Toda invención tecnológica, por más innovadora que sea, esconde tras de sí un aspecto más oscuro. El phishing es una práctica tan antigua como la existencia de los correos electrónicos. Desde tiempos inmemorables, ejecutivos y CEOs de empresas debieron estar atentos a quién enviaban datos personales.
En el caso de México, el phishing representa un 70% de los fraudes cibernéticos, convirtiéndose en el vector de ataque más utilizado; afirma el informe “desafíos y estrategia para combatir el cibercrimen en México” de la Cámara de Diputados de México.
Índice de temas
Breve historia del phishing
En la mayoría de los casos, las primeras experiencias con el phishing suelen ocurrir con correos electrónicos o mensajes directos en el que el remitente se hace pasar por un banco, una empresa u otra organización real. Este fenómeno es conocido también como ingeniería social.
Phishing proviene de la palabra en inglés fishing, que significa pescar. La Universidad Nacional Autónoma de México (UNAM) define a esta práctica de la siguiente forma:
“Un tipo de ataque que comienza con un señuelo que: parece ser de un remitente confiable, tiene un alto sentido de urgencia y te solicita una acción inmediata; como abrir un enlace a un sitio falso, descargar archivos o enviar información personal como usuarios y contraseñas“.
Phishing: primeras apariciones
El año 1995 marca el nacimiento del phishing con un ataque a usuarios de AOL (AmericaOnLine), en ese momento, la principal empresa proveedora del servicio de internet en los Estados Unidos.
Aunque sus antecedentes más lejanos están en una conferencia en 1987, donde se habló de este tipo de actividad intrusiva, haciendo referencia al documento titulado “Sistema de Seguridad: La perspectiva de un Hacker”.
Industrias globales con más ataques por phishing
Si bien los fines del phishing son el mismo, lo que varía son las industrias de ataque. No es para menos que, de acuerdo a los indicadores de Statista, la industria más acometida por los ciberdelincuentes son las SaaS y el correo electrónico (23.3%).
Sin embargo, las redes sociales (22.5%) están ganando su terreno, dado que hoy poseen mucha más presencia que otras vías de comunicación que están relegadas a otros espacios más formales, como el trabajo y la administración pública.
Respecto a este último, en abril de 2025 el sitio web Checkpoint, que lleva el registro diario de nuevos vectores y dispositivos de ataque, publicó el rastreo de una campaña de phishing cuyo objetivo son las entidades diplomáticas de Europa.
El ataque fue adjudicado a APT29, un grupo de amenazas vinculado a Rusia, dice Checkpoint, que “utiliza un nuevo cargador, llamado GRAPELOADER, que se descarga mediante un enlace en el correo electrónico de phishing” ¿cómo ejecutan sus operaciones?
Los criminales, explica el sitio, se hacen pasar por un importante Ministerio de Asuntos Exteriores europeo para enviar invitaciones a catas de vino, lo que induce a los objetivos a hacer clic en un enlace web que lleva a la implementación de GRAPELOADER.
5 puntos clave para detectar un ataque de phishing
Hay ciertos elementos que permiten detectar un mensaje de phishing de forma muy temprana, o al menos ayudan a las personas a ser menos inocentes respecto a las ciberamenazas. Descubre más sobre esta labor preventiva:
- Comprobar el nombre de dominio del remitente de correo es la primera validación a realizar
- Identificar faltas ortográficas en el asunto, así como errores de concordancia en distintas partes del correo
- Reconocer un tono de amenaza o urgencia, la sensación del remitente por transmitir miedo y alarma antes que calma
- Requerir ingresos a sitios web externos a través de un enlace, donde se solicitan datos personales o un registro previo al acceso
- Adjuntar archivos en el correo para evitar que la casilla clasifique el mensaje como SPAM
Estas reglas parecen evidentes… Sin embargo, en junio de 2025 Google descubrió una campaña con fines económicos de UNC6040 dirigida a Salesforce mediante phishing de voz que robó datos a los empleados de sus oficinas.
Este grupo, además de engañar empleados de Google para aprobar aplicaciones falsas y robar datos, utilizó credenciales robadas para acceder a herramientas en la nube como Okta y Microsoft 365, utilizando paneles de phishing y Mullvad VPN.
Qué hacer ante un ataque de phishing
Hacerse pasar por otra persona en forma malintencionada constituye una suplantación de identidad, que busca por ejemplo obtener información ilegalmente, cometer fraude, engañar para acceder a recursos financieros, etc.
Se trata de un delito donde los ciberdelincuentes usan herramientas típicas de la ingeniería social para suplantar la identidad de un personal de la empresa. De este modo, obtener datos financieros o personales o introducir un ransomware.
Guía paso a paso ante un ataque de phishing
Si recibes un mensaje, correo o llamado con claras intenciones de phishing, lo primero que debes hacer es no interactuar con él. Repórtalo, permanece en calma y preserva la evidencia para el equipo TI que se hará responsable de la situación con mayor integridad.
No interactuar con el mensaje sospechoso
- No abrir enlaces ni descargar archivos adjuntos.
- No responder ni proporcionar información personal o corporativa.
Reportar inmediatamente
- Notificar al equipo de seguridad informática o al área de TI.
- Informar a los superiores para que se tomen medidas preventivas.
Preservar la evidencia
- Guardar el correo o mensaje tal como se recibió.
- Registrar hora, fecha, remitente y contenido para su análisis.
Cambiar credenciales comprometidas
- Actualizar contraseñas afectadas con combinaciones robustas.
- Activar autenticación multifactor (MFA) cuando sea posible.
Escanear y monitorear sistemas
- Ejecutar herramientas antivirus y antimalware actualizadas.
- Revisar movimientos inusuales en cuentas bancarias y accesos.
Capacitar y prevenir
- Implementar simulacros periódicos de phishing.
- Difundir buenas prácticas de ciberseguridad entre todo el personal.
Casos de phishing más comunes
Además del tradicional correo electrónico, hay modalidades más especializadas para el objetivo que cada phishing quiere alcanzar. Descubre los más utilizados a continuación.
Deceptive phishing y email bombing
El más popular, cuando un atacante se hace pasar por una empresa y busca vulnearar alguna de tus cuentas. El usuario real de la organización comienza a recibir correos aparentemente enviados por ese proveedor, generalmente acompañado con enlaces y documentos para descargar.
Esta técnica, conocida como deceptive phishing, suele ir acompañada de un email bombing, es decir, un aluvión de mensajes con fines maliciosos.
Business email compromise (BEC)
El BEC está dirigido a los altos mandos empresariales: ejecutivos, gerentes y responsables financieros o recursos humanos. Los atacantes utilizan técnicas de ingeniería social para explotar la confianza y las vulnerabilidades de las personas.
Por ejemplo, apelan a la urgencia de un pedido, en tono alarmante e intenta transmitir miedo o poner al receptor del mensaje en una situación de falso peligro. De tal modo, la persona reaccionará sin pensar en que está siendo engañada y los atacantes ingresarán a los datos privados de la compañía-
Spear phishing y whaling
El spear phishing no busca obtener información personal, sino estafar a organizaciones específicas. El whaling se le conoce a los ataques que van apuntados a los altos mandos de la empresa, exlcusivamente. Busca “el todo por el todo”.
Vishing y smishing
Vishing se le conoce al ataque de phishing comandado a través de llamados telefónicos fraudulentos. Con la aparición de la inteligencia artificial, estos ataques se volvieron más recurrentes y sofisticados. Smishing, por contrario, utiliza a los SMS como vectores de ataque.
Pharming (DNS-Based Phishing)
En el pharming, o DNS-Based Phishing, los ciberdelincuentes manipulan el tráfico de un sitio web legítimo para redirigir a los usuarios a páginas falsas y robar datos confidenciales.
Son ataques muy comunes en sitios públicos, donde las personas suelen ingresar datos personales en formularios y ejecutar pagos online. Esta técnica también es conocida como SEO poisoning.
En qué momento hay más ataques de phishing
Ataques de phishing suceden siempre, pero se han identificado algunos períodos del año más propicios en los cuales se incrementa esta actividad. Se trata de momentos en donde las personas más dinero gastan: Navidad, fin de año y otras festividades de acuerdo al país en donde se encuentren.
En estas temporadas, hay más disponibilidad de dinero en las cuentas bancarias, por lo tanto, una actividad comercial intensa de compras en línea, así como una actitud más complaciente en las personas. Esto deja entrever cierto descuido o falta de atención de las personas para saber identificar peligrosas.
Las vacaciones son otro período en donde se multiplican los ataques de phishing, al mismo tiempo que aumentan las ofertas y descuentos comerciales legítimos. Los atacantes aprovechan el aluvión de ventas para infiltrar falsas ofertas y obtener dinero y datos privados.
El phishing y los softwares empresariales
Desde la popularización del trabajo remoto, las empresas comenzaron a depender más de ciertos softwares para comunicarse internamente entre colegas y administraciones.
Según el Security Bulletin publicado por Kaspersky en 2025, los atacantes se aprovechan del monopolio de cierto grupo de aplicaciones para introducir en la web programas maliciosos disfrazados de dichas herramientas. De tal modo que miles de usuarios descargarán el software malicioso en sus computadoras.
Entre 2024 y 2025, casi 8 500 usuarios de PYMES sufrieron ciberataques de este tipo y, según Kaspersky, “el número de archivos maliciosos únicos que imitan ChatGPT aumentó un 115 %, alcanzando 177 en los primeros cuatro meses de 2025”.
Ley contra la ciberseguridad en México 2025
En el marco de una publicación de la Asociación Internacional de Profesionales en Privacidad (IAPP), Jersain Llamas Covarrubias dice que México no cuenta aún con una ley específica de ciberseguridad. En cambio, gestiona el riesgo cibernético mediante un conjunto de normas diseñadas para otros fines.
Entre ellas, siempre suelen aparecer aquellas que hablan sobre la protección de datos personales en el país, dentro del Código Penal Federal y sus artículos 210-211 Bis 7, 254 Bis 1 y 424 Bis II. Desde 2015, por el Congreso de México han pasado muchos proyectos de ley, pero ninguno ha sido aprobado.
Estos proyectos que recorrieron las distintas cámaras durante la última década comparten tres características:
- Dedican un capítulo completo a la protección de infraestructuras críticas
- Proponen la creación de una agencia nacional única de ciberseguridad
- Imitan los modelos internacionales al adoptar definiciones similares
Sin embargo, Covarrubias insiste en que ninguna de estas leyes ha llegado a buen puerto. En 2025, “tres proyectos de ley de seguridad, aprobados por la Cámara de Diputados en junio de 2025 y actualmente en revisión en el Senado, podrían reestructurar la gobernanza de datos”; concluye el autor.
Diagnóstico del phishing en México 2025
Mientras se ausenta una ley contra la ciberseguridad en el Parlamento mexicano, las estadísticas delictivas no dejan de crecer. En 2025, The Competitive Intelligence Unit (CIU) estima que los fraudes cibernéticos aumentaron un 40% entre el período 2018-2024.
Además, 7 de cada 10 ataques en México fueron cometidos en línea, a través del comercio por internet, banca online, operaciones web o pagos por celular. Y 1 de cada 3 personas “se siente poco o nada seguro de poder reconocer y evitar un intento de phishing”, lo que refuerza en la falta de conocimiento en la materia.
Según el CIU, en 2024 se registraron 13,5 millones de ataques phishing en México, de los cuales un 23.1% han perdido en promedio MX$ 8,750. Además de dinero, otras personas perdieron sus contraseñas (61.5%), datos personales (38.5%) y acceso a cuentas (15.4%).
FAQs sobre el phishing en México
¿Qué tecnologías de detección avanzada son más efectivas contra campañas de phishing dirigidas a altos ejecutivos?
Las soluciones de threat intelligence con análisis de comportamiento, filtrado avanzado de correo y sandboxing en tiempo real permiten detectar ataques de whaling y BEC. Su integración con SIEM y SOAR mejora la respuesta automática ante incidentes.
¿Cómo puede una empresa integrar la capacitación contra phishing dentro de su estrategia de ciberseguridad corporativa?
Los programas efectivos combinan simulacros periódicos, microlearning y métricas de desempeño por usuario. Vincularlos con KPIs de seguridad reduce la superficie de ataque y mejora la resiliencia organizacional.
¿Qué políticas internas minimizan el riesgo de ataques de vishing y smishing en entornos híbridos de trabajo?
La implementación de protocolos de verificación por canales seguros, listas blancas de contactos y bloqueo de remitentes desconocidos disminuye el riesgo. Complementar con MDM (Mobile Device Management) fortalece la seguridad en dispositivos móviles corporativos.
¿Cómo afecta la falta de una ley específica de ciberseguridad en México a la respuesta empresarial frente al phishing?
La ausencia de un marco legal unificado obliga a las empresas a depender de normativas dispersas y estándares internacionales, lo que genera vacíos regulatorios y menor capacidad para exigir acciones legales inmediatas contra ciberdelincuentes.
Marcela Padua
Creadora de contenido editorial, fascinada con los temas de innovación, IT, ciencia aplicada y humanismo tecnológico. Con formación en administración, complementada con periodismo especializado en tecnología y telecomunicaciones. La escritura al servicio del conocimiento.
