Durante años, el phishing ha sido una de las técnicas más comunes de ataque. Lo que comenzó como correos mal escritos y enlaces sospechosos, ha evolucionado en una industria sofisticada que utiliza ingeniería social, inteligencia artificial y datos públicos para engañar incluso a los usuarios más entrenados.
Hoy, los ataques de phishing ya no se limitan al clásico “su cuenta ha sido comprometida”. Los atacantes ahora personalizan mensajes basados en el cargo de la persona, su industria, e incluso los eventos recientes de su empresa. Esto se conoce como spear phishing, y puede ser extremadamente difícil de detectar, incluso para profesionales de TI.
Otra técnica moderna es el uso de dominios falsos casi idénticos al original, lo que se conoce como typosquatting o homograph attacks. Un simple cambio de una letra o el uso de caracteres de otros alfabetos puede engañar al ojo humano. Si a esto le sumamos sitios web clonados con certificados HTTPS válidos, la trampa es casi perfecta.
También han surgido ataques a través de plataformas más allá del correo: mensajes de texto (smishing), llamadas telefónicas automatizadas (vishing) y hasta mensajes en apps de mensajería empresarial como Slack o Teams. La diversificación del canal hace que muchas veces el usuario no sospeche porque no espera un engaño en esos contextos.
Lo más preocupante es que muchos de estos ataques se apoyan en datos reales: nombres de compañeros de trabajo, logos auténticos, lenguaje corporativo. En algunos casos, incluso se utilizan voces sintéticas para simular llamadas de directivos, generadas por IA con muestras públicas de su voz. El engaño es tan preciso que incluso empleados capacitados pueden caer.
¿Cómo defenderse? La respuesta no está solo en herramientas técnicas, sino en generar una cultura de sospecha informada. Validar siempre la fuente, desconfiar de lo urgente, y nunca hacer clic o compartir información sin verificar. Capacitar una vez al año ya no es suficiente; hoy se requiere entrenamiento continuo, simulaciones frecuentes y comunicación clara.
Las organizaciones también deben implementar capas de protección adicionales: detección de anomalías, análisis de comportamiento, autenticación multifactor y monitoreo de dominios similares al corporativo. Todo esto suma barreras contra un enemigo cada vez más hábil.
En TBSEK ayudamos a empresas a adaptarse a este nuevo panorama. Diseñamos entrenamientos personalizados, campañas de phishing controlado y estrategias de defensa que evolucionan junto con las amenazas.
¿Estás seguro de que tus usuarios pueden identificar un phishing moderno? Tal vez sea hora de ponerlo a prueba. Contáctanos y te mostramos cómo.
Acciones inmediatas
- Realiza simulaciones de phishing avanzadas dentro de tu organización para evaluar la respuesta de los usuarios.
- Actualiza tus entrenamientos de concienciación al menos cada trimestre, con ejemplos reales y actuales.
- Implementa alertas de detección de dominios parecidos al tuyo (homograph/typosquatting).
- Refuerza políticas de verificación antes de compartir información sensible, especialmente por correo o mensajería.
- Considera herramientas de análisis de comportamiento que detecten patrones anómalos en la actividad del usuario.
