Amenazas

Phishing, el arte de engañar humanos (atacando el eslabón más débil)

Phising el ataque a humanos

El phishing es, básicamente, ponerle un anzuelo a un correo electrónico y esperar a ver quién muerde. Si tienes contraseñas tipo 123456 o confías ciegamente en cualquier SMS que te llega al móvil, estás en peligro. Pero no te sientas mal, el problema es que el phishing ha dejado de ser ese correo mal escrito del «príncipe nigeriano» para convertirse en una industria multimillonaria altamente sofisticada.

Si alguna vez has pensado que los hackers son genios matemáticos que descifran claves de la NASA en pantallas verdes mientras comen pizza, lamento decepcionarte. La mayoría de los ataques exitosos hoy en día no empiezan con una línea de código compleja, sino con un mensaje que dice: «Tu paquete de Amazon no ha podido ser entregado». Bienvenido al mundo de la ingeniería social (social engineering), aquí es más barato convencerte de que me des tu llave que intentar derribarte la puerta blindada.

En este artículo vamos a destripar por qué el phising sigue siendo el vector de ataque número uno, cómo se están saltando incluso el segundo factor de autenticación y qué puedes hacer para que tu empresa no sea la próxima noticia en la sección de sucesos tecnológicos.

Un trío con mucho peligro: Phishing, Smishing y Vishing

Aunque solemos meterlo todo en el mismo saco, los atacantes tienen diferentes herramientas según el canal que decidan usar para amargarte el día.

Phishing: El correo de toda la vida

Es el clásico ataque a través de correo electrónico (email). El atacante utiliza técnicas de suplantación de identidad (spoofing) para parecer una fuente legítima. Aquí, el objetivo suele ser que hagas clic en un enlace malicioso (URL phishing) o que abras un archivo adjunto que contiene un cargador de malware (malware loader).

Smishing: El peligro en la palma de tu mano

El nombre viene de unir «SMS» y «Phishing». Es absurdamente efectivo porque, por alguna razón psicológica extraña, confiamos más en un mensaje de texto que nos llega al móvil que en un correo electrónico. Un atacante con acceso a un centro de mensajes (SMS gateway) puede enviar miles de mensajes en segundos fingiendo ser tu banco o una empresa de mensajería.

Vishing: Cuando la voz es el arma

Aquí entra en juego el fraude de voz (voice phishing). El atacante te llama, a menudo usando técnicas de suplantación de número (caller ID spoofing), y utiliza un tono urgente o autoritario para que le des datos sensibles. Con la llegada de la Inteligencia Artificial, el vishing ha subido de nivel: ahora pueden clonar la voz de tu jefe para pedirte una transferencia urgente.

Todos estos ataques se basan en la ingeniería social (social engineering), el arte de manipular a las personas para que realicen acciones o divulguen información confidencial.

¿Por qué es el vector de ataque preferido?

Si te preguntas por qué los criminales no se cansan de esto, la respuesta es sencilla: es una cuestión de economía.

  • Escala masiva: Puedes enviar un millón de correos por unos pocos dólares. Si solo cae el 0.01%, ya tienes 100 víctimas.
  • Es barato para el atacante: No necesitan vulnerabilidades de día cero (zero-day vulnerabilities) que cuestan miles de euros en el mercado negro. Solo necesitan un servidor de correo y un poco de creatividad.
  • Funciona donde la tecnología falla: Puedes tener el firewall más caro del mundo, pero si tu empleado abre un PDF malicioso «para revisar la factura», el firewall se queda mirando como un portero de discoteca con resaca.

Business Email Compromise (BEC): El fraude de guante blanco

Este es el «jefe final» del phishing. En lugar de enviar correos a lo loco, el atacante investiga a la empresa, compromete la cuenta de un directivo y, desde dentro, pide transferencias de dinero o cambios en los números de cuenta de los proveedores. Aquí no hay enlaces maliciosos ni virus; es pura manipulación psicológica y conocimiento del flujo de trabajo de la empresa.

El fin de la falsa seguridad: Saltándose el MFA

Durante años, el segundo factor de autenticación (Multi-Factor Authentication – MFA) fue el Santo Grial. Nos dijeron: «aunque te roben la contraseña, no podrán entrar sin el código del móvil». Pues bien, los atacantes han aceptado el reto.

Adversary-in-the-Middle (AiTM)

Esta es la técnica más avanzada y preocupante. El atacante no crea una web falsa que solo te pide la contraseña; crea un servidor proxy (proxy server) que se sitúa entre tú y la web real (por ejemplo, Microsoft 365).

  1. Tú introduces tu usuario y contraseña en la web del atacante.
  2. El atacante los envía en tiempo real a la web real.
  3. La web real te pide el código MFA.
  4. Tú lo introduces en la web del atacante.
  5. El atacante lo envía a la web real y ¡pum!, el servidor genera una cookie de sesión (session cookie).
  6. El atacante te roba esa cookie y ya está dentro de tu cuenta sin necesidad de volver a pedirte nada.
  7. Sofisticado; pero puede pasar.

MFA Fatigue: El arte de hartar al usuario

Si usas notificaciones «Push» en tu móvil (esas donde solo tienes que dar a «Aceptar»), eres vulnerable a la fatiga de MFA (MFA fatigue). El atacante, que ya tiene tu contraseña, empieza a enviarte solicitudes de acceso a las 3 de la mañana, una tras otra. Al final, el usuario, medio dormido o simplemente harto de que el móvil no deje de pitar, pulsa «Aceptar» para que pare. Es como el niño pesado que pide un caramelo hasta que se lo das solo para que se calle.

Anatomía de un ataque: Analizando el engaño

Para no caer, hay que saber mirar debajo del capó. Un correo de phishing suele tener varias señales de alerta que podemos identificar si analizamos las cabeceras de correo (email headers).

ElementoQué buscarTécnica de defensa
Remitente (From)¿El dominio coincide realmente con la empresa?Verificar registros SPF y DKIM.
Enlace (URL)¿Hacia dónde apunta realmente al pasar el ratón por encima?Uso de sandboxing o análisis de URL.
Urgencia«Tu cuenta será cerrada en 2 horas».Sentido común y canales oficiales.
Archivos adjuntosExtensiones dobles como .pdf.exe o archivos .zip protegidos.Escaneo de malware en la nube.

Es fundamental implementar protocolos de validación como SPF, DKIM y DMARC para evitar que cualquier hijo de vecino pueda enviar correos en nombre de tu dominio. Si no sabes por dónde empezar, te recomiendo revisar nuestra guía sobre seguridad en el correo electrónico y protocolos de validación.

Ejemplo práctico: Simulando un ataque (Con fines educativos)

Imagina que recibes un correo supuestamente de IT pidiéndote que verifiques tu cuenta. Si analizas el enlace, podrías encontrarte con algo así en el código HTML:

<p>Haz clic aquí para validar tu cuenta de Microsoft:</p>
<a href="http://login-microsoft-secure-update.net/auth">https://login.microsoft.com/</a>
HTML

Un script sencillo en Python podría ayudarte a verificar si un dominio es sospechoso comparando la distancia de Levenshtein (Levenshtein distance) (qué tan parecidos son dos textos) entre el dominio real y el recibido:

import Levenshtein

def es_phishing(dominio_real, dominio_sospechoso):
    distancia = Levenshtein.distance(dominio_real, dominio_sospechoso)
    # Si la distancia es pequeña pero no es 0, hay sospecha de Typosquatting
    if 0 < distancia <= 2:
        return True
    return False

# Ejemplo: microsoft.com vs mircosoft.com
print(f"¿Es sospechoso?: {es_phishing('microsoft.com', 'mircosoft.com')}")
Python

Este tipo de pequeñas herramientas son las que separan a un usuario desprevenido de alguien que sabe hacer un análisis de cabeceras de correo en condiciones.

Checklist de Supervivencia: Cómo no ser la víctima

Antes de que te vayas a cambiar todas tus contraseñas, repasa esta lista. Si cumples todo, estás en el top 1% de usuarios seguros:

  1. Desconfía de la urgencia: Si el mensaje te mete prisa, es una señal de alerta.
  2. MFA Físico: Si puedes, usa llaves de seguridad físicas (tipo YubiKey) basadas en el estándar FIDO2. Estas son inmunes al AiTM porque vinculan la autenticación al dominio real.
  3. Formación constante: La ingeniería social se combate con conocimiento, no solo con software.
  4. Verificación por canal secundario: Si tu jefe te pide una transferencia urgente por correo, llámale por teléfono (vía número conocido, no el que venga en el correo).
  5. Usa gestores de contraseñas: Un gestor de contraseñas no rellenará tus datos en una web que no sea la oficial, aunque se parezca mucho.

Conclusión: La tecnología ayuda, pero tu criterio es el firewall definitivo

El phishing no es un problema técnico que se solucione comprando el último juguete de ciberseguridad con luces LED. Es un problema de comportamiento. Los atacantes están refinando sus métodos, usando IA para mejorar su gramática (adiós a los correos mal escritos) y saltándose el MFA como si fuera una valla de jardín.

La clave está en la capa 8 del modelo OSI: el usuario. No importa cuántos millones inviertas en infraestructura; si alguien en contabilidad cree que el «Soporte Técnico de Microsoft» necesita su contraseña para limpiar un virus inexistente, estás fuera. Mantente escéptico, verifica siempre la fuente y, por favor, deja de usar el nombre de tu perro como contraseña.

Como siempre digo: un firewall mal configurado es como poner un bouncer en la puerta que deja pasar a todos los que le sonríen… y el phishing es la sonrisa más peligrosa de Internet.

Suscríbete a RutaCiber.com

El principal objetivo de RutaCiber.com es educar en ciberseguridad. Si el artículo te ha sido útil, suscríbete aquí 👇

Sin spam, solo nuevos artículos | Política de privacidad

Carlos del Río Sáez
Carlos del Río Sáez
Especialista en tecnología y ciberseguridad con más de 17 años de experiencia en entornos educativos y corporativos. Enfocado en sistemas, IA aplicada y ciberdefensa. Ingeniero informático. Miembro de ISC2 (CC Certified) y Security+ Certified.
Conecta conmigo en LinkedIn

Artículos relacionados...