08 de maig de 2025 - Temps de lectura 6 min

Per Borja Serrano Urquidi

¿Qué son los ataques de phishing?

El phishing és un tipus d'atac cibernètic que es basa en tècniques d'enginyeria social.Els atacants envien correus electrònics que simulen provenir d'entitats legítimes (com bancs o proveïdors de serveis) amb l'objectiu d'enganyar el destinatari perquè reveli informació sensible o accedeixi a enllaços maliciosos.Aquests correus solen incloure adjunts infectats o enllaços que redirigeixen a llocs web falsos dissenyats per robar dades personals o instal·lar codi maliciós als dispositius.

En l'entorn corporatiu, el phishing no només representa una amenaça per als empleats a nivell individual, sinó que també pot comprometre tota la xarxa corporativa.Una variant particularment perillosa és el phishing lateral, en el qual els atacants utilitzen comptes interns ja compromesos per enviar missatges fraudulents dins de l'organització.Aquest enfocament resulta altament efectiu ja que els missatges provenen de fonts aparentment confiables, el que redueix les sospites i augmenta les probabilitats d'èxit de l'atac.

Antiphishing: eines clau per protegir el teu negoci

La prevenció contra els atacs de phishing requereix un enfocament integral que combini tecnologia avançada i formació contínua.

Vodafone Business ofereix una solució antiphishing específica dissenyada per a grans empreses que inclou campanyes simulades de phishing dirigides a empleats.Aquestes proves permeten mesurar el nivell de conscienciació i ciberresiliència de la plantilla, identificar punts febles i proporcionar recomanacions personalitzades per millorar la seguretat.

A més, eines avançades com filtres de correu electrònic basats en intel·ligència artificial poden detectar i bloquejar missatges sospitosos abans que arribin a les safates d'entrada.

Tanmateix, la tecnologia per si sola no és suficient.La formació constant és essencial, ja que el factor humà continua sent la baula més feble a la cadena de ciberseguretat. De fet, quan un atac d'aquest tipus té èxit succeeix perquè, en primer lloc, la tecnologia no ha estat capaç d'identificar i bloquejar aquest missatge fraudulent i, en segon lloc, perquè l'usuari ha estat massa confiat o no s'ha adonat que el remitent no era real i ha accedit a l'enllaç proporcionat o s'ha descarregat un arxiu maliciós.

Per aquesta raó, és cada vegada més freqüent que les empreses simulin l'enviament d'aquests missatges per veure fins i tot quin punt estan conscienciats els seus empleats i reforçar aquells punts que mostrin més debilitat.

Exemples de phishing més comuns en empreses

Un dels mètodes més comuns que utilitzen els ciberdelinqüents és l'enviament de correus electrònics falsos que simulen ser notificacions urgents.Aquests missatges solen demanar que es verifiqui un compte bloquejat o es confirmi una transacció sospitosa.Sovint inclouen arxius adjunts maliciosos o enllaços a pàgines fraudulentes dissenyades per robar credencials.

També són freqüents els atacs dirigits, coneguts com a spear phishing.En aquests casos els missatges estan personalitzats amb informació real del destinatari, la qual cosa els fa més creïbles i eficaços.Aquest tipus d'atac és especialment perillós en grans empreses, ja que l'accés indegut a un sol compte pot posar en risc tota l'organització.

D'altra banda, el smishing, una variant del phishing que utilitza missatges SMS com a medi d'atac, també està guanyant terreny.Els atacants envien missatges que aparenten ser alertes bancàries o notificacions de lliurament de paquets (i, més recentment, multes de la DGT), acompanyats d'enllaços maliciosos.Encara que és menys comú en entorns corporatius que el phishing per correu electrònic (ja que el destinatari rep l'engany per un SMS al seu número de mòbil i no alcorreo electrònic), la seva efectivitat rau en la confiança que molts usuaris dipositen en aquest tipus de missatges SMS.

Entre les formes més recents de phishing trobem també el vishing, que es basa en trucades fraudulentes.En aquestes, l'atacant es fa passar per un tècnic de suport, un agent del banc o de la companyia d'assegurances o llum, per obtenir informació sensible.Una altra tècnica emergent és el QRishing on s'utilitzen codis QR falsos que, en ser escanejats, redirigeixen a pàgines malicioses o instal·len codi maliciós al dispositiu.Finalment, ha guanyat notorietat un tipus de frau conegut com "l'estafa del fill" en la que l'atacant contacta a la víctima per WhatsApp, fent-se passar pel seu fill i sol·licitant diners amb urgència a través de Bizum o un altre mètode de pagament immediat.

Diferències entre atacs phishing i altres variants de frau digital

Encara que el phishing i les seves variants com a smishing, vishing, QRishing o l'estafa del fill comparteixen l'objectiu d'enganyar les víctimes per obtenir informació confidencial, es diferencien principalment al canal i en la manera d'executar l'engany.
El phishing tradicional opera a través del correu electrònic i sol incloure enllaços o arxius adjunts dissenyats per enganyar l'usuari.En canvi, el smishing es duu a terme mitjançant SMS o aplicacions de missatgeria, aprofitant la confiança que molts usuaris encara dipositen en aquests canals.

El vishing fa servir trucades on l'atacant es fa passar per personal de suport o del banc, mentre que el QRishing es basa en codis QR falsos que redirigeixen a pàgines malicioses o descarreguen codi maliciós.

Finalment, l'estafa del fill utilitza WhatsApp per fer-se passar per un familiar que sol·licita diners urgents, apel·lant a l'emoció i la urgència per aconseguir el seu objectiu.

En conjunt, totes aquestes formes de frau digital suposen un risc creixent tant per a usuaris particulars com per a empreses.Encara que varien en els seus mètodes, comparteixen un patró comú: explotar la confiança, la urgència i el desconeixement per aconseguir que la víctima actuï sense pensar.Per això, la prevenció i l'educació digital continuen sent les eines més eficaces per reduir l'impacte d'aquests atacs.

La solució de Vodafone Business davant el phishing

Per ajudar les grans empreses a abordar aquests desafiaments de seguretat, Vodafone Business ha desenvolupat un servei integral orientat engrandeixis empreses que combina tecnologia avançada i formació personalitzada.

La seva plataforma permet realitzar campanyes simulades de phishing per avaluar la reacció dels empleats davant d'atacs reals.A més, proporciona informes detallats amb estadístiques i consells pràctics per reforçar la seguretat corporativa.

Aquest enfocament no només permet identificar vulnerabilitats específiques dins de l'organització, sinó que també fomenta una cultura empresarial centrada en la ciberseguretat.En reduir la superfície d'atac i augmentar la conscienciació del personal, les empreses poden minimitzar significativament l'impacte potencial dels atacs de phishing.

Cal tenir en compte que la seguretat al 100% no existeix, tal com indiquen tots els experts en seguretat.Però precisament per això, les grans empreses s'han d'esforçar al màxim per intentar ser el més segures davant de possibles atacs.

Borja Serrano Urquidi

Especialista en SOC&MDR en Cybersecurity Business Unit de Vodafone España

Borja Serrano Urquidi és un Enginyer Informàtic amb més de 14 anys d’experiència en ciberseguretat, especialitzat en el disseny, implementació i gestió d’arquitectures SIEM en entorns SOC.Ha treballat amb solucions líders com Splunk, Microsoft Sentinel, IBM QRadar i RSA NetWitness, i té experiència tant en tasques tècniques com estratègiques.Ha liderat projectes de migració i consolidació d’entorns SIEM, dissenyat casos d’ús avançats basats en MITRE ATT&CK, i desenvolupat eines com parsers personalitzats i dashboards executius.

A més, ha participat en la creació i gestió de departaments SOC a escala internacional i ha coordinat equips tècnics, col·laborant amb fabricants de tecnologia.En la seva carrera, ha destacat en el desenvolupament de solucions d’automatització, orquestració de processos i optimització d’infraestructures de ciberseguretat.El seu enfocament es troba en la millora contínua, la innovació i l’educació, treballant per augmentar la maduresa dels serveis de seguretat i la resiliència davant les amenaces.