Tácticas habituales de phishing que ponen en riesgo a las empresas

Septiembre 8 2025
Kaseya
Phishing, Ingeniería social

El phishing funciona porque se aprovecha de las personas, no de la tecnología. Los sistemas de seguridad están diseñados para bloquear códigos sospechosos y detectar intrusiones, pero es mucho más fácil influir en las personas. Los empleados están acostumbrados a confiar en nombres conocidos, a responder rápidamente a las peticiones de las autoridades y a actuar con rapidez cuando algo parece urgente. Los atacantes se aprovechan de estos instintos, sabiendo que incluso las mejores defensas pueden eludirse si una sola persona comete un error.

Según el Informe de Verizon sobre investigaciones de fugas de datos en 2025el 60% de las filtraciones tienen un componente humano, siendo el abuso de credenciales y el phishing las principales causas. Esta gran dependencia del error humano es lo que convierte al phishing en una forma clásica de ingeniería social.

¿Qué tiene que ver la ingeniería social?

La ingeniería social es una táctica amplia que manipula el comportamiento humano para obtener acceso o información. En lugar de romper los sistemas, los atacantes persuaden a la gente para que haga clic en un enlace, comparta una contraseña o abra lo que parece un archivo normal. El objetivo es engañar a alguien para que proporcione a los atacantes el punto de entrada que necesitan para robar datos, adentrarse en las redes o llevar a cabo fraudes financieros.

¿Cuál es la diferencia entre phishing e ingeniería social?

El phishing es una forma específica de ingeniería social. Utiliza mensajes digitales -correo electrónico, texto o redes sociales- para generar confianza o urgencia y engañar a la gente para que actúe con rapidez. Lo que diferencia al phishing es el método de entrega. La ingeniería social en su conjunto puede adoptar muchas formas, desde las estafas telefónicas a la manipulación en persona, mientras que el phishing se centra en la comunicación digital como canal de engaño.

¿Cómo se utiliza la ingeniería social en los ataques de phishing?

La mayoría de los empleados son cooperativos; tienden a respetar las instrucciones que parecen proceder de figuras de autoridad, y se sienten presionados cuando un mensaje hace hincapié en la urgencia. Los atacantes diseñan sus mensajes para activar esos instintos: un restablecimiento urgente de la contraseña, una petición del director general o una advertencia de que se suspenderá una cuenta.

Cuando estas señales aparecen en un correo electrónico, un mensaje de texto o incluso un mensaje en las redes sociales, la gente suele reaccionar antes de pararse a cuestionar la fuente. Esa reacción rápida es exactamente con lo que cuentan los atacantes. Al tejer la ingeniería social en la comunicación digital, el phishing convierte las interacciones cotidianas en momentos de alto riesgo que pueden interrumpir las operaciones y exponer datos confidenciales.

Tipos de ataques de phishing

El phishing no es un método único. Los atacantes utilizan diferentes tácticas en función de sus objetivos, y la IA está dificultando su detección. El informe Cost of a Data Breach Report 2025 (El costo de una filtración de datos 2025) de IBM reveló que el 16 % de las filtraciones estaban relacionadas con la IA, sobre todo en el phishing y la suplantación de identidad. Desde sitios web falsos hasta deepfakes y códigos maliciosos generados por IA, estos ataques evolucionan más rápido de lo que pueden responder las defensas.

Dado que el phishing evoluciona con tanta rapidez, es importante conocer los tipos de ataque más comunes:

Correo electrónico comercial comprometido (BEC)

Los delincuentes piratean o suplantan cuentas de correo electrónico de empresas para hacerse pasar por ejecutivos o proveedores. Solicitan pagos urgentes o datos confidenciales, a menudo copiando estilos de escritura con IA. Por ejemplo, un empleado puede recibir lo que parece una solicitud de transferencia urgente de su director financiero. El informe Cost of a Data Breach Report de IBM también muestra lo poderosa que se ha vuelto esta técnica: la IA generativa ahora reduce el tiempo de creación de correos electrónicos de phishing de 16 horas a sólo cinco minutos.

Suplantación de identidad

Correos electrónicos dirigidos y elaborados con datos personales o empresariales para engañar a personas concretas. La IA generativa facilita la ampliación de estas campañas. Ejemplo: Un enlace falso a un documento de proyecto captura las credenciales de un empleado.

Angler phishing

Los atacantes se hacen pasar por el servicio de atención al cliente en las redes sociales para engañar a los usuarios y que revelen sus datos de acceso. Los perfiles generados por IA hacen que las cuentas parezcan reales. Ejemplo: un «agente de atención al cliente» envía un enlace falso para resolver una queja.

Suplantación de marca

Los correos electrónicos se hacen pasar por empresas de confianza utilizando dominios muy similares o sitios web falsos. Ejemplo: una página de inicio de sesión falsa de una empresa roba las credenciales.

Suplantación de credenciales

Diseñado para robar nombres de usuario y contraseñas, a menudo en combinación con el BEC o la suplantación de identidad de marcas. Ejemplo: un correo electrónico con una factura falsa redirige a un portal de inicio de sesión falso.

Smishing

Mensajes SMS que contienen enlaces maliciosos o mensajes de alerta. Ejemplo: una falsa alerta bancaria insta a los usuarios a proteger sus cuentas.

Quishing (suplantación de identidad mediante código QR)

Los códigos QR fraudulentos conducen a sitios falsos o a programas maliciosos. Ejemplo: Un código QR de correo electrónico redirige a una página de inicio de sesión falsa.

Cómo protege Kaseya 365 Endpoint contra el phishing

Kaseya 365 Endpoint se ha diseñado para ofrecer a los equipos de TI una forma más inteligente y fiable de bloquear los ataques de phishing. A diferencia de las herramientas independientes, combina seguridad, automatización y supervisión en una sola suscripción, lo que le proporciona la visibilidad y la protección que necesita a nivel de terminal.

Así es como ayuda:

  • Detección y bloqueo de amenazas en tiempo real: los archivos y enlaces maliciosos se analizan automáticamente y se bloquean antes de que lleguen a los usuarios finales, lo que reduce la dependencia de la detección manual.
  • Análisis de comportamiento para detectar amenazas en evolución: La supervisión basada en IA no se limita a buscar firmas conocidas, sino que reconoce comportamientos sospechosos, lo que la hace eficaz contra las nuevas tácticas de phishing, incluidos los ataques generados por IA.
  • Seguridad integrada para dispositivos finales: Antivirus, el EDR y la gestión de parches funcionan conjuntamente en una única plataforma, subsanando las deficiencias que dejan las herramientas fragmentadas.
  • Automatización integrada: Kaseya 365 Endpoint automatiza las actualizaciones, los parches y las respuestas, lo que ahorra tiempo a los equipos de TI y garantiza que los sistemas permanezcan protegidos sin necesidad de una supervisión constante.
  • Visibilidad e informes: Los administradores pueden ver dónde se producen los intentos de phishing, qué endpoints fueron objetivo y cómo neutralizó el sistema las amenazas, lo que ayuda a reforzar las defensas con el tiempo.
  • Copias de seguridad fiables: los datos críticos se protegen y se pueden recuperar automáticamente, por lo que, incluso si se produce un ataque, las empresas pueden restaurar los sistemas rápidamente y evitar un tiempo de inactividad prolongado.
  • Los usuarios Pro disponen de servicios MDR: MDR cuenta con un equipo de seguridad disponible las 24 horas del día, los 7 días de la semana, que se dedica a detectar amenazas avanzadas, lo que garantiza una detección más rápida y una respuesta experta en caso de que un intento de phishing provoque una intrusión.

Mantenga a su equipo a salvo del phishing

El phishing siempre se centrará en el comportamiento humano. Con Kaseya 365 Endpoint, dispondrá de una solución diseñada para interceptar esos ataques antes de que tengan éxito, de modo que su equipo pueda centrarse en hacer crecer el negocio, en lugar de en recuperarse de las brechas de seguridad. Para comprobar la diferencia que puede suponer, solicite hoy mismo una demostración de Kaseya 365 Endpoint.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

El verdadero costo de los ataques de phishing

Descubre el verdadero costo de los ataques de phishing y cómo la seguridad moderna del correo electrónico detiene las amenazas antes de que afecten a tu empresa.

Leer la entrada del blog

Campaña de phishing en Zoom: cómo los ciberdelincuentes falsifican alertas de la SSA y hacen un uso indebido de ConnectWise ScreenConnect

Descubre cómo los atacantes utilizaron Zoom y ConnectWise ScreenConnect para enviar alertas falsas de la SSA y engañar a los usuarios en un sofisticado ataque de phishing.

Leer la entrada del blog

Los entresijos de la estafa de las facturas de OpenAI: explicación del uso indebido de SendGrid y del phishing por devolución de llamada

Los ciberdelincuentes nunca se detienen y reinventan constantemente sus tácticas para aprovecharse de la confianza, la familiaridad y el instinto humano. INKY vigilando las amenazasSeguir leyendo

Leer la entrada del blog