La Comisión Europea y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) se han coordinado para llevar a cabo campañas, simulacros, talleres y diverso material divulgativo en este mes de octubre 2025 para la concienciación de usuarios, empresas y Entes Públicos para la prevención y la lucha del phising.

El phishing es un tipo de ciberataque basado en la ingeniería social donde los delincuentes se hacen pasar por una entidad o persona de confianza (como un banco, un jefe o una empresa conocida) para manipular a sus víctimas. El objetivo es que realicen acciones perjudiciales, como revelar información confidencial (contraseñas, datos bancarios), hacer clic en enlaces maliciosos o descargar archivos infectados con malware.

Los responsables, conocidos como «phishers», pueden ser desde estafadores solitarios hasta bandas criminales sofisticadas y, en algunos casos de alto perfil, grupos patrocinados por estados nacionales. Su motivación es principalmente económica, pero también puede incluir el espionaje o el robo de secretos comerciales.

Las técnicas de phising más comunes son:

Correo Electrónico Masivo; Envío masivo de correos falsos que suplantan a grandes empresas.(ej. Microsoft, bancos).

Spear Phishing; Ataque dirigido y personalizado a una persona o grupo específico.

Whaling; Spear phishing dirigido a «ballenas» blancas: altos ejecutivos (CEO, CFO) o personas de alto valor.

Smishing (SMS Phishing); Phishing a través de mensajes de texto (SMS) o aplicaciones de mensajería (WhatsApp).

Vishing (Voice Phishing); Phishing por llamada telefónica. Suplantan soporte técnico, bancos o autoridades.

Business Email Compromise (BEC); Ataques que comprometen el correo empresarial para defraudar a la compañía.

Otras técnicas notables incluyen el Phishing Clonado, donde se duplica un correo legítimo previo pero con enlaces o archivos maliciosos , y el Qrishing, que utiliza códigos QR manipulados para redirigir a sitios fraudulentos .

La defensa efectiva contra el phishing requiere una combinación de concienciación humana y herramientas técnicas. La defensa número uno es mantenerse informado sobre las últimas tácticas de phishing . Participa en formaciones sobre ciberseguridad y cultiva una desconfianza saludable hacia correos, mensajes o llamadas inesperadas .

Aprender a identificar phising es clave para estar mejor en guardia. Mensajes que presionan a actuar rápido (ej.: «su cuenta será suspendida en 24 horas»). Verifica siempre la dirección de correo del remitente, no solo el nombre. Pasa el cursor sobre los enlaces (sin hacer clic) para ver la URL real. Cuidado con errores sutiles como «micr0soft.com» . Los errores gramaticales y ortográficos aún son un indicador común. Las empresas legítimas nunca te pedirán contraseñas, PINs o datos de tarjetas por correo o mensaje. Si recibes una solicitud sospechosa, especialmente de un compañero, verifica su autenticidad contactando directamente a la persona por teléfono o usando un canal de comunicación distinto. La Autenticación Multifactor (MFA) es una de las capas de seguridad más importantes. Aunque un atacante robe tus credenciales, necesitará ese segundo factor (como una app de autenticación o una llave física) para acceder a tu cuenta. Instala regularmente las actualizaciones de seguridad de tu sistema operativo, navegadores y aplicaciones. Estos parches corrigen vulnerabilidades que los phishers podrían explotar.

En la parte 2 trataremos otros aspectos en el mundo del phising.

Desde ©BSAFE Computer Security Advisors queremos contribuir en la prevención y el enfrentamiento del phising y así fortalecer la cibserseguridad de todos.