10 tipos de ataques y estafas de phishing

Los ataques de phishing provocan pérdidas y daños significativos a las empresas cada año. Para Google y Facebook, las pérdidas totalizaron más de $100 millones. El banco Creland de Bélgica entregó más de $75 millones a ciberdelincuentes. Y el fabricante austriaco de piezas aeroespaciales FACC perdió $61 millones. ¿Qué está causando este tipo de pérdidas masivas? Cada una de estas organizaciones fue víctima de diferentes (y costosos) tipos de ataques de phishing.

¿Qué es un ataque de phishing?

En general, una estafa de suplantación de identidad (phishing) es un tipo de ataque cibernético que los delincuentes utilizan para que los usuarios realicen algún tipo de acción. Estos correos electrónicos a menudo se envían en masa con el objetivo de engañar a personas confiadas. Piensa en el intento de phishing más popular: el “príncipe nigeriano” que intenta que tomes su dinero para “mantenerlo a salvo”.

Sin embargo, el phishing ha evolucionado significativamente desde entonces. Ahora existen múltiples variantes dirigidas específicamente a empresas. Algunas usan correos electrónicos o sitios web falsos; otras utilizan mensajes de texto o incluso llamadas telefónicas.

El objetivo del atacante suele ser obtener información personal o corporativa, o lograr que la víctima transfiera fondos a cuentas fraudulentas. La industria del ciberdelito ha alcanzado niveles sin precedentes. Cybersecurity Ventures estima que los daños por delitos cibernéticos costarán al mundo 6 billones de dólares al año, con el phishing desempeñando un papel central.

Pero cuando hablamos de phishing, ¿a qué nos referimos exactamente? Existen varios tipos de estafas que afectan a las empresas todos los días.

10 tipos de ataques de phishing que amenazan a tu empresa

A continuación presentamos una lista de los tipos de ataques de phishing más frecuentes. El objetivo es que te familiarices con ellos y entiendas cómo funcionan.

1. Fraude del CEO / Business Email Compromise (BEC)

Este ataque ocurre cuando un ciberdelincuente envía un correo a un empleado —generalmente del área financiera— haciéndose pasar por el CEO, un gerente o un ejecutivo. El objetivo suele ser lograr que la víctima transfiera fondos a una cuenta falsa. En EE. UU., este tipo de ataque es conocido como “Business Email Compromise” y, según el FBI, genera miles de millones de dólares en pérdidas cada año.

2. Clone Phishing

En un ataque de Clone Phishing, el delincuente toma un correo legítimo que la víctima ya ha recibido y crea una versión idéntica pero maliciosa. En el mensaje falso, los enlaces y archivos adjuntos son sustituidos por versiones peligrosas.

El atacante suele justificar el reenvío diciendo que “hubo un problema con el archivo anterior”, logrando que el usuario haga clic sin sospechar. Lamentablemente, este método es extremadamente efectivo.

3. Suplantación de dominio (Domain Spoofing)

La suplantación de dominio ocurre cuando un atacante falsifica el dominio de una empresa para:

• Hacer que sus correos parezcan enviados desde el dominio legítimo.
• Crear un sitio web falso que imite al real, utilizando una URL similar o caracteres Unicode engañosos.

En el caso del correo electrónico, el atacante falsifica los encabezados para que parezca que el mensaje proviene de una dirección oficial. En el caso del sitio web, replica el diseño e interfaz, y utiliza dominios muy parecidos (por ejemplo, apple[.]com vs apple[.]co).

4. Gemelo malvado (Evil Twin)

Aunque su nombre sugiere algo similar a Clone Phishing, este ataque es totalmente distinto: el “gemelo malvado” se basa en puntos de acceso Wi-Fi falsos.

Un atacante crea un punto Wi-Fi que imita a la red real, usando incluso el mismo nombre (SSID). Cuando los usuarios se conectan, el delincuente puede interceptar el tráfico, robar credenciales, contraseñas y archivos adjuntos.

Este ataque es tan común en cafeterías que a menudo se lo llama “la estafa de Starbucks”. (Consejo: usar una VPN protege tus datos incluso en redes Wi-Fi comprometidas).

5. Phishing HTTPS

El 58% de todos los sitios web de phishing ahora se efectúan a través del protocolo HTTPS. El enfoque que utilizan los ciberdelincuentes en estos ataques es enviar un correo con un único enlace que aparenta ser legítimo. A menudo no hay otro contenido, excepto el enlace en sí (clicable o como texto que el destinatario debe copiar y pegar en la barra de direcciones).

¿Por qué alguien haría clic intencionalmente en el enlace? Porque el atacante usa tácticas de ingeniería social para engañar al destinatario: envía el mensaje desde una dirección que parece legítima (por ejemplo, la de su jefe o un compañero de trabajo), creando urgencia o curiosidad para inducir el clic.

6. Smishing (SMS phishing)

El phishing por SMS, o “smishing”, es una forma de phishing que aprovecha nuestra dependencia de los mensajes de texto y la mensajería instantánea. ¿Alguna vez has recibido un mensaje de “Netflix” pidiéndote actualizar tu forma de pago?

El smishing busca atraer a los usuarios a descargar software malicioso o entregar datos sensibles mediante mensajes que parecen provenir de fuentes legítimas y que incluyen URLs maliciosas.

Una forma de evitar ser víctima es ignorar por completo los mensajes de texto no solicitados. Si no te registraste para recibir notificaciones por SMS, no hagas clic en los enlaces. Cuando tengas dudas sobre la autenticidad de un mensaje, recuerda la lección de la infancia: no hables con extraños.

7. Spear phishing

El Spear Phishing es una forma específica y muy dirigida de phishing. A diferencia de las campañas masivas que se envían a miles de personas, estos ataques se dirigen a personas concretas dentro de una organización.

El atacante investiga a su víctima y adapta el correo usando tácticas de ingeniería social: temas de interés, referencias internas, firmas creíbles, etc., para convencerla de abrir el mensaje y hacer clic en enlaces o archivos adjuntos.

Es relevante porque el 91% de los ciberataques comienzan con un correo de phishing. El objetivo suele ser robar datos o instalar malware para obtener acceso a la red y a las cuentas internas. Estos mensajes, al estar tan personalizados, pueden evadir muchos filtros de spam tradicionales.

8. Vishing

Ya conoces el smishing (phishing vía SMS). El “vishing” es su versión por voz: phishing a través de llamadas telefónicas.

Un ataque de vishing ocurre cuando un delincuente llama para intentar que reveles información personal o financiera. Suelen utilizar llamadas automáticas que redirigen a quienes responden hacia un operador malicioso. También usan apps y otras técnicas para falsificar o esconder su número.

Con frecuencia se hacen pasar por tu banco, una entidad de gobierno o un supuesto ejecutivo de tu empresa. Alegan que debes impuestos o que tu tarjeta tiene actividades sospechosas y debe cerrarse de inmediato, pero “primero necesitan verificar tus datos”.

No caigas en la trampa: cuelga la llamada y contacta tú mismo a la entidad por canales oficiales.

9. Watering hole phishing

Este tipo de ataque recuerda a una escena del reino animal. Imagina un grupo de cebras en un abrevadero: una se aleja demasiado, y un depredador la ataca desde el agua.

En este escenario, tú eres la cebra.

Los ataques de watering hole funcionan así:

• Identifican sitios web que tu empresa o tus empleados visitan con frecuencia, y
• Infectan uno de esos sitios con malware.

Muchas veces se trata de webs de proveedores o servicios que utilizas a diario. El objetivo es infectarlas para que, cuando tú o tu equipo las visiten, las computadoras se carguen automáticamente con malware.

Esto da a los atacantes acceso a tu red, servidores e información confidencial (datos personales, financieros, etc.). Otras personas que visiten el sitio también pueden resultar infectadas: son daños colaterales.

10. Whaling

El whaling es una forma de phishing muy similar al fraude del CEO, pero invertida: en lugar de dirigirse a personal de niveles inferiores, los ciberdelincuentes apuntan a ejecutivos de alto nivel (CEO, directores, gerentes, etc.).

El objetivo es engañar al ejecutivo para que revele información confidencial o datos corporativos críticos. Estos blancos se eligen precisamente por su nivel de acceso y autoridad dentro de la organización, y los ataques suelen apoyarse en spoofing de dominio y correos extremadamente bien elaborados.

A diferencia del phishing genérico, estos mensajes se basan en una profunda investigación previa:

• Nombre completo de la víctima,
• Cargo o título, y
• Detalles específicos de la empresa y del entorno del ejecutivo.

Todo esto hace que las comunicaciones parezcan legítimas y aumenten la probabilidad de éxito.

Cómo puedes evitar caer en muchos tipos de ataques de phishing

La ciberseguridad verdaderamente efectiva requiere un enfoque de múltiples capas. Estas son algunas acciones clave para reducir la probabilidad de ser la próxima víctima:

Entrena a tus empleados para adoptar buenas prácticas de correo electrónico

Puede parecer obvio, pero sigue siendo el gran pendiente de muchas empresas: capacitar a todos los colaboradores.

Todos significa todos: desde el personal de limpieza hasta el CEO.

Hemos preparado un checklist que puedes compartir con tu equipo para ayudarles a identificar la diferencia entre un correo legítimo y uno fraudulento. Descárgalo gratis aquí .