Todo lo que necesita saber sobre el phishing

Por Christie Rae • 31 July 2025

El phishing sigue siendo uno de los ciberataques más comunes utilizados por los actores de amenazas. La mayoría de las empresas lo han visto en acción: correos electrónicos solicitando la finalización de una "tarea urgente" o el pago de un "pago atrasado", a veces incluso imitando a un director ejecutivo o un alto ejecutivo. De hecho, el Gobierno del Reino Unido... Encuesta sobre violaciones de ciberseguridad 2025 Descubrieron que, de las empresas u organizaciones benéficas que habían sufrido una interrupción o un ataque en los últimos 12 meses, el 85% de las empresas y el 86% de las organizaciones benéficas habían experimentado ataques de phishing.

En este blog, nos sumergimos en el turbio mundo del phishing: qué es, cómo identificar posibles intentos de phishing y cómo las organizaciones pueden protegerse contra él.

Ataques de phishing comunes dirigidos a empresas

correo electrónico de phishing

En los ataques de phishing por correo electrónico, los cibercriminales envían a sus víctimas correos electrónicos fraudulentos, a menudo haciéndose pasar por empresas o proveedores reconocidos. ¿El objetivo? Engañar a las víctimas para que visiten un sitio web fraudulento, abran un archivo adjunto con virus o malware o compartan información confidencial como datos bancarios o contraseñas de cuentas corporativas.

Algunos ejemplos a tener en cuenta incluyen:

Facturas inesperadas
Correos electrónicos de remitentes desconocidos con archivos adjuntos
Alertas de actividad inusual con enlaces a sitios web externos.

Spear Phishing

El phishing selectivo es un enfoque más específico del phishing por correo electrónico, que utiliza información fácilmente disponible sobre una empresa, como los nombres de los empleados, para suplantar comunicaciones internas y fuentes de confianza. Es fundamental verificar la identidad del remitente mediante un método de comunicación diferente, como Teams o una llamada telefónica con un número verificado.

Algunos ejemplos a tener en cuenta incluyen:

Correos electrónicos "urgentes" inesperados que supuestamente provienen de sus departamentos de RR.HH. o TI
Solicitudes inusuales, supuestamente de alguien dentro de su empresa.

Compromiso de correo electrónico comercial

Compromiso de correo electrónico comercial (BEC) Los ataques de phishing son otro enfoque selectivo y siniestro, que a veces utiliza direcciones de correo electrónico falsas o incluso compromete las cuentas de correo electrónico de empleados. Suelen dirigirse a personas de confianza o responsables de presupuestos, intentando engañarlos para que realicen transacciones financieras fraudulentas o revelen información confidencial. Los delincuentes pueden incluso comprometer a un proveedor o vendedor, enviando facturas que parecen legítimas. El BEC es tan común que el FBI afirmó que... Los ataques BEC cuestan a organizaciones estadounidenses y mundiales casi 55.5 millones de dólares entre octubre de 2013 y diciembre de 2023.

Algunos ejemplos de intentos de BEC incluyen:

Fraude del director ejecutivo: Correos electrónicos "urgentes", supuestamente de la dirección de correo electrónico de un alto ejecutivo, pero en realidad controlados por el actor de la amenaza
Estafas de facturas: Facturas falsas o alteradas que redirigen los pagos a la cuenta de un atacante
Fraude de terceros: Facturas inesperadas o solicitudes de cambio de datos bancarios de sus proveedores actuales, lo que indica un posible compromiso.

Suplantación de identidad de clones

Los atacantes que utilizan clonación de phishing copian un correo electrónico real de forma casi idéntica y lo reenvían a la víctima con un nuevo archivo adjunto o enlace malicioso. Los actores de amenazas suelen usar correos electrónicos falsos con una ortografía similar a la del correo electrónico que suplantan; sin embargo, pueden usar suplantación de identidad sofisticada para simular que el correo electrónico fue enviado por el remitente legítimo.

Algunos ejemplos a tener en cuenta incluyen:

Correos electrónicos duplicados, especialmente aquellos con enlaces nuevos o modificados.

Cómo identificar correos electrónicos de phishing

Si bien combatir el phishing puede parecer una tarea abrumadora, existen múltiples formas de identificar correos electrónicos de phishing.

Dominios de correo electrónico no coincidentes: ¿El dominio del correo electrónico es el mismo que el de la empresa que el remitente afirma representar? Por ejemplo, un correo electrónico oficial de ISMS.online sería: nombre.apellido@ISMS.online, soporte@isms.online, etc.

Llamadas urgentes a la acción: Los correos electrónicos que exigen una acción urgente o inmediata podrían ser posibles intentos de phishing; una falsa sensación de urgencia busca generar pánico en el destinatario. Considere contactar al remitente por medios oficiales, por ejemplo, buscando el número de teléfono en el sitio web oficial de la empresa.

Ortografía y gramática: Los errores de ortografía y gramática podrían indicar un intento de phishing, ya que muchas empresas tienen herramientas de corrección ortográfica en su software de correo electrónico.

Artículos relacionados Al pasar el ratón sobre un enlace, puede ver la URL a la que le dirigirá. En los correos electrónicos de phishing, esta suele ser diferente del texto que se muestra en el correo electrónico.

Solicitudes de envío de información personal o financiera: Las credenciales de inicio de sesión, la información de pago y otros datos confidenciales no deben compartirse por correo electrónico. Asimismo, si un correo electrónico contiene un enlace a un sitio web externo para ingresar dicha información, asegúrese de verificar que el sitio web sea legítimo.

Proteja su organización contra ataques de phishing con la norma ISO 27001

Establecer las mejores prácticas de ciberseguridad, como las descritas en el estándar de seguridad de la información ISO 27001,, permite a su empresa reducir el riesgo, reforzar la seguridad y limitar el impacto de los ataques de phishing.

Formación y concienciación de los empleados

Sus empleados son su primera línea de defensa en materia de ciberseguridad. Implementar un programa de formación y concienciación en ciberseguridad puede capacitar a su equipo para identificar y denunciar posibles intentos de phishing, así como otros ciberataques.

Su programa de capacitación y concientización también debe describir los procesos a seguir, como el proceso que deben seguir los empleados para reportar presuntos intentos de phishing. Capacitar a su personal para reconocer las señales de un ataque de phishing y garantizar que su empresa cuente con procesos rigurosos de reporte y respuesta forma parte de una sólida estrategia de seguridad.

Control de Acceso

Limite los derechos y privilegios de los empleados según el criterio de "privilegio mínimo". Por ejemplo, limite el acceso de un usuario típico únicamente a los recursos necesarios para realizar su trabajo. Esto ayuda a reducir el impacto de un intento de phishing en su organización si una cuenta se ve comprometida.

Además, exigir controles como la autenticación multifactor en las cuentas del personal puede proporcionar una defensa clave contra el acceso no autorizado y las credenciales comprometidas.

Respuesta al incidente

Las empresas que cumplen con la norma ISO 27001 deben establecer procesos de respuesta a incidentes. Esto incluye la recopilación de evidencias, el análisis forense de seguridad de la información, la escalación a clientes y autoridades supervisoras pertinentes, el registro de actividades de respuesta a incidentes, la comunicación interna de incidentes, la resolución de incidentes y el análisis posterior. Una respuesta eficaz a los incidentes ayuda a garantizar una resolución más rápida y a mitigar el impacto de los ataques exitosos.

Configuración segura

La norma exige que las empresas incorporen la seguridad en sus operaciones desde el principio, en lugar de considerarla como una idea de último momento. Este enfoque reduce los posibles puntos de entrada para los actores de amenazas, por ejemplo, a través de soluciones de puerta de enlace de correo electrónico inseguras.

Gestión de proveedores externos

Nuestra Informe sobre el estado de la seguridad de la información 2024 Se reveló que casi cuatro de cada cinco (79%) de los encuestados se habían visto afectados por un incidente de ciberseguridad o de seguridad de la información causado por un proveedor externo o un socio de la cadena de suministro. Adoptar un enfoque basado en el riesgo en las relaciones con los proveedores puede ayudar a limitar el impacto de estos incidentes.

Por ejemplo, su empresa puede optar por preferir trabajar con proveedores con certificación ISO 27001, limitar el acceso de los proveedores a la información en función de los niveles de clasificación de la información y realizar un seguimiento del riesgo del proveedor si la incorporación de un proveedor tiene el potencial de afectar la confidencialidad, integridad y disponibilidad de la información o los procesos de su organización.

Pensamiento final

El phishing es una forma generalizada de ciberataque; afortunadamente para las organizaciones, muchas de las señales son fáciles de detectar. La formación continua de los empleados, la implementación de las mejores prácticas de seguridad y la adopción de un enfoque sólido en la seguridad de la información pueden reducir la probabilidad y el impacto de los ataques de phishing exitosos. violaciones de datos.

A medida que las amenazas cibernéticas continúan evolucionando, las empresas proactivas que implementan un enfoque de múltiples capas para la seguridad de la información y empoderan a los empleados para que actúen como su primera y más importante línea de defensa sin duda cosecharán los beneficios.

cristian rae

Christie es especialista en marketing de contenidos en ISMS.online. Con más de siete años de experiencia, su objetivo es escribir contenido informativo y atractivo y ha trabajado en una variedad de industrias que incluyen ciberseguridad, software como servicio, tecnología y productos farmacéuticos.