+34 919 01 50 46

whatsapp (1)
at

Aula Virtual

Qué es el phishing: tipos, ejemplos y cómo protegerse

| Última modificación: 18 de mayo de 2026 | Tiempo de Lectura: 9 minutos
Premios Blog KeepCoding 2025
Montana Martín López
Montana Martín López

Especialista en tecnología y formación digital, con foco en el desarrollo de talento y el análisis del sector tecnológico. Mi trabajo se centra en entender cómo evolucionan las tecnologías, qué competencias demanda el mercado y cómo se produce la transición real hacia el entorno tech.

El phishing es el ciberataque más utilizado del mundo y también el más efectivo. No porque sea el más sofisticado técnicamente, sino porque ataca el punto más vulnerable de cualquier sistema de seguridad: la persona que lo usa.

El 68% de las organizaciones sufrieron un ciberataque en los últimos doce meses, siendo el phishing el vector de ataque más frecuente según el informe de Tendencias de Seguridad Híbrida de Netwrix.

En España, el INCIBE gestionó 83.517 incidentes de ciberseguridad, con el phishing y la suplantación de identidad entre los principales protagonistas. Y el coste medio de una brecha de datos causada por phishing supera los 4,45 millones de dólares según el IBM Cost of a Data Breach Report.


Esta guía explica qué es el phishing, cómo funciona técnicamente, sus tipos, cómo reconocerlo y cómo protegerse con herramientas reales.

Qué es el phishing

El phishing es un tipo de ciberataque basado en ingeniería social. El atacante se hace pasar por una persona u organización de confianza un banco, una empresa de mensajería, un servicio como Netflix o la Agencia Tributaria para engañar a la víctima y conseguir que revele información confidencial o ejecute una acción que beneficia al atacante.

El nombre viene del inglés fishing (pescar), con la sustitución de la «f» por «ph» en referencia a los primeros hackers de los años 70. La metáfora es precisa: el atacante lanza un anzuelo (el mensaje fraudulento) a muchas víctimas potenciales y espera a que alguna pique.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

A diferencia de otros ciberataques que explotan vulnerabilidades técnicas del software, el phishing explota vulnerabilidades humanas: la confianza, la urgencia, el miedo y el hábito de hacer clic en enlaces sin verificar.

Por eso funciona en cualquier sistema operativo y en cualquier dispositivo, independientemente de sus medidas de seguridad técnica.

Lo que el phishing busca conseguir varía según el objetivo del atacante:

  • Credenciales de acceso a cuentas bancarias, correo o redes sociales
  • Datos de tarjetas de crédito o información financiera
  • Instalar malware o ransomware en el dispositivo de la víctima
  • Acceso a sistemas corporativos para espionaje o sabotaje
  • Transferencias bancarias fraudulentas

Cómo funciona un ataque de phishing

phishing

Un ataque de phishing tiene una secuencia bien definida que los profesionales de ciberseguridad denominan kill chain. Entender cada fase es fundamental para saber dónde se puede romper la cadena.

Fase 1: Reconocimiento

El atacante identifica a sus víctimas y recopila información sobre ellas. En el phishing masivo esto es mínimo: simplemente se compran listas de emails o se extraen de filtraciones de datos. En el spear phishing el reconocimiento es exhaustivo: LinkedIn, redes sociales, noticias sobre la empresa, organigramas públicos.

Fase 2: Preparación del señuelo

El atacante construye el mensaje fraudulento y la infraestructura del ataque. Esto incluye registrar un dominio que imita al legítimo (por ejemplo, banco-santander.net en lugar de bancosantander.es), crear una página web falsa visualmente idéntica a la original y configurar el envío masivo del mensaje.

Aquí es donde entran en juego los phishing kits: paquetes de software listos para usar que incluyen la réplica de una web legítima, el panel de control para gestionar las credenciales robadas y las instrucciones de despliegue. Reducen la barrera técnica de entrada para cualquier atacante.

Fase 3: Distribución

El mensaje llega a la víctima. El canal más frecuente es el correo electrónico, pero también se usa SMS (smishing), llamadas telefónicas (vishing), mensajes en redes sociales o aplicaciones de mensajería como WhatsApp.

Fase 4: Engaño y captura

La víctima hace clic en el enlace, introduce sus datos en la página falsa o descarga el archivo adjunto malicioso. En este momento el atacante tiene lo que buscaba: las credenciales se registran en tiempo real en el panel de control del phishing kit.

Fase 5: Explotación

El atacante usa las credenciales capturadas para acceder a las cuentas reales de la víctima. Dependiendo del objetivo: vaciado de cuentas bancarias, venta de credenciales en mercados de la dark web, uso del acceso corporativo para moverse lateralmente dentro de la red de la empresa o desplegar ransomware.

Tipos de phishing

Phishing por correo electrónico

Es el tipo más extendido. El atacante envía correos masivos que imitan comunicaciones legítimas de bancos, servicios online, Hacienda o empresas de mensajería. El objetivo es que la víctima haga clic en un enlace que la lleva a una página falsa donde introduce sus datos.

La clave del reconocimiento está en el remitente: aunque el nombre visible parezca legítimo, la dirección real del email suele tener inconsistencias como dominios distintos al oficial o caracteres modificados.

Spear phishing

Es la variante más peligrosa y efectiva. El ataque está personalizado para una víctima concreta: el mensaje menciona su nombre, su empresa, su cargo o incluso conversaciones recientes. La tasa de éxito del spear phishing es significativamente mayor que la del phishing masivo porque el mensaje parece genuinamente dirigido al destinatario.

Para entender en profundidad cómo funciona esta variante y cómo los atacantes construyen sus ataques dirigidos, el artículo sobre qué es el spear phishing lo explica con ejemplos reales y técnicas de detección.

Smishing

Phishing por SMS. Los mensajes suelen incluir una URL acortada que lleva a una página maliciosa y crear urgencia con mensajes como «Tu paquete está retenido. Haz clic para liberar el envío» o «Tu tarjeta ha sido bloqueada. Verifica tu identidad ahora».

El smishing tiene una tasa de apertura muy alta porque la gente tiende a confiar más en los SMS que en los correos electrónicos. Los mensajes son cortos y la URL acortada dificulta la verificación antes de hacer clic.

Vishing

Phishing por voz. El atacante llama a la víctima haciéndose pasar por el soporte técnico de una empresa, un banco o incluso la policía. Usa información previamente recopilada de redes sociales o filtraciones para parecer creíble y consigue que la víctima revele datos bancarios, contraseñas o instale software de acceso remoto.

Whaling

Phishing dirigido específicamente a directivos de alto nivel: CEOs, CFOs, directores de IT. El objetivo suele ser conseguir autorización para transferencias bancarias fraudulentas o acceso a sistemas corporativos críticos. Los correos de whaling están extremadamente bien elaborados y a menudo imitan comunicaciones internas entre ejecutivos.

Clone phishing

El atacante toma un email legítimo que la víctima ha recibido previamente (una factura, una notificación de un servicio) y crea una copia idéntica pero con los enlaces o adjuntos sustituidos por versiones maliciosas. El mensaje parece una continuación natural de la comunicación original.

Phishing impulsado por IA

Es la variante emergente que más preocupa a los especialistas en ciberseguridad. Los modelos de lenguaje permiten generar mensajes de phishing personalizados a escala, sin errores gramaticales, en cualquier idioma y adaptados al estilo de comunicación de la organización objetivo. Para entender el alcance y las técnicas concretas de esta amenaza, el artículo sobre phishing impulsado por IA analiza los métodos más recientes y cómo protegerse.

Tipos de phishing: resumen comparativo
Tipo Canal Objetivo Nivel de sofisticación
Phishing masivo Email Víctimas indiscriminadas Bajo
Spear phishing Email personalizado Persona u organización concreta Alto
Smishing SMS Usuarios móviles Medio
Vishing Llamada telefónica Individuos y empresas Medio-alto
Whaling Email ejecutivo Alta dirección Muy alto
Clone phishing Email clonado Usuarios de servicios conocidos Medio
Phishing con IA Multicanal Masivo y personalizado simultáneamente Muy alto

Cómo reconocer un ataque de phishing

La detección temprana es la primera línea de defensa. Hay señales de alerta que, una vez conocidas, permiten identificar la mayoría de los intentos de phishing antes de que causen daño.

Señales en el correo electrónico

  • Remitente con dominio sospechoso. Aunque el nombre visible parezca legítimo, la dirección real puede ser algo como [email protected] o [email protected]. Un carácter extra, un guion añadido o un dominio diferente al oficial son señales claras.
  • Urgencia exagerada. Mensajes que presionan a actuar en las próximas horas para evitar el bloqueo de una cuenta, la cancelación de un envío o una multa. La urgencia artificial impide que la víctima tome tiempo para reflexionar.
  • Enlace que no corresponde al dominio oficial. Pasar el cursor sobre el enlace (sin hacer clic) muestra la URL real de destino. Si no coincide con el dominio legítimo de la organización que supuestamente envía el mensaje, es phishing.
  • Solicitud de datos confidenciales. Las organizaciones legítimas nunca piden contraseñas, datos completos de tarjeta o códigos de verificación por correo electrónico o SMS.
  • Archivos adjuntos no solicitados. Especialmente archivos .exe, .zip, .docm, .xlsm o PDFs con macros activas de fuentes no esperadas.

Para ver ejemplos visuales reales de correos de phishing con análisis de cada señal, el artículo sobre ejemplos de phishing muestra casos documentados con capturas reales.

Señales en dominios y URLs

Los atacantes registran dominios que imitan a los legítimos usando técnicas como typosquatting (errores tipográficos), homoglyphs (caracteres visualmente similares de otros alfabetos) o subdominios engañosos. La detección de estos dominios maliciosos antes de que lleguen a las víctimas es una disciplina en sí misma.

Herramientas como DNStwist permiten a los equipos de seguridad generar variaciones del dominio de su organización e identificar cuáles ya están registradas por terceros, anticipando posibles ataques de phishing antes de que se produzcan.

El artículo sobre cómo detectar phishing domains explica el proceso completo con herramientas y metodología práctica.

Cómo protegerse del phishing

La protección frente al phishing es una combinación de medidas técnicas, organizativas y de concienciación. Lo que hemos comprobado formando profesionales en ciberseguridad es que las empresas que solo implementan controles técnicos sin trabajar la concienciación siguen siendo vulnerables, porque el phishing ataca al factor humano.

Medidas técnicas

  • Autenticación multifactor (MFA). Es la medida con mayor impacto en la reducción de daño por phishing. Aunque el atacante consiga las credenciales, sin el segundo factor no puede acceder a la cuenta. Activar MFA en todas las cuentas importantes es el primer paso.
  • Gestor de contraseñas. Los gestores de contraseñas no autocompletan credenciales en dominios que no coinciden con el registrado. Es una protección automática contra las páginas falsas de phishing.
  • DMARC, SPF y DKIM. Para las organizaciones, configurar correctamente estos protocolos de autenticación de email evita que los atacantes puedan suplantar el dominio corporativo en el envío de correos fraudulentos.
  • Filtros antiphishing. Los clientes de correo corporativo modernos incluyen filtros que detectan y bloquean correos con características de phishing. Mantenerlos activos y actualizados reduce significativamente el número de mensajes maliciosos que llegan a las bandejas de entrada.
  • Verificación de URLs. Antes de introducir cualquier dato en una página web llegada por enlace, verificar que la URL coincide exactamente con el dominio oficial de la organización y que usa HTTPS.

Simulación y formación

Las organizaciones más maduras en ciberseguridad realizan ejercicios periódicos de phishing simulado: envían correos de phishing controlados a sus propios empleados para medir la tasa de clics y proporcionar formación inmediata a quienes pican.

La herramienta más usada para estos ejercicios es GoPhish, un framework open source que permite diseñar campañas de phishing simulado, gestionar el envío y recopilar métricas detalladas de la respuesta de los empleados.

Es también una herramienta fundamental en la formación de pentesters y especialistas en ciberseguridad ofensiva.

Referencia institucional: El INCIBE (Instituto Nacional de Ciberseguridad de España) publica guías actualizadas sobre cómo detectar y denunciar intentos de phishing en incibe.es. También gestiona la línea de ayuda en ciberseguridad 017, gratuita y disponible para ciudadanos y empresas.

El phishing impulsado por IA: la amenaza emergente

La inteligencia artificial ha cambiado la escala y la calidad de los ataques de phishing de forma significativa. Los modelos de lenguaje permiten generar mensajes personalizados a escala industrial, sin los errores gramaticales que históricamente servían como señal de alerta, en cualquier idioma y adaptados al tono de comunicación de la organización objetivo.

Un atacante con acceso a un modelo de lenguaje puede generar miles de correos de spear phishing personalizados en el tiempo que antes tardaba en escribir uno solo. La barrera de la personalización, que antes limitaba el spear phishing a objetivos de alto valor, ha desaparecido.

Además, la IA permite construir chatbots de vishing más convincentes, generar deepfakes de audio que imitan la voz de directivos para autorizar transferencias y analizar grandes volúmenes de datos de redes sociales para construir perfiles de víctimas con detalle inusual.

Para entender en profundidad las técnicas específicas del phishing con IA y cómo adaptar las defensas, el artículo sobre qué es el phishing impulsado por IA analiza el estado actual de la amenaza con ejemplos documentados.

Por qué el phishing sigue siendo el ataque más efectivo

Con todo el avance en herramientas de detección y filtros antiphishing, sigue siendo el vector de ataque preferido de los ciberdelincuentes. La razón es que ataca un vector que no se puede parchear con una actualización de software: la confianza humana.

Un usuario que recibe un correo de su «banco» diciéndole que su cuenta ha sido comprometida y que debe verificar sus datos inmediatamente activa respuestas emocionales que anulan el pensamiento crítico: miedo, urgencia y la sensación de que actuar rápido evita un daño mayor.

Eso no se resuelve con tecnología sola. Se resuelve combinando tecnología con concienciación continua, simulación de ataques y cultura de seguridad dentro de las organizaciones.

Conoce la historia de Javier Hernández
«

Javier había pasado por todo tipo de trabajos temporales antes de dar el salto a la ciberseguridad. Siempre le había llamado la atención el mundo de la seguridad informática, pero lo veía como algo que hacía por hobby, no como una carrera profesional.

Cuando decidió que quería hacerlo en serio, buscó una formación con profesores en activo que le enseñara cómo se trabaja realmente en el sector, no solo en entornos de práctica. Siete meses después de terminar el Bootcamp de Ciberseguridad de KeepCoding estaba trabajando como profesional en el sector. Lo que más le sorprendió fue la amplitud del campo: «El mayor reto fue la combinación de trabajar con estudiar, así como algunos proyectos de módulos que al ser totalmente nuevos para mí me costó completarlos».

«
Leer el caso de éxito completo de Javier Hernández

Cómo especializarte en ciberseguridad

El phishing es uno de los vectores de ataque más estudiados en la formación de especialistas en ciberseguridad. Entenderlo desde la perspectiva del atacante cómo se construye un phishing kit, cómo se configura una campaña de spear phishing, cómo se detectan dominios maliciosos con DNStwist es parte esencial del trabajo de un pentester o un analista de seguridad ofensiva.

Y entenderlo desde la perspectiva defensiva cómo se configura DMARC, cómo se diseña un programa de concienciación efectivo, cómo se usan herramientas como GoPhish para medir la resiliencia de una organización es parte del trabajo de un analista Blue Team o un responsable de seguridad corporativa.

Sobre el Bootcamp de Ciberseguridad de KeepCoding: El programa cubre los dos lados del campo: ofensivo y defensivo. Los alumnos aprenden a construir y detectar ataques reales, incluyendo campañas de phishing, en entornos controlados. Los profesores son especialistas en activo con proyectos reales en empresas del sector. El programa dura 7 meses y tiene una tasa de empleabilidad del 100% entre los alumnos que lo completan con éxito.

Si quieres especializarte en ciberseguridad con proyectos reales y mentoría de profesionales en activo, el Ciberseguridad Full Stack Bootcamp de KeepCoding cubre el recorrido completo desde los fundamentos hasta las técnicas avanzadas de ataque y defensa.


Conclusión

bootcamp ciberseguridad

El phishing es el ciberataque más extendido del mundo no porque sea el más sofisticado, sino porque explota el factor más difícil de securizar: el comportamiento humano bajo presión. La combinación de urgencia, suplantación de identidad y canales de confianza lo convierte en un vector efectivo para cualquier tipo de víctima.

Protegerse requiere tres capas simultáneas: medidas técnicas como MFA y DMARC, herramientas de detección como DNStwist para monitorizar dominios maliciosos, y concienciación continua mediante simulaciones reales con herramientas como GoPhish.

Y con la irrupción del phishing impulsado por IA, que elimina los marcadores históricos de calidad baja en los mensajes fraudulentos, esa combinación se vuelve más urgente que nunca.

Artículos que te pueden interesar

La guía de referencia más completa sobre phishing y cómo protegerse está disponible en el portal oficial del INCIBE, con recursos específicos para ciudadanos y empresas en España.

Noticias recientes del mundo tech

Fallo de software en control de vuelo

Fallo de software en control de vuelo detiene parte de la aviación global: lecciones para desarrolladores

Quiero saber más
Cómo hacer un menú de navegación en HTML

¿Cómo hacer un menú de navegación en HTML?

Quiero saber más
Lenguajes de programación

Lenguajes de programación: Los 10 más importantes

Quiero saber más
qué es un bootcamp

¿Qué es un bootcamp y cuáles son sus beneficios?

Quiero saber más

Arquitecto de 

Ciberseguridad

¡PONTE A PRUEBA!

¿Te gusta la ciberseguridad?

¿CREES QUE PUEDES DEDICARTE A ELLO?

Sueldos de hasta 80K | Más de 40.000 vacantes | Empleabilidad del 100%

arrow-icon-size3 🕵Haz el test y descubre si sirves para la Ciberseguridad🕵

Descárgate también el informe de tendencias en el mercado laboral 2026.

arrow-icon-size3 Descargar

IMPULSA TU CARRERA A TU MEDIDA

Fórmate con planes adaptados a tus objetivos y logra resultados en tiempo récord.
INFÓRMATE AQUÍ
KeepCoding Bootcamps
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.