Ir al contenido principal

Cómo Protegerse de los Ataques de Phishing

El phishing sigue siendo la forma #1 en que se roban las cuentas. Aprenda cómo funciona el phishing moderno, las señales de alerta que debe vigilar y las defensas prácticas que realmente detienen los ataques.

2026-04-14

TL;DR

  • El phishing es la causa #1 de la toma de cuentas: los atacantes lo engañan para que proporcione credenciales en un sitio falso.
  • Los kits modernos de phishing clonan páginas de inicio de sesión pixel por pixel y transmiten sus códigos 2FA en tiempo real.
  • Las llaves de seguridad de hardware (YubiKey, FIDO2) son la única defensa que es a prueba de phishing por diseño.
  • Los gestores de contraseñas lo protegen al negarse a autocompletar en el dominio incorrecto.
  • Verifique el dominio exacto antes de escribir credenciales y nunca inicie sesión desde un enlace en un correo electrónico.

¿Qué es el phishing?

El phishing es un ataque de ingeniería social donde un atacante crea una copia convincente de un sitio web legítimo —a menudo pixel por pixel— y engaña a una víctima para que ingrese credenciales allí. En el momento en que la víctima envía el formulario, el atacante captura el nombre de usuario, contraseña y cualquier segundo factor, luego los usa para tomar control de la cuenta real en segundos.

La palabra proviene de la metáfora de "pescar" víctimas con carnada (generalmente un correo electrónico). La ortografía cambió para enfatizar que los atacantes a menudo usan números de teléfono (phishing por SMS, o "smishing") e infraestructura de aspecto profesional.

Por qué el phishing sigue siendo la amenaza #1

La mayoría de las violaciones de cuentas a gran escala hoy en día no involucran hackeo, descifrado de contraseñas o evasión de cifrado. Involucran a un humano escribiendo una contraseña en un sitio falso. El phishing es:

  • Barato — un atacante puede enviar millones de correos electrónicos por el costo de un VPS y un dominio falsificado
  • Difícil de filtrar — los kits modernos rotan dominios, usan hosting legítimo y se adaptan a los filtros en tiempo real
  • Efectivo — incluso usuarios conscientes de la seguridad caen en intentos dirigidos bien elaborados (spear phishing)
  • Escalable — un solo phishing exitoso a menudo proporciona acceso a docenas de servicios conectados a través de la reutilización de contraseñas

El Informe de Investigaciones de Violación de Datos de Verizon 2024 encontró que el phishing fue el vector de acceso inicial en más del 36% de todas las violaciones — más que cualquier otra causa individual.

Cómo funciona el phishing moderno

El phishing ha evolucionado mucho más allá de los correos electrónicos del "príncipe nigeriano" de los 2000s. Un ataque de phishing moderno típicamente incluye:

1. Una carnada convincente

Generalmente un correo electrónico, texto o mensaje de chat creando urgencia ("Su cuenta será suspendida"), autoridad ("equipo de seguridad de Microsoft") o curiosidad ("Alguien lo etiquetó en una foto"). El spear-phishing lleva esto más lejos con detalles personales extraídos de LinkedIn, dumps de violaciones o correspondencia previa.

2. Un sitio falso pixel por pixel

Los atacantes usan kits de phishing listos para usar que clonan el HTML, CSS y JavaScript del sitio objetivo. Muchos kits se venden como servicio (phishing-as-a-service), con paneles de control funcionales y soporte al cliente.

3. Un proxy en tiempo real para 2FA

La parte peligrosa: los kits modernos no solo capturan su contraseña. Actúan como un proxy man-in-the-middle que reenvía todo lo que escribe —incluyendo su código TOTP— al sitio real en segundos, eludiendo la mayoría del 2FA. Esta técnica se llama adversary-in-the-middle (AiTM) y se usa en herramientas como Evilginx2 y Modlishka.

4. Robo de tokens de sesión

Una vez que se autentica a través del proxy, el atacante captura su cookie de sesión y puede usarla para permanecer conectado incluso después de que cambie su contraseña. Por esto la respuesta al phishing siempre incluye revocar sesiones activas, no solo rotación de contraseña.

Qué realmente detiene el phishing

Llaves de seguridad de hardware (FIDO2 / WebAuthn)

Esta es la única categoría de defensa que es a prueba de phishing por diseño. Cuando inicia sesión con una llave FIDO2, su llave verifica criptográficamente el dominio exacto del sitio que solicita autenticación. Un sitio falso —sin importar cuán visualmente perfecto— tiene un dominio diferente, por lo que la llave se niega a responder. El handshake criptográfico simplemente no se completa.

Google famosamente mandató YubiKeys para todos sus más de 85,000 empleados en 2017 y reportó cero ataques de phishing exitosos en cuentas de la empresa en los años siguientes.

Passkeys

Las passkeys son la evolución amigable al consumidor del FIDO2. Usan la misma criptografía vinculada al dominio y están integradas en iOS, Android, macOS y Windows. Si un sitio que usa soporta passkeys, habilitar una hace que esa cuenta sea a prueba de phishing.

Gestores de contraseñas

Un gestor de contraseñas es su segunda línea de defensa porque solo autocompleta credenciales en el dominio exacto donde fueron guardadas. Si llega a paypaI.com (I mayúscula) en lugar de paypal.com, su gestor silenciosamente se niega a llenar el formulario. Esa negativa es una advertencia fuerte de que algo está mal.

Filtrado de correo electrónico y DNS

Los proveedores de correo electrónico usan DMARC, SPF y DKIM para detectar direcciones de remitente falsificadas. La mayoría de los proveedores modernos capturan los intentos obvios, pero los ataques dirigidos aún se escapan. Habilite los botones "reportar phishing" en su cliente de correo para ayudar a que los filtros mejoren.

Señales de alerta que debe vigilar

Cuando reciba un mensaje pidiéndole iniciar sesión, verificar o actuar urgentemente:

  • Urgencia y amenazas — "Su cuenta se cerrará en 24 horas"
  • Saludos genéricos — "Estimado cliente" en lugar de su nombre
  • Dominios similarespaypaI.com, app1e.com, secure-microsoft-login.net
  • Archivos adjuntos inesperados — especialmente archivos .zip, .html o .pdf pidiéndole iniciar sesión para verlos
  • Errores de gramática o formato — las grandes empresas revisan sus correos electrónicos
  • Desajuste de enlaces — pase el cursor sobre el enlace y verifique si el destino coincide con el texto

Si algo se siente extraño, cierre el correo electrónico. Navegue al sitio manualmente. Si hay un problema real, lo verá cuando inicie sesión a través de su flujo de trabajo normal.

Qué hacer si cayó en uno

Actúe rápidamente — la velocidad importa porque los atacantes comienzan a usar credenciales en minutos.

  1. Cambie la contraseña inmediatamente en un dispositivo diferente (su teléfono, por ejemplo, si cayó en su laptop)
  2. Revoque todas las sesiones activas en la configuración de la cuenta — esto expulsa a cualquiera que esté usando tokens de sesión robados
  3. Habilite 2FA si no estaba ya activado, y use una llave de hardware o passkey si es posible
  4. Verifique actividad no autorizada — correos enviados, inicios de sesión recientes, cambios de facturación, nuevas reglas de reenvío
  5. Notifique a la institución afectada si es una cuenta financiera o de trabajo
  6. Verifique otras cuentas que usaron la misma contraseña — incluso si está seguro de no reutilizar contraseñas, verifique

La conclusión

El phishing prospera porque elude la tecnología y se enfoca en los humanos. Las mejores defensas mezclan tres capas: gestores de contraseñas (se niegan a autocompletar en dominios incorrectos), 2FA resistente al phishing (llaves de hardware o passkeys que se vinculan al dominio real) y escepticismo saludable (nunca iniciar sesión desde un enlace de correo electrónico).

Habilite las tres en su cuenta más importante — su correo electrónico — primero. Desde ahí, el resto de su vida digital se vuelve significativamente más segura.

Cómo Protegerse del Phishing

Una lista de verificación práctica y ordenada para fortalecer sus cuentas contra ataques de phishing.

  1. Use un gestor de contraseñas:Instale un gestor de contraseñas de buena reputación (1Password, Bitwarden, Proton Pass) y permita que autocomplete las credenciales. Se negará a autocompletar en dominios similares, proporcionándole un detector de phishing integrado.
  2. Habilite 2FA resistente al phishing:Agregue una llave de hardware FIDO2 (YubiKey, Google Titan) o passkey a sus cuentas más importantes: primero el correo electrónico, luego banca, almacenamiento en la nube y gestor de contraseñas. Estos son los únicos métodos 2FA que realmente detienen el phishing moderno.
  3. Nunca inicie sesión desde enlaces de correo electrónico:Cuando reciba un correo electrónico pidiéndole que inicie sesión, cierre el correo y navegue al sitio manualmente a través de un marcador o escribiendo la URL. El enlace en el correo electrónico podría ser un clon perfecto; el marcador en su navegador no lo es.
  4. Verifique el dominio exacto antes de escribir:Antes de ingresar cualquier contraseña, mire la URL completa en la barra de direcciones. Busque https, la ortografía correcta y ningún subdominio adicional como paypal.com.secure-login.net.
  5. Reporte y continúe:Reporte el intento de phishing a su proveedor de correo electrónico (la mayoría tienen un botón "Reportar phishing"). Luego continúe con su día: el phishing solo es peligroso si cae en él, y la conciencia es la mayor parte de la batalla.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email