Ir al contenido principal

Cómo protegerte de los ataques de phishing

El phishing es la causa #1 del robo de cuentas. Cómo funciona el phishing moderno, señales de alerta y defensas que realmente detienen los ataques.

Última actualización: 14 de abril de 2026

Resumen

  • El phishing es la causa #1 de los robos de cuentas: los atacantes te engañan para que entregues tus credenciales en un sitio falso.
  • Los kits de phishing modernos clonan páginas de inicio de sesión con precisión perfecta y reenvían tus códigos 2FA en tiempo real.
  • Las llaves de seguridad físicas (YubiKey, FIDO2) son la única defensa diseñada para ser resistente al phishing.
  • Los gestores de contraseñas te protegen al negarse a autocompletar en dominios incorrectos.
  • Verifica el dominio exacto antes de escribir tus credenciales y nunca inicies sesión desde un enlace en un correo electrónico.

¿Qué es el phishing?

El phishing es un ataque de ingeniería social en el que un atacante crea una copia convincente de un sitio web legítimo —a menudo con una fidelidad perfecta al píxel— y engaña a la víctima para que introduzca sus credenciales allí. En el momento en que la víctima envía el formulario, el atacante captura el nombre de usuario, la contraseña y cualquier segundo factor, y los utiliza para tomar el control de la cuenta real en cuestión de segundos.

La palabra proviene de la metáfora de "pescar" víctimas con un anzuelo (generalmente un correo electrónico). La ortografía cambió para enfatizar que los atacantes suelen usar números de phone (phishing por SMS, o "smishing") e infraestructura de apariencia profesional.

Por qué el phishing sigue siendo la amenaza #1

La mayoría de las grandes vulneraciones de cuentas actuales no implican piratería informática, descifrado de contraseñas ni evasión del cifrado. Implican a una persona escribiendo su contraseña en un sitio falso. El phishing es:

  • Económico — un atacante puede enviar millones de correos electrónicos por el costo de un VPS y un dominio falsificado
  • Difícil de filtrar — los kits modernos rotan dominios, usan alojamiento legítimo y se adaptan a los filtros en tiempo real
  • Eficaz — incluso los usuarios concienciados con la seguridad caen ante intentos dirigidos bien elaborados (spear phishing)
  • Escalable — un único ataque de phishing exitoso suele dar acceso a decenas de servicios conectados a través de la reutilización de contraseñas

El Informe de Investigaciones de Brechas de Datos de Verizon 2024 determinó que el phishing fue el vector de acceso inicial en más del 36 % de todas las brechas — más que cualquier otra causa individual.

Cómo funciona el phishing moderno

El phishing ha evolucionado mucho más allá de los correos del "príncipe nigeriano" de los años 2000. Un ataque de phishing moderno incluye típicamente:

1. Un señuelo convincente

Por lo general, un correo electrónico, mensaje de texto o de chat que genera urgencia ("Tu cuenta será suspendida"), autoridad ("Equipo de seguridad de Microsoft") o curiosidad ("Alguien te etiquetó en una foto"). El spear phishing va más allá incorporando datos personales extraídos de LinkedIn, bases de datos de brechas o correspondencia previa.

2. Un sitio falso con fidelidad perfecta al píxel

Los atacantes utilizan kits de phishing listos para usar que clonan el HTML, CSS y JavaScript del sitio objetivo. Muchos kits se venden como servicio (phishing-as-a-service), con paneles de control funcionales y soporte al cliente.

3. Un proxy en tiempo real para el 2FA

La parte peligrosa: los kits modernos no solo capturan tu contraseña. Actúan como un proxy de intermediario que reenvía todo lo que escribes —incluido tu código TOTP— al sitio real en cuestión de segundos, eludiendo la mayoría del 2FA. Esta técnica se denomina adversario en el medio (AiTM, por sus siglas en inglés) y se utiliza en herramientas como Evilginx2 y Modlishka.

4. Robo de token de sesión

Una vez que te autenticas a través del proxy, el atacante captura tu cookie de sesión y puede usarla para mantenerse conectado incluso después de que cambies tu contraseña. Por eso la respuesta ante un phishing siempre incluye revocar las sesiones activas, no solo cambiar la contraseña.

Qué detiene realmente el phishing

Llaves de seguridad físicas (FIDO2 / WebAuthn)

Esta es la única categoría de defensa resistente al phishing por diseño. Cuando inicias sesión con una llave FIDO2, esta verifica criptográficamente el dominio exacto del sitio que solicita la autenticación. Un sitio falso —sin importar lo visualmente perfecto que sea— tiene un dominio diferente, por lo que la llave se niega a responder. El intercambio criptográfico simplemente no se completa.

Google estableció de forma notable el uso obligatorio de YubiKeys para sus más de 85 000 empleados en 2017 y reportó cero ataques de phishing exitosos en las cuentas corporativas durante los años siguientes.

Passkeys

Las passkeys son la evolución orientada al consumidor de FIDO2. Utilizan la misma criptografía vinculada al dominio y están integradas en iOS, Android, macOS y Windows. Si un sitio que usas admite passkeys, habilitarlas hace que esa cuenta sea resistente al phishing.

Gestores de contraseñas

Un gestor de contraseñas es tu segunda línea de defensa porque solo autocompleta las credenciales en el dominio exacto donde fueron guardadas. Si llegas a paypaI.com (con I mayúscula) en lugar de paypal.com, tu gestor se niega silenciosamente a completar el formulario. Esa negativa es una señal de alerta contundente de que algo está mal.

Filtrado de correo electrónico y DNS

Los proveedores de correo electrónico utilizan DMARC, SPF y DKIM para detectar direcciones de remitente falsificadas. La mayoría de los proveedores modernos detectan los intentos obvios, pero los ataques dirigidos siguen colándose. Activa los botones de "reportar phishing" en tu cliente de correo para ayudar a mejorar los filtros.

Señales de alerta a las que prestar atención

Cuando recibas un mensaje pidiéndote que inicies sesión, verifiques algo o actúes con urgencia:

  • Urgencia y amenazas — "Tu cuenta se cerrará en 24 horas"
  • Saludos genéricos — "Estimado cliente" en lugar de tu nombre
  • Dominios similarespaypaI.com, app1e.com, secure-microsoft-login.net
  • Archivos adjuntos inesperados — especialmente archivos .zip, .html o .pdf que te piden iniciar sesión para verlos
  • Errores gramaticales o de formato — las grandes empresas revisan sus correos electrónicos
  • Discrepancia en el enlace — pasa el cursor sobre el enlace y comprueba si el destino coincide con el texto

Si algo te parece raro, cierra el correo. Navega al sitio manualmente. Si hay un problema real, lo verás cuando inicies sesión a través de tu flujo de trabajo habitual.

Qué hacer si caíste en uno

Actúa rápidamente: la velocidad importa porque los atacantes comienzan a usar las credenciales en cuestión de minutos.

  1. Cambia la contraseña de inmediato desde un dispositivo diferente (tu teléfono, por ejemplo, si caíste en la trampa desde tu portátil)
  2. Revoca todas las sesiones activas en la configuración de la cuenta — esto expulsa a cualquiera que esté usando tokens de sesión robados
  3. Activa el 2FA si aún no estaba habilitado, y usa una llave física o passkey si es posible
  4. Revisa si hay actividad no autorizada — correos enviados, inicios de sesión recientes, cambios en la facturación, nuevas reglas de reenvío
  5. Notifica a la institución afectada si se trata de una cuenta financiera o laboral
  6. Revisa otras cuentas que usaran la misma contraseña — incluso si estás seguro de no reutilizar contraseñas, compruébalo

Conclusión

El phishing prospera porque elude la tecnología y apunta a las personas. Las mejores defensas combinan tres capas: gestores de contraseñas (que se niegan a autocompletar en dominios incorrectos), 2FA resistente al phishing (llaves físicas o passkeys vinculadas al dominio real) y escepticismo saludable (nunca inicies sesión desde un enlace en un correo electrónico).

Activa las tres en tu cuenta más importante —tu correo electrónico— primero. A partir de ahí, el resto de tu vida digital se vuelve significativamente más segura.

Cómo protegerte del phishing

Una lista de verificación práctica y ordenada para reforzar tus cuentas contra los ataques de phishing.

  1. Usa un gestor de contraseñas:Instala un gestor de contraseñas de confianza (1Password, Bitwarden, Proton Pass) y permite que autocomplete tus credenciales. Se negará a autocompletar en dominios similares pero falsos, funcionando como un detector de phishing integrado.
  2. Activa el 2FA resistente al phishing:Añade una llave física FIDO2 (YubiKey, Google Titan) o una passkey a tus cuentas más importantes; primero el correo electrónico, luego la banca, el almacenamiento en la nube y el gestor de contraseñas. Estos son los únicos métodos de 2FA que realmente detienen el phishing moderno.
  3. Nunca inicies sesión desde enlaces en correos electrónicos:Cuando recibas un correo pidiéndote que inicies sesión, ciérralo y navega al sitio manualmente mediante un marcador o escribiendo la URL. El enlace del correo podría ser un clon perfecto; el marcador en tu navegador no lo es.
  4. Verifica el dominio exacto antes de escribir:Antes de ingresar cualquier contraseña, comprueba la URL completa en la barra de direcciones. Busca https, la ortografía correcta y que no haya subdominios adicionales como paypal.com.secure-login.net.
  5. Reporta y continúa:Reporta el intento de phishing a tu proveedor de correo electrónico (la mayoría tiene un botón "Reportar phishing"). Luego sigue con tu día; el phishing solo es peligroso si caes en él, y la concienciación es la mayor parte de la batalla.

Preguntas Frecuentes