Los ataques cibernéticos que explotan vulnerabilidades de software son muy peligrosos, pero generalmente fáciles de corregir, a menudo requieren solo un parche. El phishing, sin embargo, utiliza ingeniería social para atacar a personas en lugar de sistemas. Los ataques de phishing pueden evolucionar y adaptarse a nuevas narrativas o plataformas según sea necesario, lo que obliga a las empresas a repensar sus estrategias.

En esta guía detallada, abordaremos las tácticas más relevantes empleadas por las campañas de phishing en la actualidad, para que pueda desarrollar el mejor enfoque para proteger su negocio contra esta amenaza.

Lo que aprenderá en esta guía

• La naturaleza en constante evolución del phishing: Descubra cómo los ataques de phishing van más allá de los simples correos electrónicos y ahora exploran varios canales, como SMS, redes sociales e incluso códigos QR.

• El impacto devastador: Comprenda las graves consecuencias del phishing, desde infecciones de ransomware y secuestro de cuentas hasta pérdidas financieras significativas para las empresas.

• Las tácticas más recientes: Conozca las técnicas sofisticadas que utilizan los atacantes para evitar la detección, incluida la ocultación de nombres de marcas y el uso de anuncios engañosos y páginas intermediarias.

• Tipos de ataques de phishing: Aprenda sobre las diferentes formas que puede adoptar el phishing, como smishing, vishing, spear phishing y whaling, y aprenda a reconocerlos.

• Estrategias eficaces de defensa: Explore un enfoque de varias capas para combatir el phishing, combinando tecnología como filtros de spam y antimalware con conciencia y vigilancia en ciberseguridad.

¿Qué es el phishing y por qué sigue siendo una amenaza real para las empresas?

El phishing es un tipo de ataque cibernético que utiliza ingeniería social para engañar a las víctimas e inducirlas a divulgar información confidencial, como contraseñas, instalar aplicaciones maliciosas en sus dispositivos o realizar otras acciones que puedan ayudar a los atacantes a lograr sus objetivos.

El término proviene de la idea de "pescar" (fishing, en inglés), ya que el hacker usa un cebo para atraer a las víctimas al golpe. El cebo tradicional del phishing es un correo electrónico que solicita la contraseña del usuario mientras finge ser de una institución confiable, generalmente un banco.

Actualmente, los golpes de phishing se distribuyen a través de diversos canales, incluidos SMS, llamadas telefónicas y anuncios pagados en redes de publicidad y plataformas de medios sociales. Además, pueden hacerse pasar por empresas de diferentes sectores, incluidas tiendas en línea, software y medios de comunicación.

El phishing no exige vulnerabilidades de software. En cambio, generalmente intenta engañar a las víctimas explotando rasgos y emociones humanas, como la curiosidad y el miedo. Dicho esto, los ciberdelincuentes pueden invadir servidores o usar pagos fraudulentos (como tarjetas de crédito robadas) para obtener la infraestructura necesaria para enviar mensajes de phishing o alojar sitios fraudulentos.

Además, las vulnerabilidades y fallas de software pueden explotarse para que el golpe sea más convincente. Por ejemplo, los hackers pueden insertar código malicioso dentro de documentos para instalar malware y falsificar encabezados de correo electrónico para falsificar su origen, especialmente cuando esto se puede hacer para eludir los filtros de spam o los sistemas de verificación de remitentes.

¿Cuáles son los impactos reales del phishing para las empresas?

Incidentes de ransomware generalmente comienzan con phishing

Cuando el phishing se utiliza para instalar malware o robar credenciales corporativas, puede resultar en un incidente de ransomware. Los hackers a menudo encuentran formas de explotar cualquier acceso inicial, incluso con privilegios bajos, para moverse lateralmente dentro de la red, lo que permite la exfiltración de datos y la violación de sistemas confidenciales.

Según el Índice de Inteligencia de Amenazas de IBM X-Force, el phishing está empatado en primer lugar como el vector más común para el acceso inicial, lo que puede llevar a ransomware u otras interrupciones.

Aunque el phishing no exige un alto nivel de sofisticación técnica, sería un error creer que los hackers que lo utilizan no pueden realizar operaciones sofisticadas.

Phishing está ligado al secuestro de cuentas (ATO - Account Takeover)

Las credenciales son un objetivo común para los ataques de phishing, ya sea directamente (con una página falsa que solicita la contraseña de la víctima) o indirectamente (a través de la diseminación de malware stealer, que, una vez instalado, extrae esa información del sistema tan pronto como esté disponible).

Las credenciales robadas permiten que los hackers accedan a cuentas de clientes, lo que resulta en incidentes de Account Takeover (ATO). Cuando los criminales realizan pedidos fraudulentos o efectúan pagos sin la autorización de la víctima, la empresa puede sufrir perjuicios debido a devoluciones de cargos (chargebacks) y otros procesos legales o técnicos.

ATO es uno de los principales componentes del ecosistema de fraudes digitales, generando miles de millones en pérdidas anualmente.

¿Qué tipos de phishing existen y cómo reconocerlos?

El phishing puede tener diferentes objetivos:

• Credenciales corporativas: El phishing puede intentar robar contraseñas para acceder a plataformas de Software as a Service (SaaS), infraestructura de TI o VPN corporativas.

• Malware y acceso inicial: Links y adjuntos en mensajes de phishing pueden implementar stealer malware o troyanos de acceso remoto (RATs) para obtener acceso inicial a la red de la empresa.

• Credenciales de usuarios: Los hackers pueden usar credenciales de usuarios finales de varias maneras como parte de incidentes de Account Takeover (ATO).

• Acciones específicas: Mensajes de phishing pueden engañar a usuarios para que realicen acciones que debilitan su seguridad o la de su organización, como alterar una configuración, restablecer una contraseña, instalar una aplicación web progresiva, etc.

Ciertos tipos de ataque también poseen términos específicos:

• "Fake ads" y "malvertising" se utilizan para describir anuncios maliciosos.

• Smishing se refiere a golpes de phishing recibidos como mensajes SMS. Ellas pueden contener un link o un número de teléfono para que la víctima llame.

• Vishing está relacionado al uso de redes telefónicas en ataques de phishing.

• Quishing es el término usado para describir una dirección de phishing escondida dentro de un código QR.

• Pharming es un incidente en el que los invasores combinan phishing con un nombre de dominio secuestrado, haciendo el ataque más convincente, pues la víctima accede a una dirección de la web que parece idéntica o casi idéntica al URL legítimo.

• Spear phishing describe ataques de phishing dirigidos. El spear phishing se puede enviar a solo algunas personas o incluso a una única persona, lo que permite un mensaje especialmente elaborado para ser lo más convincente posible.

• Cuando un ataque de spear phishing está dirigido a individuos clave dentro de una organización, esto puede ser llamado de "whaling", aunque ese término no sea tan común. Como los criminales frecuentemente se mueven lateralmente dentro de la red corporativa para escalar su nivel de acceso, esa distinción ni siempre es relevante. No obstante, cuando las organizaciones no toman las medidas necesarias para proteger credenciales privilegiadas, los hackers alcanzan sus objetivos con mucha más facilidad.

De modo general, esas distinciones no son tan útiles hoy como ya fueron. Ataques de phishing pueden emplear múltiples capas de engaño y ofuscación. Un mensaje SMS malicioso puede intentar engañar al usuario para que llame a un número de teléfono, o una llamada inesperada puede intentar hacer con que la víctima abra un link recibido por correo electrónico o SMS.

Además, ataques impulsados por IA pueden personalizar el mensaje de phishing para varios destinatarios, reduciendo la diferencia entre campañas estándar de phishing y spear phishing.

¿Cómo proteger tu marca cuando el phishing ocurre fuera del perímetro corporativo?

La mayoría de las inversiones en defensa contra el phishing se concentran en lo que sucede dentro de la organización: proteger a los empleados, los sistemas, los dispositivos y los correos electrónicos. Es una prioridad esencial. Pero, ¿qué ocurre cuando el ataque no intenta vulnerar la empresa desde dentro, sino que utiliza su marca para engañar a otras personas?

Este es un escenario cada vez más común —y a menudo subestimado—: campañas de phishing que se aprovechan del nombre, la identidad visual o la reputación de su empresa como señuelo para atacar a clientes, socios o usuarios comunes. El ataque no atraviesa firewalls, no activa antivirus ni pasa por sus servidores. Ocurre completamente fuera de su red corporativa.

Ahí es donde se vuelve fundamental adoptar una postura de ciberseguridad verdaderamente integral. Eso implica proteger también el entorno externo: monitorear el uso indebido de la marca, eliminar contenido fraudulento con agilidad, orientar al público de manera clara e incorporar esta dimensión al plan de respuesta a incidentes.

¿Cómo detectar el uso indebido de tu marca en campañas de phishing?

El primer desafío es la detección. Cuando los ciberdelincuentes utilizan elementos de una marca —como el nombre, el logotipo o la identidad visual— para llevar a cabo estafas, hacen todo lo posible para eludir la detección: registran dominios recién creados, evitan mencionar la marca en el contenido textual y eligen canales menos visibles, como anuncios segmentados o mensajes en redes sociales.

En muchos casos, los sitios fraudulentos ni siquiera mencionan el nombre de la empresa en texto. El contenido se entrega en forma de imágenes, lo que dificulta el trabajo de las herramientas tradicionales basadas en palabras clave.

¿Qué técnicas de evasión utilizan los ciberdelincuentes en campañas de phishing?

Empresas y especialistas en ciberseguridad vienen combatiendo el phishing hace años. Hoy, plataformas de ciberseguridad están constantemente intentando localizar páginas de phishing antes incluso de que los criminales inicien sus campañas. En respuesta, hackers cambiaron sus tácticas varias veces para evitar la detección.

Aquí están algunas de las estrategias que ellos usan:

¿Por qué los estafadores evitan usar el nombre de la marca en sitios falsos?

Como los ataques de phishing generalmente funcionan haciéndose pasar por una marca conocida de la víctima, hackers registran nuevos dominios que incluyen el nombre de la marca - por ejemplo, "specialcredit [marca falsificada] .com" o "blackfriday [tienda falsificada] .com".

Esos sitios falsos pueden ser detectados por medio del monitoreo de nuevos dominios y del análisis de páginas. De esa forma, sitios ilegítimos pueden ser derribados (takedown) antes incluso de que la campaña sea ampliamente diseminada.

Los criminales respondieron a esa táctica evitando mencionar nombres de marcas en sus dominios maliciosos: 70% de los dominios fraudulentos no contienen palabras-clave relacionadas a marcas. Incluso si la página es escaneada, 18% de los sitios de phishing no mencionan la marca ni en su código-fuente.

Aunque eso pueda hacer la página más sospechosa y llevar a un golpe menos eficaz, ni siempre es el caso. Muchos usuarios ahora navegan en internet por el smartphone, que posee barras de dirección cortas. Como los usuarios no consiguen verificar fácilmente el URL completo, los criminales usan subdomínios y otros trucos que funcionan bien en el ambiente móvil.

Los sitios de phishing también utilizan imágenes en lugar de texto para mencionar marcas, lo que impide las soluciones tradicionales de escaneo.

Axur utiliza una combinación de algoritmos y modelos de inteligencia artificial para inspeccionar 15 millones de sitios diariamente. Esto nos ayuda a reconocer marcas e identificar el nivel de similitud entre la página analizada y la presencia oficial de la organización en la web.

Después de identificar una marca, nuestra IA analiza colores, diseño de la página y varios otros factores, como si la página solicita información confidencial o posee un campo de contraseña.

Con ese abordaje, conseguimos encontrar páginas de phishing incluso cuando intentan al máximo evitar la detección. Cada señal es registrada en un data lake que puede ser consultado en nuestra solución de Threat Hunting.

¿Cómo funcionan los anuncios y las páginas intermedias ("gateway pages") en los ataques de phishing?

Mientras algunos anuncios maliciosos dependen de la ejecución de código dentro del navegador del usuario, lo que los clasificaría como malware, los criminales se adaptaron a formatos más estandarizados, permitidos en plataformas de medios sociales y mecanismos de búsqueda, explorando trucos de phishing: haciéndose pasar por marcas y capturando la atención del usuario.

Los criminales pueden usar funcionalidades de segmentación de anuncios para atingir víctimas potenciales. Eso hace la campaña más eficaz y oculta el anuncio malicioso de los sistemas de barrido, ya que ni todos verán la publicidad. En Axur, trabajamos constantemente para mejorar nuestra visibilidad en redes de anuncios para escanear propagandas direccionadas.

Para contornar las políticas que bloquean sus anuncios, hackers engañan las plataformas de publicidad usando páginas intermediarias ("gateway pages") que, a primera vista, no contienen contenido malicioso. Esas páginas pueden hacerse pasar por sitios de noticias u otras entidades que normalmente no están involucradas en golpes de phishing para ganar la confianza de la víctima. En algún momento, esas páginas intermediarias redireccionan para el sitio real de phishing que solicita los datos del usuario.

¿Cómo funcionan los filtros de acceso?

Hackers adoptan activamente medidas para bloquear sistemas de escaneo de acceder a sus páginas maliciosas. Uno de los trucos más antiguos es el "bloqueo geográfico" (geo-blocking), que permite que el sitio fraudulento sea accedido solo por usuarios de países específicos. Como el blanco de un golpe de phishing no puede ser fácilmente determinado anticipadamente, esa estrategia impide que ciertos sistemas automatizados detecten el ataque.

Las campañas de phishing más recientes generalmente combinan múltiples filtros. En Axur, hemos observado varios golpes restringidos a usuarios móviles - a veces verificando las capacidades técnicas del dispositivo, como funcionalidad de toque y tamaño de la pantalla. Si el dispositivo no reporta los valores correctos, el navegador es redireccionado para una dirección diferente.

Nuestros sistemas contornan esos filtros intentando acceder páginas sospechosas de diferentes regiones y simulando diversos dispositivos, hasta incluso replicando como ellos responden al código en la página. Mantenemos un registro del HTML de la página y una captura de pantalla del golpe, que puede ser analizada por nuestra tecnología de inspección visual basada en IA o por analistas de seguridad en nuestra solución de Threat Hunting.

¿Qué acciones legales tomar cuando tu marca se usa en campañas de phishing?

Cuando una marca es utilizada sin autorización en campañas de phishing, las organizaciones pueden —y deben— tomar medidas legales para proteger su reputación y a sus clientes. Aunque la legislación varía según el país, la mayoría de los marcos jurídicos contempla la protección de la propiedad intelectual, el combate al fraude y la responsabilidad de intermediarios digitales.

El primer paso suele ser extrajudicial: enviar notificaciones formales de abuso y solicitudes de eliminación (takedown) a plataformas, proveedores de hosting, registradores de dominios y —cuando sea posible— a los propios responsables. Estas acciones requieren evidencia sólida: capturas de pantalla con fecha y hora, encabezados de correos electrónicos, código fuente de las páginas fraudulentas y reportes técnicos. Las plataformas especializadas pueden automatizar la recopilación de estos elementos.

La mayoría de los servicios online cuentan con canales de denuncia específicos, pero los protocolos, formatos y tiempos de respuesta varían considerablemente. Algunas plataformas priorizan las solicitudes que provienen de fuentes verificadas o incluyen documentación legal contundente.

En este contexto, la automatización marca la diferencia. Axur mantiene integraciones con cientos de proveedores y plataformas globales, lo que permite ejecutar takedowns de dominios fraudulentos con una eficiencia excepcional: el tiempo medio de eliminación es inferior a 9 horas.

¿Cómo crear una estrategia de defensa externa contra el phishing?

Dentro de la red corporativa, filtros de spam, soluciones anti-malware y entrenamientos de concienciación en ciberseguridad son las defensas más comunes contra phishing. No obstante, muchas veces, eso no es suficiente para mitigar la amenaza.

Como campañas de phishing ocurren fuera de la red corporativa, muchas empresas no están conscientes de esos incidentes, incluso cuando involucran el uso indebido de sus marcas. Eso es un problema para organizaciones que desean proporcionar una experiencia digital segura para sus usuarios y evitar la insatisfacción de los clientes debido a golpes online.

Aunque las empresas puedan recibir relatos de usuarios sobre los golpes que reciben, eso raramente es suficiente para una respuesta eficaz.

La Plataforma Axur ofrece una solución completa, combinando detección externa, denuncia, remoción (takedown) y un data lake de señales que proporcionan a las organizaciones visibilidad sobre las amenazas y campañas conducidas por ciberdelincuentes, incluso cuando no atingen directamente su red corporativa.

• Nuestros sistemas inspeccionan 15 millones de páginas de la web todos los días.

• Esa inspección nos informa cuáles de esas páginas se están haciendo pasar por marcas.

• Modelos de IA verifican elementos comúnmente encontrados en ataques de phishing, como solicitudes de información confidencial o pagos fraudulentos.

• Incidentes que atienden a criterios predefinidos pueden ser automáticamente programados para remoción y bloqueo. Eso involucra denunciar la URL de phishing y sus activos asociados para proveedores de hospedaje y listas de sitios maliciosos, permitiendo que navegadores y soluciones de seguridad ayuden a los usuarios a evitar el golpe.

La solución de Threat Hunting permite que analistas de ciberseguridad investiguen más a fondo incidentes complejos, auxiliando las empresas a analizar casos en que usuarios fueron víctimas de golpes de phishing.

Si usted quiere ver como nuestra tecnología puede ayudar su negocio en ese escenario desafiador, hable con nuestros especialistas.

Preguntas frecuentes sobre phishing externo y uso indebido de marca

¿Cuándo y cómo comunicar que nuestra marca está siendo utilizada en fraudes?

La comunicación debe ser estratégica. Notificar demasiado pronto, sin hechos confirmados, puede generar pánico o transmitir la impresión de que la empresa ha perdido el control. Por otro lado, omitir el incidente puede interpretarse como negligencia —e incluso violar obligaciones legales o contractuales, dependiendo del sector.

La mejor práctica es evaluar el nivel de riesgo del fraude y, si existe un impacto real o inminente para terceros, comunicarlo de forma clara y orientada a la acción. El mensaje debe incluir información precisa sobre los canales oficiales de la empresa, el tipo de fraude detectado y las instrucciones para evitarlo. Esta comunicación debe realizarse a través de canales corporativos verificables —sitio web, app, email autenticado o perfiles oficiales— y en coordinación con los equipos legal, de seguridad y comunicación.

¿Qué impacto reputacional puede tener el uso de nuestra marca en un fraude y cómo mitigarlo?

Aunque la empresa no sea directamente responsable, el simple hecho de que su marca aparezca en un fraude puede afectar la confianza del público. Comentarios negativos pueden circular en redes sociales, plataformas de quejas y foros. En algunos casos, los clientes pueden dejar de utilizar los servicios por precaución —especialmente en sectores como la banca, el retail o la educación.

Mitigar ese daño exige una respuesta rápida, visible y transparente. Mostrar que la empresa detectó el problema, actuó con responsabilidad y comunicó proactivamente con su audiencia es clave para preservar la credibilidad. También es importante monitorear el impacto público y, si es necesario, activar estrategias de recuperación de marca y comunicación corporativa.

¿Cómo evitar que nuestra marca sea reutilizada en campañas de phishing?

No basta con resolver el incidente: hay que anticiparse al siguiente. Las campañas que suplantan marcas suelen seguir ciertos patrones de lenguaje, horario, infraestructura y canales. Crear una base de datos de incidentes previos, monitorear foros clandestinos y mapear dominios similares ayuda a detectar tendencias de reincidencia antes de que escalen.

También se recomienda registrar dominios similares al nombre de la empresa (registro defensivo), configurar correctamente los protocolos de autenticación de email (SPF, DKIM y DMARC con política de rechazo) y utilizar tecnología de inspección visual para identificar nuevas falsificaciones rápidamente.

¿Cómo reportar y eliminar rápidamente contenidos fraudulentos que imitan nuestra marca?

Colaborar con plataformas puede ser tanto un desafío como una oportunidad. Cada entorno —redes sociales, registradores de dominio, plataformas de anuncios, marketplaces— tiene su propia política de abuso. Los tiempos de respuesta varían y, en algunos casos, las denuncias solo se priorizan si provienen de fuentes confiables o incluyen documentación legal completa.

Lo ideal es automatizar y estandarizar ese proceso. Soluciones como Axur ya cuentan con integraciones directas con cientos de plataformas y pueden enviar denuncias formales con metadatos estructurados y evidencias verificables. Esto acelera el takedown y reduce el retrabajo.

¿Qué herramientas usar para monitorear el uso indebido de nuestra marca en línea?

Proteger una marca va mucho más allá de buscar su nombre en Google. Las herramientas modernas de protección digital deben escanear nuevos dominios, redes sociales, marketplaces, foros y entornos de la deep y dark web. También deben ser capaces de reconocer elementos visuales como paletas de colores, fuentes, íconos y estructuras de diseño —especialmente cuando el nombre no aparece en texto.

Por ejemplo, Axur combina detección semántica, visual y conductual para identificar abusos incluso cuando la imitación es indirecta. Su plataforma también rastrea campañas de phishing en tiempo real y detecta comportamientos como formularios sospechosos, recolección de contraseñas o redirecciones automatizadas.

¿Cómo educar a clientes y empleados para reconocer fraudes con el nombre de nuestra marca?

La educación es parte clave de la protección de marca. Las empresas deben orientar a clientes, partners y colaboradores sobre cómo identificar fraudes y reportarlos. Esto incluye mostrar ejemplos reales de campañas falsas, explicar cómo verificar dominios y direcciones de correo, divulgar los canales oficiales y crear una dirección de contacto exclusiva para reportes (por ejemplo: phishing@empresa.com).

También es importante capacitar a los equipos internos —especialmente soporte y ventas— para que reconozcan rápidamente señales sospechosas y escalen el incidente por los canales correctos. Una comunicación ambigua de la propia empresa, con links acortados o mensajes confusos, puede facilitar futuras estafas.

¿Cómo incluir el uso indebido de la marca en el plan de respuesta a incidentes?

Los fraudes que usan la identidad visual de la empresa deben estar contemplados en los playbooks de seguridad. Esto incluye: criterios de detección, flujos de respuesta (incluyendo automatización), responsables por área, plantillas de comunicación, SLAs, matriz de severidad y protocolos de escalamiento.

Este tipo de respuesta requiere colaboración interdepartamental: legal, seguridad, comunicación, atención al cliente y compliance deben actuar de forma coordinada. Simulacros periódicos pueden ayudar a preparar al equipo para una respuesta ágil, sin fricciones ni malentendidos.

Por eso, adoptar una estrategia de protección de marca externa es esencial —no solo para prevenir fraudes, sino para preservar la confianza que su organización ha construido.

Por eso, adoptar una estrategia de protección de marca externa es esencial —no solo para prevenir fraudes, sino para preservar la confianza que su organización ha construido. Si desea entender cómo aplicar este enfoque en su entorno específico, hable con nuestros especialistas.