08 de mayo de 2025 - Tiempo de lectura 6 min

Por Borja Serrano Urquidi

¿Qué son los ataques de phishing?

El phishing es un tipo de ciberataque que se basa en técnicas de ingeniería social. Los atacantes envían correos electrónicos que simulan provenir de entidades legítimas (como bancos o proveedores de servicios) con el objetivo de engañar al destinatario para que revele información sensible o acceda a enlaces maliciosos. Estos correos suelen incluir adjuntos infectados o enlaces que redirigen a sitios web falsos diseñados para robar datos personales o instalar malware en los dispositivos.

En el entorno corporativo, el phishing no solo representa una amenaza para los empleados a nivel individual, sino que también puede comprometer toda la red corporativa. Una variante particularmente peligrosa es el phishing lateral, en el que los atacantes utilizan cuentas internas ya comprometidas para enviar mensajes fraudulentos dentro de la organización. Este enfoque resulta altamente efectivo ya que los mensajes provienen de fuentes aparentemente confiables, lo que reduce las sospechas y aumenta las probabilidades de éxito del ataque.

Anti-phishing: herramientas clave para proteger tu negocio

La prevención contra los ataques de phishing requiere un enfoque integral que combine tecnología avanzada y formación continua.

Vodafone Business ofrece una solución anti phishing específica diseñada para grandes empresas que incluye campañas simuladas de phishing dirigidas a empleados. Estas pruebas permiten medir el nivel de concienciación y ciberresiliencia de la plantilla, identificar puntos débiles y proporcionar recomendaciones personalizadas para mejorar la seguridad.

Además, herramientas avanzadas como filtros de correo electrónico basados en inteligencia artificial pueden detectar y bloquear mensajes sospechosos antes de que lleguen a las bandejas de entrada.

Sin embargo, la tecnología por sí sola no es suficiente. La formación constante es esencial, ya que el factor humano sigue siendo el eslabón más débil en la cadena de ciberseguridad. De hecho, cuando un ataque de este tipo tiene éxito sucede porque, en primer lugar, la tecnología no ha sido capaz de identificar y bloquear este mensaje fraudulento y, en segundo lugar, porque el usuario ha sido demasiado confiado o no se ha dado cuenta de que el remitente no era real y ha accedido al enlace proporcionado o se ha descargado un archivo malicioso.

Por este motivo, es cada vez más frecuente que las empresas simulen el envío de estos mensajes para ver hasta qué punto están concienciados sus empleados y reforzar aquellos puntos que muestren más debilidad.

Ejemplos de phishing más comunes en empresas

Uno de los métodos más comunes que utilizan los ciberdelincuentes es el envío de correos electrónicos falsos que simulan ser notificaciones urgentes. Estos mensajes suelen pedir que se verifique una cuenta bloqueada o se confirme una transacción sospechosa. A menudo incluyen archivos adjuntos maliciosos o enlaces a páginas fraudulentas diseñadas para robar credenciales.

También son frecuentes los ataques dirigidos, conocidos como spear phishing. En estos casos los mensajes están personalizados con información real del destinatario, lo que los hace más creíbles y eficaces. Este tipo de ataque es especialmente peligroso en grandes empresas, ya que el acceso indebido a una sola cuenta puede poner en riesgo toda la organización.

Por otro lado, el smishing, una variante del phishing que utiliza mensajes SMS como medio de ataque, también está ganando terreno. Los atacantes envían mensajes que aparentan ser alertas bancarias o notificaciones de entrega de paquetes (y, más recientemente, multas de la DGT), acompañados de enlaces maliciosos. Aunque es menos común en entornos corporativos que el phishing por correo electrónico (dado que el destinatario recibe el engaño por un SMS a su número de móvil y no alcorreo electrónico), su efectividad radica en la confianza que muchos usuarios depositan en este tipo de mensajes SMS.

Entre las formas más recientes de phishing encontramos también el vishing, que se basa en llamadas telefónicas fraudulentas. En estas, el atacante se hace pasar por un técnico de soporte, un agente del banco o de la compañía de seguros o luz, para obtener información sensible. Otra técnica emergente es el QRishing donde se utilizan códigos QR falsos que, al ser escaneados, redirigen a páginas maliciosas o instalan malware en el dispositivo. Por último, ha ganado notoriedad un tipo de fraude conocido como "la estafa del hijo" en la que el atacante contacta a la víctima por WhatsApp, haciéndose pasar por su hijo y solicitando dinero con urgencia a través de Bizum u otro método de pago inmediato.

Diferencias entre ataques phishing y otras variantes de fraude digital

Aunque el phishing y sus variantes como smishing, vishing, QRishing o la estafa del hijo comparten el objetivo de engañar a las víctimas para obtener información confidencial, se diferencian principalmente en el canal y en la forma de ejecutar el engaño.
El phishing tradicional opera a través del correo electrónico y suele incluir enlaces o archivos adjuntos diseñados para engañar al usuario. En cambio, el smishing se lleva a cabo mediante SMS o aplicaciones de mensajería, aprovechando la confianza que muchos usuarios aún depositan en estos canales.

El vishing emplea llamadas telefónicas donde el atacante se hace pasar por personal de soporte o del banco, mientras que el QRishing se basa en códigos QR falsos que redirigen a páginas maliciosas o descargan malware.

Por último, la estafa del hijo utiliza WhatsApp para hacerse pasar por un familiar que solicita dinero urgente, apelando a la emoción y la urgencia para lograr su objetivo.

En conjunto, todas estas formas de fraude digital suponen un riesgo creciente tanto para usuarios particulares como para empresas. Aunque varían en sus métodos, comparten un patrón común: explotar la confianza, la urgencia y el desconocimiento para lograr que la víctima actúe sin pensar. Por eso, la prevención y la educación digital siguen siendo las herramientas más eficaces para reducir el impacto de estos ataques.

La solución de Vodafone Business frente al phishing 

Para ayudar a las grandes empresas a abordar estos desafíos de seguridad, Vodafone Business ha desarrollado un servicio integral orientado agrandes empresas que combina tecnología avanzada y formación personalizada.

Su plataforma permite realizar campañas simuladas de phishing para evaluar la reacción de los empleados ante ataques reales. Además, proporciona informes detallados con estadísticas y consejos prácticos para reforzar la seguridad corporativa.

Este enfoque no solo permite identificar vulnerabilidades específicas dentro de la organización, sino que también fomenta una cultura empresarial centrada en la ciberseguridad. Al reducir la superficie de ataque y aumentar la concienciación del personal, las empresas pueden minimizar significativamente el impacto potencial de los ataques de phishing.

Hay que tener en cuenta que la seguridad al 100% no existe, tal y como indican todos los expertos en seguridad. Pero precisamente por ello, las grandes empresas deben esforzarse al máximo para intentar ser lo más seguras ante posibles ataques.

Borja Serrano Urquidi

Especialista SOC&MDR en Cybersecurity Business Unit de Vodafone España

Borja Serrano Urquidi es un Ingeniero Informático con más de 14 años de experiencia en ciberseguridad, especializado en el diseño, implementación y gestión de arquitecturas SIEM en entornos SOC. Ha trabajado con soluciones líderes como Splunk, Microsoft Sentinel, IBM QRadar y RSA NetWitness, y tiene experiencia tanto en tareas técnicas como estratégicas. Ha liderado proyectos de migración y consolidación de entornos SIEM, diseñado casos de uso avanzados basados en MITRE ATT&CK, y desarrollado herramientas como parsers personalizados y dashboards ejecutivos.

Además, ha participado en la creación y gestión de departamentos SOC a nivel internacional y ha coordinado equipos técnicos, colaborando con fabricantes de tecnología. En su carrera, ha destacado en el desarrollo de soluciones de automatización, orquestación de procesos y optimización de infraestructuras de ciberseguridad. Su enfoque está en la mejora continua, la innovación y la educación, trabajando para aumentar la madurez de los servicios de seguridad y la resiliencia ante las amenazas.