Qué es phishing y cómo combatirlo
Tiempo de lectura: 8 minutosEl phishing es una técnica de engaño digital que suplanta identidades para robar contraseñas, datos bancarios o información sensible. Conocer cómo funciona y aplicar medidas concretas puede evitar pérdidas económicas y problemas graves de seguridad en cualquier negocio.
Qué es el phishing y por qué sigue siendo tan efectivo
El phishing es una forma de fraude digital en la que un atacante se hace pasar por una persona, empresa o institución de confianza para engañar al destinatario y que este entregue información confidencial: contraseñas, números de tarjeta, datos bancarios o credenciales de acceso a sistemas.
El nombre proviene del inglés fishing (pesca), con la idea de que el atacante lanza un anzuelo y espera que alguien pique.
Lo que lo hace tan persistente es su base: no explota fallas técnicas, sino fallas humanas. No importa qué tan seguro esté el servidor o el sistema operativo si la persona al otro lado del correo hace clic en un enlace malicioso.
Según el Anti-Phishing Working Group (APWG), se registran cientos de miles de ataques de phishing cada mes a nivel global. Las pequeñas y medianas empresas son objetivos frecuentes, precisamente porque suelen tener menos controles de seguridad que las grandes corporaciones.
Tipos de phishing más comunes
Phishing por correo electrónico
Es la variante más extendida. El atacante envía un correo que imita la apariencia de un banco, plataforma de pagos (PayPal, Mercado Pago), servicio de correo (Gmail, Outlook) o proveedor de hosting. El mensaje suele incluir una urgencia: «Tu cuenta será suspendida», «Detectamos un acceso no autorizado» o «Confirma tu información para evitar el bloqueo».
El enlace dentro del correo lleva a una página falsa que replica visualmente la original, pero cuya URL pertenece a un dominio diferente.
Spear phishing
Es una variante dirigida. En lugar de enviar el mismo mensaje a miles de personas, el atacante investiga previamente a su objetivo: nombre, empresa, cargo, proveedor con el que trabaja. El mensaje resultante parece completamente legítimo porque usa datos reales.
Un caso típico: un empleado recibe un correo que aparenta venir del director de su empresa, pidiéndole que transfiera dinero de manera urgente o que comparta sus credenciales de acceso.
Smishing y vishing
El smishing usa mensajes de texto (SMS) con el mismo esquema de engaño. El vishing lo hace por llamada telefónica, donde el atacante se presenta como técnico de soporte, agente bancario o funcionario oficial.
Cada vez más frecuente a través de WhatsApp, Telegram o Instagram. Se reciben mensajes de contactos cuyas cuentas han sido comprometidas, o de perfiles falsos que imitan marcas conocidas.
Cómo identificar un intento de phishing
En la práctica, los intentos de phishing comparten señales reconocibles si se sabe qué buscar:
En el correo electrónico:
- La dirección del remitente no coincide exactamente con el dominio oficial (por ejemplo,
soporte@banco-seguro.neten lugar desoporte@banco.com) - El asunto genera urgencia o miedo: «Acción requerida», «Tu cuenta ha sido bloqueada»
- El enlace en el mensaje apunta a un dominio diferente al que corresponde (al pasar el cursor sobre el enlace, sin hacer clic, se puede ver la URL real)
- El mensaje contiene errores ortográficos o una redacción inusual
- Se pide información confidencial directamente en el cuerpo del mensaje
En el sitio web al que dirige el enlace:
- La URL usa variaciones del dominio real:
paypa1.com,mercado-pago-seguro.com - No tiene certificado SSL activo (la dirección no empieza por
https://) o el certificado pertenece a un dominio distinto - El diseño es una copia del original, pero hay detalles que no cuadran: logos pixelados, fuentes distintas, formularios que piden más datos de lo habitual
Para proteger tu sitio y que tus usuarios no duden de su autenticidad, contar con un certificado SSL válido y activo es un paso básico e imprescindible.
Cómo combatir el phishing paso a paso
Paso 1: Activar la autenticación en dos pasos (2FA)
Es la medida con mayor impacto individual. Aunque un atacante obtenga tu contraseña, sin el segundo factor (código en el móvil, aplicación de autenticación) no puede acceder.
Activar 2FA en el correo corporativo, el panel de hosting, las redes sociales y cualquier plataforma crítica es el primer paso que se puede dar hoy mismo. Puedes ver cómo hacerlo en la guía sobre cómo activar 2FA para tu dominio y hosting.
Paso 2: Verificar siempre el remitente y la URL antes de hacer clic
Antes de hacer clic en cualquier enlace de un correo, es útil:
- Pasar el cursor sobre el enlace y observar la URL completa en la barra inferior del navegador
- Verificar que el dominio del remitente sea exactamente el esperado (sin variaciones)
- Si hay dudas, acceder directamente al sitio escribiendo la URL en el navegador, nunca desde el enlace del correo
Paso 3: Configurar filtros anti-phishing en el correo corporativo
Los servicios de correo profesional, como Google Workspace u Office 365, incluyen filtros avanzados que detectan y bloquean mensajes sospechosos antes de que lleguen a la bandeja de entrada.
También es posible configurar protocolos de autenticación de correo como SPF, DKIM y DMARC, que impiden que atacantes envíen correos suplantando tu dominio. Esto protege tanto a los usuarios de tu empresa como a tus clientes.
Paso 4: Capacitar al equipo
La tecnología ayuda, pero la formación es insustituible. Un equipo que sabe reconocer señales de phishing es una barrera mucho más efectiva que cualquier filtro automatizado.
Algunas acciones concretas:
- Hacer simulacros de phishing internos (existen herramientas gratuitas y de pago para esto)
- Establecer un protocolo claro: si alguien recibe un mensaje sospechoso, ¿a quién lo reporta?
- Publicar internamente casos reales recientes para que el equipo los conozca
Paso 5: Mantener software y sistemas actualizados
Muchos ataques combinan phishing con la explotación de vulnerabilidades en software desactualizado. Mantener el CMS, los plugins, el sistema operativo y las aplicaciones al día reduce la superficie de ataque.
Paso 6: Usar una solución de seguridad activa
Herramientas de seguridad web, antivirus con detección de phishing en tiempo real y servicios de protección anti-malware añaden una capa adicional. Para sitios web, soluciones como Neolo Care+ ofrecen monitoreo activo, detección de malware y protección continua, pensadas para pymes que no tienen un equipo de seguridad dedicado.
Errores comunes que facilitan el phishing
Usar la misma contraseña en múltiples servicios. Si un atacante obtiene una credencial a través de phishing, lo primero que hace es probarla en otros servicios: correo, banca online, redes sociales. Usar contraseñas únicas para cada servicio limita el daño.
Confiar en el nombre visible del remitente. Muchos ataques configuran el nombre visible como «Banco Santander» o «Soporte de Google», pero la dirección real del remitente es completamente diferente. El nombre visible no garantiza nada; la dirección real, sí.
Asumir que el candado de seguridad en el navegador garantiza legitimidad. El candado (HTTPS) indica que la conexión está cifrada, pero no que el sitio sea legítimo. Los atacantes también pueden obtener certificados SSL para sus sitios falsos. El candado no es suficiente para confirmar que el sitio es el que dice ser.
No tener copias de seguridad. Si un ataque de phishing resulta en la instalación de malware o ransomware, contar con copias de seguridad recientes puede ser la diferencia entre recuperarse en horas o perder información crítica de manera permanente.
Ignorar las alertas del navegador. Cuando el navegador advierte que un sitio puede ser peligroso, muchos usuarios continúan de todas formas. Esas advertencias deben tomarse en serio.
Tips poco conocidos para protegerte mejor
Usar un gestor de contraseñas como defensa pasiva contra el phishing. Los gestores de contraseñas como Bitwarden o 1Password solo autocompletan credenciales si el dominio del sitio coincide exactamente con el registrado. Si el atacante usa un dominio falso, el gestor no completará nada, lo que es una señal de alerta inmediata incluso si el usuario no se da cuenta visualmente.
Verificar el dominio del remitente con herramientas como MXToolbox. Permite comprobar si el dominio de un correo tiene configurados correctamente SPF, DKIM y DMARC. Si no los tiene, el correo puede ser sospechoso.
Configurar alertas de inicio de sesión. La mayoría de los servicios críticos (correo, plataformas de pago, paneles de control) permiten activar notificaciones cuando se detecta un acceso desde un dispositivo o ubicación nuevos. Es una forma de detectar rápidamente si alguien accedió a una cuenta.
Registrar variantes de tu propio dominio. Una táctica usada contra empresas es registrar dominios muy similares al original (con errores tipográficos o extensiones distintas) para engañar a sus clientes. Registrar las variantes más obvias de tu dominio evita que otros lo hagan con malas intenciones. También es útil conocer qué son los dominios maliciosos para entender mejor este vector de ataque.
Revisar periódicamente los accesos autorizados en tus cuentas. Muchas plataformas muestran qué aplicaciones o dispositivos tienen acceso a la cuenta. Revocar accesos que ya no se usan reduce el riesgo en caso de que una credencial quede expuesta.
Lo que dicen los clientes de Neolo
★★★★★ Mariana
«Excelente servicio y muy buen soporte. Las veces que he necesitado hacer consultas o pedir algo me han respondido súper rápido.»★★★★★ Aec Cordoba
«La respuesta de soporte técnico fue excelente y nos permitió solucionar el problema de manera rápida.»★★★★★ Bruno Balzani
«Cliente desde 2009. Neolo lo que tiene es la mejor atención, pero por lejos.»
Preguntas frecuentes
¿Qué diferencia hay entre phishing y spam?
El spam es correo no deseado con fines publicitarios o molestos, pero generalmente no busca robar información. El phishing es un ataque deliberado con el objetivo de engañar al destinatario para que entregue datos confidenciales o haga clic en un enlace malicioso. Todo el phishing puede llegar como spam, pero no todo el spam es phishing.
¿El phishing solo ocurre por correo electrónico?
No. El phishing puede llegar por correo, SMS (smishing), llamadas telefónicas (vishing), mensajes de WhatsApp o Telegram, redes sociales e incluso mediante anuncios pagados en buscadores que llevan a sitios falsos. El canal varía, pero la mecánica de engaño es la misma.
¿Cómo sé si mi empresa ya fue víctima de phishing?
Algunas señales: empleados que reportan haber recibido mensajes inusuales que parecían internos, accesos no reconocidos a cuentas, correos enviados desde tu dominio que tú no escribiste, o clientes que te avisan que recibieron comunicaciones extrañas supuestamente tuyas. Si hay sospecha, cambiar todas las contraseñas, revisar los registros de acceso y activar 2FA son los primeros pasos.
¿Un certificado SSL protege contra el phishing?
Parcialmente. Un SSL garantiza que la comunicación entre el usuario y el sitio está cifrada, pero no garantiza que el sitio sea legítimo. Los atacantes también pueden obtener certificados SSL para sus páginas falsas. El SSL es necesario, pero no suficiente.
¿Qué debo hacer si ya hice clic en un enlace de phishing?
Actuar rápido: cambiar inmediatamente las contraseñas de cualquier cuenta a la que hayas accedido desde ese dispositivo, especialmente el correo y la banca online. Activar 2FA en esas cuentas. Ejecutar un análisis de malware en el dispositivo. Si se ingresaron datos bancarios, notificar a la entidad financiera. Si el incidente afecta a la empresa, informar al responsable de seguridad o al proveedor de hosting para revisar el estado del sitio web.
¿Las empresas pequeñas también son objetivo del phishing?
Sí, y con frecuencia creciente. Las pymes y emprendedores suelen tener menos medidas de protección y menos personal capacitado para identificar intentos de engaño, lo que las convierte en objetivos más fáciles. Además, los atacantes pueden usarlas como punto de entrada para llegar a clientes o proveedores más grandes.
¿Qué rol juega el hosting en la seguridad ante el phishing?
Un hosting con seguridad activa puede detectar malware instalado a partir de ataques exitosos, aislar sitios comprometidos y mantener copias de seguridad que permitan la recuperación. También influye en si el dominio de la empresa aparece correctamente autenticado ante los servidores de correo, lo que dificulta que terceros lo suplanten.
Conclusión
El phishing no desaparece porque no depende de vulnerabilidades técnicas: depende de que las personas bajen la guardia. La buena noticia es que la combinación de conocimiento, hábitos sencillos y herramientas adecuadas reduce drásticamente el riesgo.
Para las pymes y emprendedores que gestionan su presencia digital, el punto de partida es tener una infraestructura segura como base: hosting confiable, copias de seguridad automáticas, SSL activo y monitoreo anti-malware.
Si quieres revisar el estado de seguridad de tu sitio o implementar protecciones activas, la guía de ciberseguridad de Neolo es un buen punto de partida. Con más de 20 años en el mercado y más de 10.000 clientes, Neolo es una empresa bootstrapped que responde al 80% de las consultas en menos de una hora — sin inversores de por medio, sus decisiones apuntan a cuidar a quien paga el servicio.
La ciberseguridad no es un lujo ni algo exclusivo de grandes empresas. Es una práctica que cualquier negocio puede adoptar hoy, con herramientas accesibles y criterio suficiente para no caer en el anzuelo.
