Utilizamos cookies propias y de terceros para ofrecer nuestros servicios y recoger datos estadísticos. Continuar navegando implica su aceptación. Más información sobre la Política de Cookies

Aceptar

Tipos y ejemplos de phishing

26 / 04 / 2026

El phishing es la técnica de ingeniería social más utilizada por los ciberdelincuentes y, según los últimos informes del sector, está detrás de más del 80 % de los incidentes de seguridad que sufren las empresas. Conocer los tipos de phishing y los ejemplos reales más habituales es el primer paso para protegerse: desde el clásico correo fraudulento hasta variantes más sofisticadas como el spear phishing, el smishing o el whaling.

En esta guía de Océano IT te explicamos qué es el phishing, qué tipos existen, ejemplos reales que circulan actualmente y cómo prevenirlos en un entorno corporativo.

¿Qué es el phishing?

El phishing es un tipo de ciberataque basado en ingeniería social en el que el atacante suplanta la identidad de una entidad de confianza —un banco, una empresa, una administración pública o incluso un compañero de trabajo— para engañar a la víctima y conseguir que revele información sensible: credenciales, datos bancarios, datos personales o que ejecute una acción (descargar un archivo, hacer una transferencia, instalar malware).

El término procede del inglés fishing ("pescar"): el atacante lanza un cebo masivo o personalizado con la esperanza de que alguien "pique".

Dato clave: según el Phishing Activity Trends Report del Anti-Phishing Working Group (APWG), se detectan millones de ataques de phishing únicos cada trimestre a nivel mundial, siendo los sectores financiero, SaaS y e-commerce los más afectados.

Cómo funciona un ataque de phishing

Aunque cada variante tiene sus matices, casi todos los ataques de phishing siguen un patrón en cuatro fases:

  • Preparación: el atacante elige el objetivo (genérico o específico) y diseña el cebo: un correo, un SMS, una web falsa, un perfil suplantado, etc.
  • Distribución: envía el mensaje fraudulento a través del canal elegido (email, SMS, WhatsApp, llamada, redes sociales).
  • Engaño: la víctima cree que el mensaje es legítimo y realiza la acción solicitada: hace clic en un enlace, introduce sus credenciales, descarga un adjunto o ejecuta una transferencia.
  • Explotación: el atacante usa la información o el acceso obtenido para robar datos, suplantar identidades, instalar ransomware, vaciar cuentas o moverse lateralmente dentro de la red corporativa.

Tipos de phishing más comunes

No todos los ataques de phishing son iguales. Se clasifican según el canal que usan, el grado de personalización y el objetivo que persiguen. Estos son los tipos de phishing más relevantes que toda empresa debe conocer.

1. Phishing por correo electrónico (email phishing)

Es la variante más extendida y la más conocida. El atacante envía correos masivos suplantando a marcas reconocidas (bancos, plataformas de paquetería, redes sociales, servicios cloud) para que la víctima haga clic en un enlace que la lleva a una web falsa donde se le piden credenciales.

  • Cebo habitual: "Tu cuenta ha sido bloqueada", "Detectamos un acceso sospechoso", "Tu paquete no ha podido ser entregado".
  • Objetivo: robo de credenciales y datos bancarios.
  • Indicadores típicos: dominio del remitente ligeramente alterado, errores ortográficos, urgencia artificial, enlaces que no coinciden con el texto.

2. Spear phishing

A diferencia del phishing masivo, el spear phishing es dirigido y altamente personalizado. El atacante investiga previamente a la víctima (nombre, cargo, proyectos, compañeros) y construye un mensaje que parece totalmente verosímil.

  • Cebo habitual: un correo que parece venir de un proveedor real, con datos reales del proyecto en curso.
  • Objetivo: acceso a sistemas internos, robo de propiedad intelectual, fraude financiero.
  • Por qué es peligroso: los filtros antispam tradicionales no suelen detectarlo porque es un mensaje único y muy bien elaborado.

3. Whaling o caza de ballenas

Es una variante del spear phishing dirigida específicamente a altos cargos: CEO, CFO, directores generales, miembros del consejo. El atacante busca objetivos de alto valor capaces de autorizar grandes transferencias o que tengan acceso a información estratégica.

  • Cebo habitual: notificación legal falsa, citación judicial, comunicación urgente del consejo.
  • Objetivo: fraude financiero a gran escala o robo de información estratégica.

4. Smishing (phishing por SMS)

El smishing combina SMS y phishing. El atacante envía mensajes de texto suplantando a entidades como bancos, empresas de mensajería (Correos, MRW, DHL) o la Agencia Tributaria, con un enlace acortado que lleva a una web fraudulenta.

  • Cebo habitual: "Su paquete está retenido, pague la tasa de aduanas aquí", "Hemos detectado un cargo no autorizado".
  • Objetivo: robo de credenciales bancarias e instalación de aplicaciones maliciosas en el móvil.

5. Vishing (phishing por voz)

El vishing (voice phishing) se realiza por llamada telefónica. El atacante se hace pasar por un técnico de soporte, un empleado del banco o incluso un agente de la policía para que la víctima revele datos o instale software de control remoto.

  • Cebo habitual: "Le llamamos del departamento de fraude de su banco", "Soy técnico de Microsoft, hemos detectado un virus en su equipo".
  • Tendencia 2025-2026: uso creciente de voces clonadas con IA para suplantar a familiares o directivos.

6. Clone phishing

El atacante clona un correo legítimo que la víctima ha recibido previamente (una factura, una newsletter, una notificación) y reenvía una copia casi idéntica sustituyendo los enlaces o adjuntos por versiones maliciosas.

  • Por qué funciona: la víctima reconoce el formato y al remitente, lo que baja sus defensas.

7. Pharming

El pharming no necesita que la víctima haga clic en nada. El atacante manipula el sistema DNS o el archivo hosts del dispositivo para que, aunque el usuario teclee correctamente la URL de su banco, sea redirigido a una web falsa idéntica.

  • Vector habitual: routers domésticos vulnerables y malware en el equipo.
  • Por qué es peligroso: es prácticamente invisible para el usuario.

8. Angler phishing (redes sociales)

El angler phishing se da en redes sociales. El atacante crea perfiles falsos de soporte técnico de marcas conocidas (bancos, aerolíneas, plataformas) e intercepta las quejas públicas de los clientes para responderles desde la cuenta falsa y robarles credenciales.

  • Cebo habitual: un usuario se queja en X/Twitter de su banco y un perfil falso de "Atención al cliente" le responde con un enlace para "resolver la incidencia".

9. Phishing con códigos QR (quishing)

El quishing utiliza códigos QR maliciosos distribuidos en correos, carteles físicos, parquímetros, terrazas o cargadores públicos. Al escanearlos, el usuario es redirigido a una web fraudulenta o se descarga malware.

  • Tendencia al alza: los QR escapan a muchos filtros antiphishing tradicionales porque la URL maliciosa no aparece en el texto del correo.

10. Business Email Compromise (BEC)

El Business Email Compromise o fraude del CEO es una de las modalidades más costosas para las empresas. El atacante suplanta (o compromete) la cuenta de un directivo o proveedor para ordenar transferencias urgentes al departamento financiero.

  • Cebo habitual: "Necesito que hagas una transferencia confidencial antes de que cierre la jornada, te explico luego".
  • Coste medio: según el FBI Internet Crime Report, el BEC genera pérdidas multimillonarias anuales y es el tipo de fraude empresarial con mayor impacto económico.

Ejemplos reales de phishing

Para ilustrar mejor cómo se manifiestan en el día a día, aquí tienes ejemplos reales y recientes de campañas que han circulado en España y Europa:

  • Falsas notificaciones de Correos o paquetería: SMS o email indicando que un paquete está retenido y solicitando un pago de 1,79 € por gastos de aduana. La web suplanta perfectamente la imagen de Correos y captura los datos de la tarjeta.
  • Suplantación de la Agencia Tributaria: correos con asunto "Devolución pendiente" o "Notificación urgente AEAT", con enlace a una web clonada del portal de Hacienda. La AEAT nunca solicita datos bancarios por email.
  • Falsas alertas de Microsoft 365 o Google Workspace: mensajes que avisan de que el buzón está lleno o de que la contraseña va a caducar, con enlace a una página de inicio de sesión falsa que roba las credenciales corporativas.
  • Suplantación de bancos (Santander, BBVA, CaixaBank, ING): SMS dentro del mismo hilo de mensajes legítimos del banco (técnica conocida como SMS spoofing), avisando de un cargo sospechoso.
  • Fraude del CEO: un empleado del departamento financiero recibe un email del "director general" pidiendo una transferencia urgente a un proveedor nuevo. El dominio del remitente está alterado (por ejemplo, @oceano-it.com en lugar de @oceanoit.com).
  • Quishing en restaurantes y parkings: códigos QR pegados encima del original que redirigen a una pasarela de pago falsa.
  • Vishing con IA: llamadas en las que se clona la voz de un familiar o de un directivo para solicitar una transferencia urgente.

Cómo identificar un intento de phishing

Aprender a detectar las señales de alarma es la mejor defensa. Los indicadores más habituales son:

  • Sensación de urgencia o amenaza: "Su cuenta será bloqueada en 24 horas".
  • Remitente sospechoso: dominios con letras cambiadas, números en lugar de letras (0 por o, 1 por l) o subdominios extraños.
  • Saludo genérico: "Estimado cliente" en lugar de tu nombre real.
  • Errores de ortografía y gramática, especialmente en traducciones automáticas.
  • Enlaces que no coinciden con el texto: pasa el ratón por encima (sin hacer clic) y comprueba la URL real.
  • Solicitudes inusuales: ningún banco, ni la Agencia Tributaria, ni ninguna administración pública pedirá tus credenciales o el código de tu tarjeta por email, SMS o teléfono.
  • Adjuntos inesperados, especialmente .zip, .iso, .htm o documentos Office con macros.
  • Diseño que imita pero no es exacto: logos pixelados, colores ligeramente distintos, pies de página incompletos.

Cómo prevenir el phishing en tu empresa

La prevención eficaz combina tecnología, procesos y formación. En Océano IT recomendamos un enfoque por capas:

Medidas técnicas

  • Filtros antiphishing y antispam avanzados con análisis de URLs y sandboxing de adjuntos.
  • Implementación de SPF, DKIM y DMARC en el dominio corporativo para evitar la suplantación.
  • Autenticación multifactor (MFA) en todos los accesos críticos: con credenciales robadas, el atacante no podrá entrar sin el segundo factor.
  • Gestión segura de contraseñas mediante un gestor corporativo.
  • Actualizaciones y patching continuos de sistemas operativos, navegadores y software de correo.
  • Soluciones EDR/XDR para detectar comportamientos anómalos tras un clic accidental.
  • Segmentación de red para limitar el movimiento lateral en caso de compromiso.

Procesos y políticas

  • Procedimiento de doble verificación para transferencias y cambios de cuenta bancaria de proveedores (siempre por canal alternativo: llamada telefónica al número conocido, nunca al que aparece en el email).
  • Protocolo claro de reporte de correos sospechosos: botón de "Reportar phishing" en el cliente de correo.
  • Plan de respuesta a incidentes documentado y probado.

Formación y concienciación

  • Formación periódica a todos los empleados, no solo al equipo técnico.
  • Simulaciones de phishing controladas para medir el nivel de exposición real y reforzar la formación donde haga falta.
  • Cultura de seguridad: que reportar un error o un clic sospechoso no se penalice, sino que se agradezca.

Qué hacer si has sido víctima de phishing

Si sospechas que has caído en un ataque de phishing, actúa con rapidez:

  • Desconecta el equipo de la red si crees que se ha instalado malware.
  • Cambia inmediatamente las contraseñas afectadas, empezando por las más críticas (correo corporativo, banca, accesos a sistemas internos). Hazlo desde un dispositivo distinto si es posible.
  • Activa la autenticación multifactor en todas las cuentas si aún no la tenías.
  • Avisa al departamento de IT o al CISO de tu empresa lo antes posible.
  • Contacta con tu banco si has facilitado datos financieros, para bloquear tarjetas y revisar movimientos.
  • Conserva las evidencias: capturas, correos completos con cabeceras, URLs.
  • Denuncia el incidente ante el INCIBE (017), la Policía Nacional o la Guardia Civil (Grupo de Delitos Telemáticos).
  • Notifica a la AEPD si ha habido brecha de datos personales (obligatorio en menos de 72 horas según el RGPD).

¿Necesitas reforzar la ciberseguridad de tu empresa frente al phishing? En Océano IT te ayudamos a implantar soluciones antisuplantación técnicas, procedimientos y planes de formación adaptados a tu organización. Contacta con nuestro equipo y te asesoraremos sin compromiso.

Preguntas frecuentes sobre phishing

¿Cuál es la diferencia entre phishing y spear phishing?

El phishing es un ataque masivo e indiscriminado: el mismo correo se envía a miles de personas con la esperanza de que alguien caiga. El spear phishing, en cambio, es un ataque dirigido y personalizado a una persona o empresa concreta, basado en información previa que el atacante ha recopilado. Esto lo hace mucho más difícil de detectar y, por tanto, más peligroso.

¿Qué es el smishing y en qué se diferencia del phishing tradicional?

El smishing es phishing realizado por SMS o aplicaciones de mensajería (WhatsApp, Telegram). Se diferencia del phishing por correo en el canal, pero el objetivo es el mismo: que la víctima haga clic en un enlace fraudulento o llame a un número controlado por el atacante. Es especialmente peligroso porque los SMS suelen percibirse como más fiables que los correos y los filtros antispam móviles son menos eficaces.

¿Cómo sé si un correo electrónico es phishing?

Los principales indicadores son: sensación de urgencia, remitente con dominio sospechoso, enlaces que no coinciden con el texto al pasar el ratón por encima, errores ortográficos, saludos genéricos y solicitudes de información sensible (contraseñas, datos bancarios, copias del DNI). Ante la duda, no hagas clic: contacta con la entidad supuestamente remitente por un canal oficial conocido (web tecleada manualmente o teléfono guardado previamente).

¿El phishing solo afecta al correo electrónico?

No. Aunque el email es el canal más habitual, el phishing puede llegar por SMS (smishing), llamadas telefónicas (vishing), redes sociales (angler phishing), códigos QR (quishing), aplicaciones de mensajería e incluso por anuncios maliciosos en buscadores. Cualquier canal de comunicación puede ser usado por los ciberdelincuentes para suplantar identidades.

¿Qué es el fraude del CEO o BEC?

El Business Email Compromise (BEC) o fraude del CEO es un tipo de phishing dirigido en el que el atacante suplanta a un alto directivo o a un proveedor de confianza para ordenar al departamento financiero una transferencia urgente a una cuenta fraudulenta. Es uno de los ciberdelitos con mayor impacto económico a nivel mundial. La mejor prevención es establecer un procedimiento de doble verificación por canal alternativo para cualquier orden de pago inusual.

¿La autenticación multifactor protege del phishing?

La autenticación multifactor (MFA) reduce drásticamente el riesgo: incluso si el atacante consigue robar la contraseña, necesitará el segundo factor (código del móvil, llave física, app autenticadora) para acceder. No obstante, no es infalible: existen ataques de MFA fatigue, adversary-in-the-middle y SIM swapping. Por eso conviene combinarla con otras medidas y, siempre que sea posible, usar factores resistentes al phishing como llaves FIDO2/WebAuthn.

¿Qué debo hacer si he hecho clic en un enlace de phishing?

Si solo has hecho clic pero no has introducido datos, cierra la ventana, ejecuta un análisis antivirus y cambia preventivamente las contraseñas más sensibles. Si has introducido credenciales o datos bancarios, actúa de inmediato: cambia contraseñas desde otro dispositivo, activa MFA, avisa a tu banco y al departamento de IT, y conserva las evidencias para denunciar el incidente al INCIBE (017) o a las Fuerzas y Cuerpos de Seguridad.

¿Cómo puede protegerse una empresa frente al phishing?

La protección eficaz combina tres pilares: tecnología (filtros antiphishing, MFA, SPF/DKIM/DMARC, EDR), procesos (doble verificación de pagos, plan de respuesta a incidentes, protocolo de reporte) y personas (formación continua y simulaciones de phishing). Ninguna capa es suficiente por sí sola: el error humano sigue siendo el vector número uno, por lo que la concienciación es tan importante como la tecnología.

Noticias relacionadas