

Whaling Variante del spear phishing dirigida específicamente a altos directivos: CEO, CFO, directores de área. El objetivo es acceder a información estratégica o autorizar transferencias económicas de gran importe.

Business Email Compromise (BEC) El atacante suplanta la identidad del CEO o de un proveedor para solicitar una transferencia urgente al departamento financiero. En España, el BEC genera pérdidas millonarias cada año.

Smishing Phishing por SMS. Mensajes que suplantan a bancos, empresas de mensajería o administraciones públicas con enlaces maliciosos.

Vishing Phishing por llamada telefónica. El atacante se hace pasar por el soporte técnico, el banco o la Agencia Tributaria para obtener credenciales o datos bancarios por voz.

Quishing Phishing mediante códigos QR. El código dirige a una web falsa cuando se escanea. Especialmente eficaz porque los usuarios no pueden previsualizar la URL antes de acceder.

Por qué el phishing es tan efectivo en entornos empresariales

Las empresas son objetivos especialmente vulnerables al phishing por varias razones:

• Los empleados reciben decenas o cientos de correos al día y no pueden analizar cada uno con detenimiento
• La cultura corporativa de responder rápido a los superiores facilita los ataques de whaling y BEC
• Muchos empleados no han recibido formación específica para identificar intentos de phishing
• El uso de dispositivos personales para acceso corporativo amplía la superficie de ataque
• La confianza en proveedores y socios habituales facilita el spear phishing personalizado

Un solo empleado que haga clic en el enlace equivocado puede comprometer toda la infraestructura de la empresa.

Señales para identificar un correo de phishing

Aunque el phishing moderno es cada vez más sofisticado, existen señales de alerta que ayudan a identificarlo:

• Dirección de correo del remitente ligeramente diferente a la legítima (soporte@banco-es.com en lugar de soporte@banco.es)
• Urgencia artificial: «Tu cuenta será bloqueada en 24 horas», «Acción inmediata requerida»
• Solicitudes inusuales: tu banco nunca te pedirá la contraseña por correo
• Enlaces que al pasar el cursor muestran una URL diferente a la indicada en el texto
• Archivos adjuntos no solicitados, especialmente en formatos .exe, .zip, .docm o .xlsm
• Errores ortográficos o gramaticales, aunque cada vez son menos frecuentes gracias al uso de IA
• Saludos genéricos («Estimado cliente») en lugar de tu nombre real

Ninguna de estas señales es infalible por sí sola. Los ataques de spear phishing bien ejecutados no tienen ninguno de estos errores.

Cómo proteger tu empresa del phishing

La protección eficaz frente al phishing combina tecnología y formación:

Medidas técnicas:

• Implementar filtros antiphishing y antispam en el servidor de correo corporativo
• Activar la autenticación multifactor en todos los accesos — aunque el atacante obtenga la contraseña, no podrá acceder sin el segundo factor
• Configurar los protocolos SPF, DKIM y DMARC para dificultar la suplantación del dominio corporativo
• Usar soluciones de seguridad del correo que analizan enlaces y adjuntos antes de que lleguen al buzón
• Implementar sistemas de verificación para transferencias económicas superiores a determinados importes

Formación del equipo:

• Formar a todos los empleados, sin excepción, para identificar intentos de phishing
• Realizar simulaciones periódicas de phishing para medir la respuesta real y detectar qué perfiles son más vulnerables
• Establecer un protocolo claro para verificar solicitudes inusuales, especialmente transferencias económicas
• Crear un canal interno para reportar correos sospechosos sin consecuencias negativas

La tecnología filtra una parte del phishing, pero no todo. El empleado bien formado es el eslabón más fuerte de la cadena.

¿Sabes qué porcentaje de tus empleados haría clic en un correo de phishing bien elaborado? La única forma de saberlo con certeza es mediante una campaña de phishing simulado ejecutada por profesionales, que mide la respuesta real de tu equipo e identifica quién necesita formación adicional.

Qué hacer si un empleado ha caído en un ataque de phishing

La velocidad de respuesta es determinante:

1. Cambia inmediatamente las credenciales comprometidas — no solo la contraseña afectada, todas las del empleado
2. Activa la autenticación multifactor si no estaba activada
3. Analiza el equipo afectado en busca de malware instalado durante el ataque
4. Revisa los accesos recientes a los sistemas corporativos para detectar actividad no autorizada
5. Evalúa si hay datos personales comprometidos — si los hay, notifica a la AEPD en menos de 72 horas
6. Documenta el incidente para el análisis posterior y la mejora de los protocolos de seguridad

Lo más importante: no culpabilizar al empleado. El phishing sofisticado engaña a cualquiera. La respuesta correcta es aprender y mejorar los controles.

Preguntas frecuentes sobre phishing

¿El phishing solo llega por correo electrónico?

 No. Aunque el correo es el canal más frecuente, el phishing también se ejecuta por SMS (smishing), llamada telefónica (vishing), redes sociales, aplicaciones de mensajería y códigos QR (quishing).

¿La autenticación multifactor protege completamente frente al phishing? 

Reduce drásticamente el riesgo pero no elimina completamente la amenaza. Existen técnicas avanzadas de phishing en tiempo real (adversary-in-the-middle) capaces de interceptar el segundo factor de autenticación.

¿Puede el phishing afectar a empresas pequeñas? 

Sí. Las pymes son objetivos frecuentes precisamente porque suelen tener menos controles y formación. El esfuerzo del atacante es mínimo comparado con el potencial beneficio.

¿Cómo sé si mi empresa ha sido víctima de phishing sin saberlo? 

Accesos no autorizados a sistemas, correos enviados sin autorización desde cuentas corporativas, movimientos bancarios no reconocidos o alertas del sistema de seguridad son señales habituales de un ataque de phishing previo no detectado.

Conclusión

El phishing es la amenaza más frecuente y, al mismo tiempo, una de las más prevenibles. La combinación de tecnología adecuada y un equipo bien formado reduce drásticamente la probabilidad de éxito de cualquier ataque. El problema no es si tu empresa recibirá intentos de phishing — los está recibiendo ahora mismo. La pregunta es si está preparada para resistirlos.