Qué es el phishing y por qué es la puerta de entrada más común a los ciberataques

Si en los últimos meses has recibido un correo del banco pidiéndote verificar tu cuenta, una notificación de Hacienda con un enlace para consultar una gestión pendiente o un mensaje de un proveedor solicitando un cambio de datos bancarios, has estado cerca de un ataque de phishing. Puede que lo detectaras, puede que no. En 2026, la diferencia entre un correo legítimo y uno fraudulento ya no está en las faltas de ortografía ni en el diseño chapucero: está en detalles técnicos que la mayoría de las personas no saben dónde buscar. España ocupa el cuarto lugar mundial por detecciones de adjuntos maliciosos en correo, con un 8% del total global según datos de Kaspersky. Para las pymes españolas, que concentran más del 70% de los objetivos de los ciberataques, entender qué es el phishing y cómo funciona hoy no es opcional.

Qué es exactamente el phishing

El phishing es una técnica de engaño mediante la cual un atacante se hace pasar por una entidad de confianza —un banco, Hacienda, Microsoft, un proveedor, incluso un compañero de trabajo— para conseguir que la víctima realice una acción: hacer clic en un enlace, introducir sus credenciales en una web falsa, descargar un archivo malicioso o autorizar una transferencia.

El nombre viene del inglés fishing —pescar— porque la mecánica es exactamente esa: lanzar un anzuelo convincente y esperar a que alguien pique. La diferencia con la pesca real es que en el phishing el anzuelo se lanza a miles de destinatarios simultáneamente, y con que uno solo caiga, el ataque puede haber tenido éxito.

Lo que distingue al phishing de otros tipos de ataque es que no necesita explotar vulnerabilidades técnicas en los sistemas. No busca un fallo en el software ni en el servidor. Busca un fallo humano: la prisa, la confianza, la falta de atención en un momento de distracción. Por eso es tan efectivo y por eso ningún sistema de seguridad técnico puede bloquearlo al cien por cien.

Cómo funciona un ataque de phishing en la práctica

Un ataque de phishing típico sigue una secuencia sencilla. Primero, el atacante elige el anzuelo: una notificación bancaria, un aviso de entrega de paquete, una alerta de seguridad de Microsoft 365, una factura de un proveedor. Segundo, construye una comunicación que imita visualmente a la entidad legítima: mismo logo, mismos colores, mismo tono. Tercero, incluye un elemento de urgencia —"su cuenta será bloqueada en 24 horas", "confirme sus datos antes del viernes"— para que el destinatario actúe sin pensar. Cuarto, el enlace dirige a una web fraudulenta donde se capturan las credenciales, o el adjunto instala malware al abrirse.

En 2026, esta secuencia se ejecuta con una precisión nueva. Los modelos de lenguaje con inteligencia artificial permiten generar correos perfectamente redactados, sin errores, en el idioma y el tono exacto de la organización suplantada. Un estudio de la Universidad de Oxford constató que los correos de phishing generados con IA logran hasta un 60% más de clics que el phishing tradicional. El resultado es que las señales clásicas de alerta —ortografía deficiente, lenguaje incoherente, diseño tosco— han desaparecido de los ataques más sofisticados.

El phishing dirigido: cuando el anzuelo lleva tu nombre

Existe una variante más peligrosa que el phishing masivo: el spear phishing, o phishing dirigido. En lugar de enviar el mismo correo a miles de personas, el atacante investiga previamente a la víctima —su cargo, sus proyectos recientes, los nombres de sus compañeros, sus proveedores habituales— y construye un mensaje específicamente diseñado para ella. En 2026 se han documentado casos de phishing dirigido que suplantaban a directores financieros para conseguir que empleados autorizasen transferencias bancarias fraudulentas, usando referencias internas reales que solo podían conocerse investigando el perfil público de la empresa.

Las formas que adopta el phishing hoy

El correo electrónico sigue siendo el canal principal, pero los atacantes han diversificado para esquivar los filtros corporativos. En 2026 hay que tener en cuenta al menos tres variantes adicionales.

El smishing funciona exactamente igual que el phishing por correo, pero llega por SMS. Es especialmente efectivo porque los mensajes de texto generan una sensación de inmediatez mayor, los móviles tienen menos capas de protección que un ordenador corporativo, y el usuario suele leerlos fuera del contexto de trabajo donde estaría más alerta.

El vishing —phishing por voz— combina SMS o correo con una llamada telefónica. Una red criminal desarticulada recientemente en España enviaba 1.000 SMS de phishing por minuto y a continuación llamaba a las víctimas haciéndose pasar por su banco para obtener los códigos de verificación de segundo factor, llegando a defraudar casi 2 millones de euros. Con la clonación de voz mediante IA, hoy es posible falsificar la voz de un directivo con una muestra de audio pequeña, lo que convierte las llamadas en un vector de ataque que ya no puede validarse solo por reconocer la voz.

El QRishing usa códigos QR maliciosos incrustados en correos o mensajes. El problema técnico es que los filtros antiphishing analizan URLs en texto plano, no imágenes: un QR codificado en una imagen pasa desapercibido para la mayoría de las pasarelas de seguridad corporativa. El usuario lo escanea desde el móvil, fuera del entorno protegido de la empresa, y acaba en una web fraudulenta. El uso malicioso de QR creció un 400% entre 2023 y 2025 según Abnormal Security.

Qué puede hacer tu empresa para reducir el riesgo

Ninguna medida elimina el riesgo al cien por cien, pero tres acciones concretas reducen drásticamente la superficie de ataque.

La primera es activar la autenticación multifactor (MFA) en todos los accesos corporativos. Si un empleado cae en un phishing y entrega su contraseña, el MFA impide que el atacante pueda usarla: necesita también el segundo factor, que no tiene. Según datos de Microsoft, el MFA frena el 99,22% de los intentos de compromiso de cuentas basados en credenciales robadas. Es la medida con mayor retorno por esfuerzo invertido.

La segunda es configurar correctamente el dominio de correo de la empresa con SPF, DKIM y DMARC. Estas tres siglas técnicas tienen un efecto práctico concreto: impiden que atacantes puedan enviar correos que parezcan provenir del dominio legítimo de tu empresa. Protege a tus clientes y proveedores de recibir phishing en tu nombre, y protege la reputación del dominio.

• Verificar siempre el dominio real del remitente, no solo el nombre visible.
• Pasar el cursor sobre cualquier enlace antes de hacer clic para ver la URL real.
• Tratar los códigos QR recibidos por correo o mensaje como enlaces desconocidos.
• No facilitar credenciales ni códigos OTP por teléfono, aunque la llamada parezca legítima.
• Ante cualquier duda, contactar directamente con la entidad a través de su número oficial.

La tercera es la formación práctica del equipo. No un módulo de cumplimiento anual, sino simulacros periódicos con correos de phishing de prueba enviados internamente, seguidos de retroalimentación inmediata. Eso permite identificar qué perfiles son más vulnerables y actualizar el entrenamiento a las tácticas actuales. Una cultura de escepticismo sano ante cualquier comunicación inesperada —verificar antes de hacer clic, preguntar antes de autorizar— es más valiosa que cualquier herramienta técnica.

El phishing funciona porque es barato de lanzar, difícil de detectar y muy efectivo cuando encuentra a alguien sin preparación. La buena noticia es que las defensas básicas —MFA, DMARC, formación— son también las más accesibles. La brecha entre las pymes que sufren incidentes y las que los evitan rara vez está en la sofisticación de sus sistemas: está en si tienen o no los fundamentos en orden.