Phishing e ingeniería social

Glosario empresarial

El phishing es una técnica de ciberataque que utiliza comunicaciones fraudulentas —habitualmente correos electrónicos— para engañar a las víctimas y conseguir que revelen credenciales, datos personales o financieros, o que instalen malware. La ingeniería social es el concepto más amplio que engloba todas las técnicas de manipulación psicológica utilizadas para explotar el factor humano en la cadena de seguridad.

Digital

Qué es el phishing

El phishing es una técnica de ataque de ingeniería social en la que los ciberdelincuentes se hacen pasar por entidades de confianza —bancos, servicios de correo, proveedores conocidos, administraciones públicas— para engañar a las víctimas y conseguir que entreguen información sensible, credenciales de acceso o dinero, o que instalen software malicioso en sus dispositivos.

El término proviene del inglés fishing (pesca), con la metáfora de lanzar un anzuelo masivo esperando que alguien pique. A diferencia de los ataques técnicos que explotan vulnerabilidades de software, el phishing explota las vulnerabilidades humanas: la urgencia, el miedo, la confianza y la autoridad.

Tipos de phishing y sus variantes

Phishing masivo

El método más antiguo y más extendido. Se envían millones de correos electrónicos genéricos que simulan proceder de bancos, Correos, la Agencia Tributaria, Amazon, Netflix u otras entidades reconocidas. Aunque la mayoría de los destinatarios los ignora o los detecta, el volumen masivo hace que un pequeño porcentaje siempre caiga.

Spear phishing

Ataque personalizado dirigido a una persona o empresa concreta. Los atacantes investigan previamente a la víctima utilizando fuentes abiertas (LinkedIn, web corporativa, redes sociales) para crear mensajes convincentes que incluyen detalles específicos: nombre del destinatario, cargo, proyectos recientes, nombres de compañeros.

La tasa de éxito del spear phishing es significativamente mayor que la del phishing masivo.

Whaling

Variante del spear phishing dirigida a directivos de alto nivel (CEO, CFO, directores generales, miembros del consejo de administración). El objetivo habitual es comprometer sus cuentas corporativas para acceder a información confidencial o para que autoricen transacciones fraudulentas.

Vishing (voice phishing)

Phishing por llamada telefónica. Los atacantes llaman haciéndose pasar por el banco, la Seguridad Social, la Agencia Tributaria o servicios técnicos de Microsoft o Apple. A menudo se apoyan en datos previos obtenidos en ataques de phishing para generar confianza.

Smishing (SMS phishing)

Phishing por mensaje de texto (SMS). Muy utilizado para simular notificaciones de Correos, bancos o servicios de entrega. El enlace del SMS lleva a una web falsa que roba credenciales o descarga malware.

QR phishing (Quishing)

Uso de códigos QR en correos, carteles físicos o documentos para redirigir a webs fraudulentas, eludiendo los filtros de seguridad que analizan URLs en texto plano.

El fraude del CEO (Business Email Compromise)

El Business Email Compromise (BEC), popularmente conocido como “fraude del CEO”, merece mención especial por el impacto económico que genera en las empresas. El atacante suplanta la identidad de un directivo senior —por compromiso real de su cuenta de correo o por spoofing de dominio— y envía instrucciones urgentes a un empleado de finanzas o administración:

Orden de transferencia urgente a una nueva cuenta bancaria (“no puedo hablar ahora, hazlo discretamente”)
Cambio de los datos bancarios de un proveedor para el próximo pago
Solicitud de compra urgente de tarjetas regalo o criptomonedas

En España, el BEC genera pérdidas de decenas de millones de euros anuales. La urgencia y la autoridad percibida son las principales palancas de manipulación.

La ingeniería social abarca todas las técnicas de manipulación psicológica que buscan explotar los comportamientos humanos para obtener acceso no autorizado a información o sistemas. El phishing es la forma más frecuente, pero no la única:

Pretexting: crear una historia elaborada para justificar la solicitud de información (“soy del departamento de TI central, necesito verificar tu contraseña para una actualización urgente”)
Baiting: dejar dispositivos USB infectados en lugares donde alguien los encuentre y conecte a su ordenador
Tailgating: acceso físico no autorizado a instalaciones aprovechando la cortesía de empleados que abren puertas
Quid pro quo: ofrecer algo a cambio de información (soporte técnico falso a cambio de credenciales)

Señales de alerta de un phishing

Los indicadores más comunes de un correo de phishing:

Señal	Descripción
Dirección de remitente sospechosa	El dominio no coincide exactamente con la entidad que dice ser (ej. @seguridad-bancobcn.com)
Urgencia o amenaza	”Su cuenta será bloqueada en 24 horas si no actúa ahora”
Solicitud de credenciales o datos	Ninguna entidad legítima pide contraseñas por correo
Errores ortográficos o de diseño	Aunque cada vez son menos frecuentes por el uso de IA
Enlace sospechoso	Al pasar el cursor sobre el enlace, la URL no corresponde a la entidad
Adjuntos inesperados	Especialmente .exe, .zip, .iso, o macros de Office

Medidas de protección para empresas

Técnicas

Filtros antiphishing en el servidor de correo corporativo (Microsoft Defender, Google Workspace)
Autenticación de correo saliente: SPF, DKIM y DMARC para evitar spoofing del propio dominio
MFA en todas las cuentas corporativas
Navegación segura con filtrado de URLs

Organizativas

Protocolo de verificación para transferencias y cambios de datos bancarios (siempre verificar por un canal distinto, nunca solo por correo)
Programa de formación y concienciación periódico
Simulacros de phishing con retroalimentación constructiva
Canal claro de reporte de incidentes sospechosos

Normativas

Las empresas sujetas al RGPD tienen la obligación de implementar medidas técnicas y organizativas adecuadas para prevenir accesos no autorizados, lo que incluye la protección frente al phishing. Una brecha derivada de phishing puede dar lugar a sanciones de la AEPD si la empresa no puede demostrar que había adoptado medidas proporcionales al riesgo.

Preguntas frecuentes

¿Cuál es la diferencia entre phishing, spear phishing y whaling?

El phishing genérico envía mensajes masivos sin personalizar. El spear phishing está dirigido a una persona o empresa concreta: los atacantes investigan a la víctima (LinkedIn, redes sociales, web corporativa) para personalizar el engaño. El whaling es spear phishing dirigido específicamente a directivos de alto nivel (CEO, CFO, consejeros delegados) con el objetivo de comprometer cuentas de alto privilegio o autorizar transferencias fraudulentas.

¿Qué es el fraude del CEO o BEC y cómo prevenirlo?

El Business Email Compromise (BEC) o fraude del CEO consiste en suplantar la identidad de un directivo senior por correo electrónico para instruir a empleados de administración o finanzas a realizar transferencias urgentes o cambiar datos bancarios de proveedores. La prevención requiere un protocolo de verificación doble para cualquier transferencia o cambio de cuenta bancaria, independientemente de quién la solicite y con qué urgencia.

¿Qué debo hacer si recibo un correo sospechoso en el trabajo?

No hacer clic en ningún enlace ni abrir adjuntos. No responder al correo. Notificarlo inmediatamente al departamento de TI o al responsable de seguridad. Si ya se hicieron clic o se proporcionaron credenciales, cambiar la contraseña de inmediato y notificar el incidente. Si hay sospecha de transferencias fraudulentas, contactar con urgencia al banco para intentar bloquear la operación.

¿Están obligadas las empresas a notificar ataques de phishing?

Si el ataque ha resultado en una brecha de datos personales (acceso no autorizado a datos de empleados, clientes u otras personas), el RGPD obliga a notificar a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas. Si la empresa está sujeta a NIS2, también debe notificar al INCIBE-CERT. Las empresas del sector financiero deben notificar también al Banco de España o a la CNMV según corresponda.

¿Son los simulacros de phishing efectivos para reducir el riesgo?

Sí, los programas de concienciación que incluyen simulacros periódicos de phishing demuestran una reducción significativa de la tasa de clics en correos fraudulentos. Los estudios muestran que con formación y simulacros recurrentes, la tasa de empleados que caen en un phishing simulado puede reducirse del 30-40% inicial hasta el 5% o menos. La clave es que los simulacros sean seguidos de formación específica y no de reprimendas punitivas.

Servicio relacionado

Servicios Empresariales

Descubra nuestros servicios en esta área

Sectores relacionados

Tecnología y Startups Investigación y Desarrollo

Términos relacionados

Ciberseguridad empresarial Ransomware y ciberamenazas empresariales LOPD / RGPD (protección de datos) Directiva NIS2 (Ciberseguridad)

Volver al glosario

Solicite una consulta personalizada

Nuestros expertos están listos para analizar su situación y ofrecerle soluciones a medida.

Consulta gratuita

Advisory

Análisis y Valoración

Transformación

Gobierno y transición

Estrategia Fiscal

Cumplimiento

Regímenes Especiales

Patrimonio y Litigios

Derecho Mercantil y Societario

Insolvencia y Reestructuración

Personas y Compliance

Litigios y Resoluciones

Ciberseguridad

Privacidad e IA

Finanzas y Reporting

Servicios Corporativos

Crecimiento

Riesgos y Resiliencia

Artículos y Análisis

Informes y Whitepapers

Herramientas

Industrias