Términos del Glosario > Phishing: ¿Qué es el Phishing? Guía Completa 2026
¿Qué es Phishing? - Glosario Ecosistema Startup

Phishing: ¿Qué es el Phishing? Guía Completa 2026

El 91% de todos los ciberataques comienzan con un email de phishing. Es el vector de ataque más antiguo, más simple y más efectivo en ciberseguridad. Y a pesar de décadas de concienciación, sigue funcionando porque explota la psicología humana, no fallas técnicas.

Definición rápida

El Phishing es una técnica de ingeniería social donde atacantes se hacen pasar por entidades legítimas (bancos, empresas, contactos conocidos) para engañar a las víctimas y robar credenciales, datos financieros o instalar malware. Es el vector de ataque número 1 en ciberseguridad.

¿Qué significa Phishing?

El nombre es un juego de palabras con «fishing» (pesca en inglés): lanzas un anzuelo (el email falso) y esperas que alguien pique. El «ph» reemplaza la «f» por una convención del argot hacker de los años 70-80.

Los ataques de phishing explotan urgencia («tu cuenta será bloqueada»), miedo («actividad sospechosa detectada»), autoridad («mensaje del CEO»), curiosidad («tienes un paquete pendiente») y confianza (imitando marcas conocidas). El mensaje redirige a una página falsa que imita perfectamente la real, donde la víctima ingresa sus credenciales.

Los tipos principales de phishing son: Email phishing (masivo, genérico), Spear phishing (dirigido a persona específica con información personalizada), Whaling (apunta específicamente a ejecutivos), Smishing (via SMS), Vishing (via llamada de voz) y Quishing (via códigos QR maliciosos).

Variantes modernas de Phishing

  • Spear phishing: Email ultra-personalizado con nombre del destinatario, cargo, referencia a proyectos reales. Tasa de éxito de hasta el 30%.
  • Business Email Compromise (BEC): Suplanta al CEO o CFO para pedir transferencias urgentes. Genera pérdidas de USD 50+ billones anuales globalmente.
  • Deepfake phishing: Video o audio generado con IA Generativa que suplanta la voz o imagen de ejecutivos para engañar a empleados en transferencias.
  • QR phishing (Quishing): Códigos QR en emails o físicamente colocados sobre carteles legítimos que redirigen a sitios maliciosos.

Ejemplos en LATAM

Phishing a usuarios de BancoEstado (Chile): Campañas masivas anuales que suplantan al banco estatal chileno, con emails de «actualización de datos» que llevaban a páginas falsas perfectamente imitadas. Afectan a miles de usuarios cada año.

Fraudes BEC en Colombia: Empresas exportadoras colombianas han perdido millones de dólares en ataques BEC donde comunicaciones de email con clientes extranjeros fueron interceptadas y el número de cuenta bancaria reemplazado silenciosamente.

Cómo identificar y prevenir Phishing

  • Verifica el remitente: noreply@banco**s**tado.com vs [email protected]. Un carácter diferente cambia todo.
  • Hover antes de click: Pasa el cursor sobre los links para ver la URL real antes de hacer clic.
  • MFA siempre: Aunque entregues tu contraseña en una página falsa, el atacante no puede entrar sin el segundo factor.
  • Verifica canales alternativos: Si recibes un email del CEO pidiendo transferencia urgente, llámalo directamente para confirmar.
  • Simulacros de phishing: Herramientas como KnowBe4 o Proofpoint permiten enviar phishing simulado a tu equipo para medir vulnerabilidad y entrenar.

Preguntas Frecuentes (FAQ)

¿La IA está haciendo el phishing más peligroso?

Significativamente. La IA Generativa permite crear emails de phishing perfectos en cualquier idioma, sin errores gramaticales (el signo clásico de detección), personalizados con información del objetivo extraída de LinkedIn y redes sociales, y escalados a millones de mensajes distintos simultáneamente. Los ataques de deepfake phishing ya generaron transferencias millonarias.

¿Qué hago si hice clic en un link de phishing?

Pasos inmediatos: 1) No ingreses credenciales si aún no lo hiciste. 2) Si ya las ingresaste, cambia la contraseña inmediatamente en el sistema real y en cualquier otro lugar donde uses la misma contraseña. 3) Activa MFA si aún no lo tienes. 4) Reporta a tu equipo de TI y al banco si fue relacionado con cuentas financieras. 5) Monitorea movimientos inusuales.

¿Es responsabilidad de la empresa o del empleado cuando el phishing funciona?

Legalmente y éticamente, la empresa es responsable de proporcionar capacitación adecuada, herramientas técnicas (filtros anti-phishing, MFA) y políticas claras. Un empleado que no fue capacitado y es víctima de spear phishing sofisticado no debería asumir la culpa. La ciberseguridad es un problema sistémico, no individual.

Recursos relacionados

  • Ciberseguridad — el campo que engloba la defensa contra phishing
  • Ransomware — phishing es el vector de entrada más común para ransomware
  • IA Generativa — cómo la IA amplifica la sofisticación de ataques de phishing
  • Fintech — sector más atacado por phishing financiero en LATAM
Categorías

Actualidad

Columnas

Glosario

Convocatorias

Educación y Aprendizaje

Por País

Chile

México

Colombia

Perú

España

Audiovisual

Pódcast El Ecosistema Startup

Pódcast Comunica Mejor Vende Más

Podcast Es la Hora de Aprender

Compañía

Sobre Nosotros

Newsletter

Blog Cristian Tala

Contacto

Comunidad Skool

Nuestras Redes

© El Ecosistema Startup. Todos los derechos reservados.

Políticas de privacidad | Términos de uso

📡 El Daily Shot Startupero

Noticias del ecosistema startup en 2 minutos. Gratis, cada día hábil.


Share to...
BufferCopyFlipboardHacker NewsLineLinkedInMastodonMessengerMixPinterestPrintRedditSMSTelegramTumblrVKWhatsAppXingYummly