El phishing sigue siendo el vector de acceso inicial número uno — y evoluciona rápido
El 91% de todos los ciberataques comienzan con un correo de phishing. El Verizon 2026 Data Breach Investigations Report confirma que el phishing y el pretexting representan la mayoría de los incidentes de ingeniería social. El informe IBM 2026 Cost of a Data Breach sitúa el coste medio de una brecha en 4,88 millones de dólares, con las brechas iniciadas por phishing consistentemente en el tramo superior.
Los correos de spear-phishing generados por IA superan con facilidad la mayoría de los filtros gramaticales y de tono. El vishing deepfake se usa en estafas BEC dirigidas a equipos financieros. Con toolkits de phishing-as-a-service como EvilProxy, incluso actores con poca experiencia pueden lanzar ataques adversary-in-the-middle que derrotan el MFA estándar.
Significado del phishing: qué es exactamente
El phishing es una forma de ingeniería social donde un atacante suplanta a una entidad de confianza para engañar a la víctima y que revele credenciales, haga clic en un enlace malicioso o transfiera dinero. En el framework MITRE ATT&CK, el phishing se encuentra bajo Initial Access (TA0001) — técnicas T1566.001, T1566.002 y T1566.003.
Tipos de ataques de phishing
Phishing por correo electrónico
La variante más común. Correos masivos imitan remitentes legítimos. Incluso una tasa de clics del 0,1% en 100.000 destinatarios supone 100 cuentas comprometidas.
Spear phishing
Dirigido, personalizado y mucho más peligroso. El atacante investiga a la víctima y crea un mensaje contextualmente preciso. Los LLMs han reducido el coste de generar señuelos personalizados y convincentes a casi cero en 2026.
Whaling
Spear phishing dirigido específicamente a ejecutivos o miembros del consejo. Las credenciales ejecutivas desbloquean sistemas sensibles y autorizan transferencias bancarias.
Smishing y Vishing
El smishing usa SMS; el vishing, llamadas de voz. El vishing ha aumentado significativamente con la clonación de voz por IA.
Phishing Adversary-in-the-Middle
Toolkits como EvilProxy actúan como proxies inversos. La víctima se autentica legítimamente incluyendo MFA, y el proxy captura el token de sesión en tiempo real. El MFA basado en TOTP queda completamente anulado.
Anatomía de un correo electrónico de ataque phishing
Suplantación del remitente: Dominios similares o suplantación directa cuando DMARC está mal configurado. Un número sorprendente de dominios corporativos aún publican políticas DMARC con p=none.
Contenido señuelo: La urgencia y la autoridad son los disparadores psicológicos — mensajes como su cuenta se bloqueará en 24 horas activan el pensamiento reactivo.
Carga maliciosa: Un enlace a una página de captura de credenciales, un documento Office con macros o un código QR que evita los filtros de URL de los gateways de correo.
Cómo identificar correos electrónicos de phishing
Para usuarios
Compruebe el dominio real del remitente en los encabezados del correo, no solo el nombre mostrado. Pase el cursor sobre los enlaces antes de hacer clic. Sea escéptico ante correos que generen urgencia sobre credenciales o pagos.
Para equipos de seguridad
Aplique DMARC con p=reject en todos los dominios. Implemente un Secure Email Gateway con sandbox para adjuntos. Construya detecciones en el SIEM para registros de dominios similares. En un programa de vulnerability management, la higiene de identidad y correo electrónico deben ser parte integral.
Prevención del phishing: modelo de defensa por capas
Controles técnicos
La autenticación de correo con SPF, DKIM y DMARC a p=reject es el mínimo indispensable. Las herramientas EDR con análisis de comportamiento detectan la ejecución de malware post-clic. Para organizaciones con cargas de trabajo en la nube, cloud security debe tratar el phishing como vector de acceso inicial principal.
Controles de identidad
El MFA resistente al phishing mediante FIDO2 o WebAuthn tiene el mayor impacto individual. Cloud security posture management debería aplicar estos requisitos como políticas en entornos cloud.
Detección y respuesta
Un playbook de respuesta al phishing es imprescindible. Secret detection puede identificar tokens comprometidos antes de que se usen para exfiltración.
El phishing en el contexto de la arquitectura de seguridad global
El phishing es solo el punto de entrada. Si code security tiene brechas, una sola credencial de desarrollador comprometida puede abrir toda la infraestructura. Desde la perspectiva de compliance — ISO 27001, SOC 2, NIS2 — la seguridad del correo electrónico y los controles antiphishing son requisitos explícitos con consecuencias regulatorias reales en 2026.
Phishing potenciado por IA en 2026
Los LLMs han eliminado en gran medida las señales lingvísticas del phishing. La detección basada en comportamiento y el uso de LLMs en la defensa superan a la detección basada en firmas estáticas. Los equipos que quieran mantenerse al día pueden seguir el blog de SecRails para técnicas de detección y mejores prácticas de ingeniería de seguridad.

