En 2023, Mario recibió un correo que parecía ser de su banco. El mensaje urgía a actualizar sus datos bancarios mediante un enlace. Minutos después, su cuenta había sido vaciada. Este tipo de fraude, conocido como phishing, afecta a millones cada año y representa una de las mayores amenazas en el ciberespacio.
El phishing, que tuvo sus inicios en los años 90 con correos electrónicos masivos, ha evolucionado para convertirse en una de las técnicas de ciberataque más sofisticadas. Según Kaspersky, en 2022 el phishing fue responsable del 58% de los ataques cibernéticos en América Latina. Este artículo busca educar sobre su funcionamiento, impacto y las estrategias para prevenirlo.
El phishing es un tipo de ciberataque en el que los delincuentes engañan a las víctimas para obtener información confidencial, como contraseñas, datos bancarios o números de tarjetas.
Esto se realiza mediante correos electrónicos, mensajes SMS, llamadas o sitios web falsos que imitan organizaciones confiables.

Fuente: El Economista https://imagenes.eleconomista.com.mx/files/image_1000_1000/uploads/2024/02/09/66e972f85b706.png
Conociendo sus variantes
Phishing tradicional: Consiste en enviar correos electrónicos masivos con un mensaje genérico, como «Su cuenta será suspendida». Aunque este método sigue siendo común, su efectividad ha disminuido debido a los filtros de spam.
Spear phishing: Aquí, los atacantes investigan a sus víctimas antes de enviar correos personalizados. Este enfoque es más efectivo, ya que el mensaje parece legítimo.
Whaling: Dirigido a altos ejecutivos o figuras de autoridad en las empresas. Los atacantes utilizan un lenguaje formal y temas relacionados con negocios para ganar credibilidad.
Smishing y Vishing: El smishing utiliza mensajes SMS, mientras que el vishing emplea llamadas telefónicas para engañar a las víctimas. Estos métodos han aumentado con la proliferación de dispositivos móviles.
Pharming: En este método, los atacantes manipulan el sistema de nombres de dominio (DNS) para redirigir a las víctimas a sitios web fraudulentos, incluso si ingresan la URL correcta.
La evolución del phishing también incluye el uso de deepfakes. Los atacantes pueden generar audios o videos falsos para suplantar la identidad de personas conocidas, aumentando la efectividad del fraude.
Muchas naciones han diseñado estrategias para combatir este delito, podemos nombrar algunas, por ejemplo:
Estados Unidos implementó programas educativos como “Stop. Think. Connect.” para sensibilizar a la población sobre las amenazas digitales. Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) trabaja con empresas tecnológicas para desarrollar soluciones antiphishing basadas en IA.
Reino Unido ha integrado sistemas avanzados de análisis de tráfico en internet para identificar campañas de phishing en tiempo real y alertar a las víctimas potenciales mediante notificaciones automatizadas.
La Unión Europeaimplementó la Estrategia de Ciberseguridad 2023, que exige a las empresas integrar sistemas avanzados de detección de phishing y realizar auditorías frecuentes.
Brasil, como uno de los países con más ataques de phishing en América Latina, ha lanzado campañas de concienciación en redes sociales y creado asociaciones público-privadas para mejorar la infraestructura de ciberseguridad.
La India ha comenzado a ofrecer formación básica en ciberseguridad en las escuelas, integrando conceptos como la autenticación multifactor y la verificación de remitentes en los planes de estudios.
Historias Reales: Casos de Impacto Significativo
Ataque a una Universidad en Alemania: En 2021, un correo que simulaba ser de un proveedor de software educativo resultó en la filtración de datos de más de 10,000 estudiantes. Esto no solo afectó económicamente a la institución, sino que también comprometió información confidencial de investigaciones en curso.
Campaña de Smishing en México: Estudiantes universitarios recibieron mensajes de texto sobre becas falsas, lo que derivó en el robo de información bancaria. Este caso subraya la importancia de verificar siempre las fuentes de comunicación.
Whaling en una Empresa Tecnológica en Japón: Un alto ejecutivo transfirió más de un millón de dólares a una cuenta fraudulenta tras recibir un correo de «un socio comercial». Este caso de whaling reveló la necesidad de implementar verificaciones adicionales para transferencias importantes.

¿Cuáles son las vulnerabilidades que aprovechan los hackers?
Los especialistas en ciberseguridad destacan patrones de comportamiento que incrementan el riesgo frente al phishing:
A nivel de sistemas:
Falta de autenticación multifactor (autenticación de dos pasos) Muchas empresas y usuarios individuales aún no implementan esta medida básica, lo que facilita el acceso no autorizado.
Sistemas desactualizados: Software sin actualizaciones recientes contiene vulnerabilidades que los atacantes pueden explotar para implementar malware.
Protocolos de seguridad débiles: Configuraciones incorrectas de servidores de correo o sitios web permiten que los atacantes envíen correos desde dominios aparentemente legítimos.
A nivel de personas:
Falta de conocimiento: Según un estudio de Norton, el 63% de los usuarios no sabe cómo identificar un correo de phishing. La falta de verificación de remitentes, la ausencia de hábitos como revisar dominios de correos y URL´s aumenta la exposición.
Comportamientos impulsivos: Muchas víctimas hacen clic en enlaces o descargan archivos sin verificar su autenticidad. Asimismo, hacer click rápido en enlaces, pues las personas suelen priorizar la rapidez sobre la seguridad al manejar correos electrónicos.
Confianza excesiva: Los atacantes se aprovechan de la tendencia de las personas a confiar en correos con logos oficiales o remitentes conocidos. El uso de contraseñas débiles es también un factor de riesgo, reutilizar contraseñas o elegir combinaciones simples facilita el acceso no autorizado.

¿Qué herramientas utilizan los hackers?
Kits de phishing: Estos kits son paquetes de software disponibles en la web oscura que permiten a los atacantes crear campañas de phishing sin conocimientos técnicos avanzados. Incluyen plantillas de correos y scripts para clonar sitios web.
Servicios de alojamiento anónimo: Los atacantes alojan sus sitios fraudulentos en servidores que no requieren verificación de identidad, dificultando su rastreo.
Redes de bots: Redes de dispositivos infectados (botnets) se utilizan para distribuir ataques de phishing a escala global.
Los bots son programas automatizados que los atacantes utilizan para realizar tareas repetitivas a gran escala. En el contexto del phishing, los bots desempeñan un papel crucial en el envío masivo de correos electrónicos, un solo bot puede enviar miles de correos electrónicos por minuto, dirigiéndose a una lista de contactos recopilada previamente.
Así mismo los bots son utilizados en la gestión de respuestas, algunos bots están programados para interactuar con las víctimas, respondiendo preguntas básicas y guiándolas hacia sitios fraudulentos. Por último, la generación de contenido con IA integrada, los bots pueden crear correos y mensajes personalizados basados en el perfil de cada víctima.
Los bots también se utilizan para realizar ataques de fuerza bruta en cuentas de correo electrónico. Intentan múltiples combinaciones de contraseñas hasta obtener acceso, lo que les permite enviar mensajes fraudulentos desde cuentas legítimas.
La Inteligencia Artificial en el Phishing
La inteligencia artificial (IA) ha transformado la forma en que los atacantes diseñan y ejecutan campañas de phishing. Con algoritmos avanzados, los atacantes pueden analizar grandes volúmenes de datos para personalizar mensajes. Esto se denomina phishing dirigido o spear phishing. Por ejemplo, un atacante puede recopilar información de redes sociales, como intereses o eventos recientes, para crear correos electrónicos que sean altamente convincentes.
La automatización, de la mano de la IA, ha llevado también los ataques de phishing a una escala sin precedentes. Antes, un atacante necesitaba horas para enviar manualmente correos electrónicos. Hoy, un solo programa automatizado puede llegar a millones de víctimas en minutos. Esto ha reducido el costo de los ataques y aumentado su frecuencia.
Además, la IA permite automatizar la generación de sitios web clonados, simulando páginas de bancos, tiendas en línea o redes sociales. Estas páginas suelen ser indistinguibles de las reales, lo que aumenta la probabilidad de que las víctimas ingresen sus datos.
Un aspecto crucial es el uso de sistemas de aprendizaje automático para identificar patrones de comportamiento de las víctimas, como horarios en los que revisan correos electrónicos o dispositivos más utilizados. Esto permite a los atacantes optimizar el momento y la forma de los ataques.
En el futuro, los ataques de phishing podrían ser aún más sofisticados debido al avance de tecnologías como el aprendizaje profundo (deep learning) y la generación de contenido por IA. Algunos escenarios incluyen:
Phishing con Deepfakes: Los atacantes podrían crear audios y videos falsos de personas conocidas para engañar a las víctimas. Por ejemplo, un video del «CEO» de una empresa solicitando una transferencia urgente.
Automatización Total: Bots con capacidades avanzadas podrían realizar ataques masivos, adaptándose en tiempo real según las respuestas de las víctimas. Esto haría que los ataques fueran más efectivos y difíciles de rastrear.
Phishing en el Metaverso: A medida que plataformas inmersivas como el metaverso se vuelvan más populares, los atacantes podrían crear entornos virtuales que simulen bancos, oficinas gubernamentales o tiendas para engañar a los usuarios y obtener información personal.
Ataques a Infraestructuras Críticas: Utilizando phishing dirigido, los atacantes podrían comprometer sistemas esenciales como redes eléctricas, hospitales y servicios públicos, causando interrupciones masivas.
Phishing Basado en IoT: Los dispositivos del Internet de las Cosas (IoT) podrían ser explotados para realizar ataques de phishing. Por ejemplo, un refrigerador inteligente que envíe notificaciones falsas sobre compras pendientes.
Medidas de Prevención para Entidades Educativas y Docentes
Implementar programas de concienciación en ciberseguridad, desde la educación básica, los estudiantes deben aprender a identificar correos sospechosos, reconocer sitios web seguros y entender conceptos como la autenticación multifactor. Así mismo, se debe invertir en programas regulares de capacitación para que sus equipos estén al tanto de las últimas técnicas de phishing, los gobiernos pueden lanzar iniciativas masivas en redes sociales y medios tradicionales para educar a la población sobre los riesgos y las mejores prácticas para protegerse buscando fomentar una cultura de seguridad.
Existen muchas páginas web con recursos para hablar de ciberseguridad con los estudiantes:
Interland: Realizar actividades basadas en el juego «Interland» para aprender a detectar intentos de phishing y otros riesgos digitales.
https://beinternetawesome.withgoogle.com/es_es/interland
OSI – Oficina de Seguridad del Internauta: implementar el «Reto del Phishing» para que los estudiantes experimenten cómo identificar fraudes en correos electrónicos.
https://www.incibe.es/menores/educadores/ciberseguridad
Aprender Ciberseguridad – Fundación Telefónica, realizar talleres educativos utilizando sus recursos didácticos sobre ciberseguridad para estudiantes de secundaria.
https://www.fundaciontelefonica.com/educacion/#docentes
Internet Segura for Kids (IS4K), explorar sus herramientas interactivas y juegos para enseñar ciberseguridad básica y evitar el phishing en niños y adolescentes.
Kaspersky Educación en Ciberseguridad, realizar actividades basadas en sus guías sobre cómo reconocer y evitar correos y sitios web falsos.
https://latam.kaspersky.com/resource-center
Pantallas Amigas, integrar videos y actividades interactivas en sesiones de clase sobre buenas prácticas en ciberseguridad y prevención de phishing.
https://www.pantallasamigas.net
Educalike – Seguridad Digital para Niños, descargar materiales pedagógicos y realizar talleres sobre cómo evitar caer en fraudes digitales como el phishing.
Instalar software adecuado para contrarrestar este tipo de amenazas, en las computadoras mantener el software y el sistema operativo actualizados para cerrar posibles vulnerabilidades. También instalar y mantener actualizado un software confiable (Antivirus y antimalware) para detectar amenazas en tiempo real.
En los servidores locales, implementar políticas de permisos estrictas y autenticación de usuarios, además de, un monitoreo constante para identificar actividades sospechosas en los servidores.
En los servidores de internet, estableces medidas de protección contra ataques DNS y certificados SSL para garantizar que todos los sitios web institucionales protegen los datos y las comunicaciones. Utilizar gestores de contraseñas para generar y almacenar contraseñas fuertes, eliminando la necesidad de reutilizar contraseñas débiles en múltiples plataformas.
Redes de comunicación seguras: Asegurarse de que las conexiones a internet de las instituciones estén protegidas mediante Firewalls para filtrar el tráfico entrante y bloquear accesos no autorizados, así como, encriptación de datos, utilizar conexiones cifradas (HTTPS y VPN) para proteger la transmisión de información.
Establecer políticas estrictas de uso de correos electrónicos: Evitar el uso de correos personales para actividades laborales o educativas. Promover el uso de correos institucionales con medidas de seguridad adicionales.
Autenticación multifactor (MFA): Requerir MFA o autenticación de dos pasos para acceder a sistemas educativos y cuentas de correo. Este método agrega una capa adicional de seguridad al exigir un segundo paso de verificación.
Auditorías regulares de sistemas y redes: Realizar revisiones periódicas de la infraestructura tecnológica para detectar vulnerabilidades que puedan ser explotadas.
Filtros avanzados de correo electrónico: Implementar sistemas que analicen los correos entrantes en busca de patrones sospechosos, bloqueando mensajes que contengan enlaces maliciosos o adjuntos no seguros.
Capacitación continua para el personal docente: Actualizar regularmente a los docentes sobre las nuevas técnicas de phishing y cómo protegerse.
Simulaciones de ataques de phishing: Realizar pruebas periódicas enviando correos falsos controlados para educar a los usuarios y evaluar la efectividad de las políticas de prevención.
Promover la verificación de información: Fomentar la costumbre de confirmar solicitudes sensibles a través de otros canales, como llamadas telefónicas directas, especialmente en casos de solicitudes financieras.
Conclusiones
El phishing es una amenaza persistente y en evolución, el phishing no solo ha sobrevivido a décadas de avances tecnológicos, sino que se ha adaptado para volverse más sofisticado. Desde los correos electrónicos genéricos de los años 90 hasta los ataques dirigidos con inteligencia artificial, este delito continúa evolucionando. Las herramientas modernas permiten personalizar ataques con un nivel de precisión que engaña incluso a usuarios experimentados. Esta evolución constante subraya la necesidad de mantener la vigilancia activa y la actualización constante de medidas de prevención.
La educación es clave para prevenir ataques, la falta de conocimiento sigue siendo una de las mayores vulnerabilidades frente al phishing. Personas de todas las edades y profesiones son susceptibles a estos ataques debido a su desconocimiento de las señales de advertencia. La educación en ciberseguridad debe ser parte integral de los programas académicos y laborales. Al enseñar desde temprana edad cómo identificar correos sospechosos, verificar URLs y comprender la importancia de la autenticación multifactor, se puede reducir drásticamente el impacto de estos ataques.
Las empresas tienen una responsabilidad crucial en la ciberseguridad, las organizaciones, especialmente las educativas y empresariales, deben adoptar políticas estrictas de ciberseguridad. Implementar sistemas de detección avanzada, filtros de correo y realizar simulaciones regulares de ataques son pasos necesarios para proteger a empleados y estudiantes.
La tecnología es una aliada, pero no una solución única, aunque las herramientas tecnológicas como el software antiphishing y la inteligencia artificial son indispensables, no pueden reemplazar el juicio humano. Los sistemas avanzados pueden identificar patrones y bloquear amenazas, pero los usuarios deben estar capacitados para tomar decisiones informadas cuando interactúan con correos y sitios sospechosos.
La colaboración internacional es fundamental para combatir el phishing
El phishing es un delito global que no respeta fronteras. Las soluciones a este problema requieren cooperación entre gobiernos, empresas tecnológicas y organizaciones internacionales. La creación de bases de datos compartidas de sitios fraudulentos y el intercambio de información sobre nuevos métodos de ataque son pasos esenciales para abordar este problema a nivel mundial.
Las consecuencias del phishing van más allá de lo económico
Si bien el impacto financiero es significativo, las consecuencias psicológicas y sociales también son devastadoras. Las víctimas experimentan estrés, pérdida de confianza en las plataformas digitales y, en algunos casos, problemas emocionales duraderos. Reconocer y abordar estos efectos es crucial para proporcionar un apoyo integral a las víctimas y fomentar la confianza en la tecnología.
La inversión en infraestructura cibernética es esencial
Los gobiernos y las empresas deben invertir continuamente en infraestructura tecnológica para mantenerse a la par con los cibercriminales. Esto incluye no solo el desarrollo de herramientas avanzadas de detección y prevención, sino también la implementación de políticas que incentiven a las empresas privadas a adoptar estas tecnologías.
Los avances en IA requieren una regulación responsable
La inteligencia artificial ha transformado tanto la prevención como la perpetración del phishing. Sin una regulación adecuada, estas tecnologías pueden ser explotadas para crear ataques más sofisticados y efectivos. Los marcos legales deben ser lo suficientemente flexibles para fomentar la innovación, pero también lo suficientemente estrictos para prevenir el abuso.
El futuro del phishing exige una respuesta proactiva
A medida que los cibercriminales adoptan tecnologías emergentes como el metaverso y el IoT, las estrategias de prevención también deben evolucionar. Las organizaciones deben anticiparse a los riesgos potenciales y desarrollar soluciones innovadoras antes de que los ataques se materialicen. Esto incluye investigar nuevos métodos de autenticación y desarrollar sistemas que detecten anomalías en tiempo real.
Bibliografía:
El Economista. (2024, 9 de febrero). Países más afectados en América Latina por el phishing 2023. El Economista. Recuperado de https://imagenes.eleconomista.com.mx/files/image_1000_1000/uploads/2024/02/09/66e972f85b706.png
Kaspersky. (2022). Informe sobre ciberseguridad en América Latina: Phishing y ataques cibernéticos. Recuperado de https://www.kaspersky.com/resource-center/threats/phishing
Norton. (2023). Informe global de seguridad digital. Recuperado de https://us.norton.com/blog/online-scams/what-is-phishing
IBM Security. (2023). The Cost of a Data Breach Report. Recuperado de https://www.ibm.com/es-es/reports/data-breach
Common Sense Media. (2023). Toolkit para la educación en seguridad digital. Recuperado de https://www.commonsense.org/education/search?keywords=phishing&sort_by=search_api_relevance
Google. (2023). Sé Genial en Internet: Recursos educativos. Recuperado de https://beinternetawesome.withgoogle.com/es_es/interland/
Pantallas Amigas. (2023). Recursos educativos en ciberseguridad para menores. Recuperado de https://www.pantallasamigas.net/recursos-educativos/
Oficina de Seguridad del Internauta (OSI). (2023). Recuperado de https://www.incibe.es/ciudadania
Contenido para padres. (n.d.). Digipadres. Retrieved January 27, 2025, from https://digipadres.com/padres
Cisco Networking Academy. (2023). Interactive Cybersecurity Tools. Recuperado de https://www.netacad.com/courses/packet-tracer