Phishing: las técnicas actuales y cómo protegerte de ellas

El Equipo de TheWatcher · 11/09/2025 · 4 min de lectura

Phishing: por qué sigue funcionando y cómo ha evolucionado

Si el phishing lleva décadas siendo el método favorito de los ciberdelincuentes para entrar en una empresa, no es por falta de alternativas técnicas más sofisticadas. Es porque sigue funcionando, y sigue funcionando porque ha evolucionado al mismo ritmo que las defensas. Los correos con faltas de ortografía y remitentes evidentemente falsos son ya la excepción: las campañas actuales están diseñadas para engañar incluso a usuarios que saben, en teoría, lo que tienen que buscar.

Las técnicas que se usan hoy

Deepfakes de voz y vídeo. Los atacantes imitan la voz de un directivo, apoyándose en grabaciones públicas de entrevistas o vídeos corporativos, para pedir por teléfono una transferencia urgente o el acceso a un sistema. Ya no es ciencia ficción: es una técnica real y en aumento, especialmente contra empresas medianas donde el trato directo entre dirección y finanzas facilita el engaño.

Smishing y vishing. La misma lógica del phishing por email, trasladada a SMS, WhatsApp o llamadas automatizadas. Suele generar más confianza que un correo porque el canal se percibe como más personal y menos vigilado por los filtros corporativos.

Correos corporativos casi perfectos. Logos, firmas y dominios que a simple vista son casi indistinguibles del original —una técnica conocida como typosquatting, donde se registra un dominio con una letra cambiada o un carácter añadido—. Sin revisar con atención la dirección exacta del remitente, es fácil pasarlo por alto.

Phishing con códigos QR. Cada vez más habitual en entornos de oficina: un código QR en un cartel o un correo que, al escanearlo, lleva a una web falsa diseñada para robar credenciales. Resulta especialmente efectivo porque muchos filtros de correo no analizan el contenido de una imagen.

Estas técnicas casi nunca son el ataque final en sí mismas: suelen ser la fase inicial de algo más grande, incluido el ransomware. Lo explicamos en la guía de ransomware.

Cómo reducir el riesgo en tu empresa

La formación del personal sigue siendo la medida individual más rentable: un equipo que sabe qué buscar —remitente exacto, urgencia artificial, enlaces que no coinciden con el dominio esperado— detiene buena parte de los intentos antes de que lleguen a ser un problema. Repasamos otros fallos comunes en errores de ciberseguridad en pymes españolas.

Más allá de la formación, unos filtros de correo que analicen patrones sospechosos (no solo remitentes conocidos) ayudan a frenar buena parte del volumen antes de que llegue a la bandeja de entrada. La autenticación multifactor es la red de seguridad si, aun así, alguien introduce sus credenciales en una web falsa: con MFA activo, esa contraseña robada por sí sola no basta para entrar. Lo detallamos en 5 pasos para proteger tu pyme.

Los simulacros de phishing controlado —campañas internas diseñadas para medir cuánta gente cae y reforzar la formación donde haga falta— son otra herramienta útil, sobre todo porque miden algo real en lugar de asumir que la formación ha funcionado.

Por último, conviene tener en cuenta que muchas campañas de phishing dirigido no parten de cero: usan datos de filtraciones previas para personalizar el engaño y hacerlo más creíble. Comprobar si las credenciales de tu empresa ya han sido expuestas es, por tanto, también una forma de anticiparte al phishing dirigido; lo explicamos en cómo saber si tus datos están en la dark web.

Qué implica legalmente un ataque de phishing con éxito

Aunque el phishing sea, en origen, un ataque externo, si compromete datos personales de clientes o empleados puede derivar en obligaciones de notificación y sanciones bajo el RGPD, o bajo la NIS2 si la empresa opera en un sector esencial. Lo resumimos en normativas de ciberseguridad en España.

Compruébalo tú mismo

Si sospechas que credenciales de tu empresa pueden estar circulando —por ejemplo, tras recibir correos de phishing inusualmente convincentes— puedes comprobarlo gratis en la portada de TheWatcher: introduce el dominio o el email afectado y verás en segundos si aparece en filtraciones conocidas. El feed de ciberamenazas en España también recoge campañas de phishing activas contra empresas españolas, filtrable por tipo de incidente.

Preguntas frecuentes

¿Cuál es la técnica más peligrosa hoy? El fraude de pago o Business Email Compromise, donde se suplanta a un directivo para desviar una transferencia, suele ser el que causa mayor pérdida económica directa.

¿Cómo distingo un correo falso de uno real? Revisa con atención el dominio exacto del remitente, adónde apuntan realmente los enlaces (sin hacer clic, pasando el cursor por encima), la ortografía, la sensación de urgencia artificial y cualquier archivo adjunto inesperado.

¿El phishing solo llega por email? No. También se usa por SMS, llamadas telefónicas, WhatsApp y, cada vez más, códigos QR.

¿Qué hago si un empleado ha caído en un intento de phishing? Cambia de inmediato las credenciales comprometidas, activa MFA si no estaba activo, y revisa los accesos recientes a los sistemas afectados por si ha habido actividad anómala.

TheWatcher monitoriza campañas de phishing activas contra empresas españolas y envía alertas en tiempo real. Puedes contactar con nuestro equipo si quieres activarlo para tu empresa.