¿Qué es el phishing, smishing y vishing?

Ago 15, 2025Blog

La ingeniería social sigue siendo el método más común de entrada para los ciberataques. Más del 90% de las brechas de seguridad comienzan con un ataque que involucra algún tipo de engaño al usuario, según el informe de Proofpoint 2025 sobre amenazas humanas. En ese contexto, términos como phishing, smishing y vishing han pasado de ser tecnicismos para convertirse en amenazas cotidianas para empresas y usuarios.

En este artículo explicamos qué es cada tipo de ataque, cómo operan y qué señales permiten identificarlos antes de que sea demasiado tarde.

¿Qué es el phishing?

El phishing es un ataque basado en correo electrónico en el que un atacante suplanta la identidad de una entidad legítima (como un banco, proveedor de servicios o incluso un compañero de trabajo) con el objetivo de robar información confidencial.

¿Qué busca un ataque de phishing?

 

  • Robar credenciales de acceso (correo, VPN, cuentas de sistemas internos)
  • Obtener información bancaria o personal
  • Instalar malware a través de enlaces o archivos adjuntos

 

Señales comunes de phishing:

 

  • Correos con urgencia sospechosa (“Su cuenta será suspendida”, “Actualice su información ahora”)
  • Enlaces que simulan ser legítimos, pero redirigen a sitios falsos
  • Remitentes con dominios que parecen reales, pero tienen ligeras variaciones
  • Archivos adjuntos con extensiones ocultas o inusuales

 

¿Qué es el smishing?

El smishing es una variante del phishing que utiliza mensajes de texto (SMS) como canal de ataque. Aunque el formato cambia, el objetivo es el mismo: engañar al usuario para que revele datos confidenciales o realice acciones peligrosas, como descargar apps maliciosas o hacer clic en enlaces fraudulentos.

 

Ejemplos frecuentes de smishing:

 

  • “Tu paquete está detenido en aduana, revisa aquí el estado del envío”
  • “Recibiste un nuevo mensaje de voz, descárgalo aquí”
  • “Banco XYZ detectó actividad sospechosa en tu cuenta. Valida ahora”

Este tipo de ataques ha crecido significativamente debido al uso masivo de teléfonos móviles y la falsa percepción de que los SMS son más seguros que el correo electrónico. De hecho, la GSMA alertó que el smishing se ha triplicado entre 2022 y 2024 en mercados de América Latina y Europa.

 

¿Qué es el vishing?

El vishing (voice phishing) es un ataque telefónico donde el atacante se hace pasar por una figura de autoridad para convencer a la víctima de entregar información sensible o realizar transferencias.

 

Modalidades comunes de vishing:

 

  • Suplantación de bancos que alertan sobre supuestas transacciones fraudulentas
  • Llamadas de «soporte técnico» que solicitan acceso remoto al equipo
  • Representantes falsos de proveedores, agencias gubernamentales o empresas de seguridad

Gracias al uso de técnicas como spoofing de números telefónicos, los atacantes logran simular llamadas desde números legítimos, aumentando la tasa de éxito.

Según el Anti-Phishing Working Group, el vishing se está consolidando como una herramienta crítica en fraudes dirigidos a ejecutivos de alto nivel (whaling) y procesos de ingeniería social avanzada.

 

Impacto en empresas y usuarios

Aunque estos ataques parecen simples, sus consecuencias pueden ser severas:

  • Robo de credenciales corporativas
  • Acceso no autorizado a redes y sistemas críticos
  • Instalación de ransomware
  • Pérdida de reputación y multas por filtración de datos personales

Además, el costo de recuperación después de un ataque de ingeniería social puede superar los 300,000 dólares para una empresa mediana, según IBM Security Cost of a Data Breach 2024.

 

Cómo protegerse contra phishing, smishing y vishing

 

  1. Capacitación continua. La concientización del personal sigue siendo la defensa más efectiva. Capacitar en cómo identificar ataques y qué hacer ante una sospecha reduce significativamente el riesgo.
  2. Activar autenticación multifactor (MFA). Incluso si un atacante obtiene una contraseña, el uso de MFA evitará accesos no autorizados.
  3. No compartir información sensible por teléfono o SMS. Ninguna institución seria pedirá contraseñas o códigos por estos medios.
  4. Verificar enlaces antes de hacer clic. Revisar el dominio completo y evitar acceder desde enlaces enviados por mensajería o correo no solicitado.
  5. Usar soluciones de filtrado DNS y detección de amenazas. Esto permite bloquear conexiones a sitios maliciosos incluso si el usuario hace clic por error.
  6. Reportar inmediatamente cualquier intento sospechoso. Contar con canales de respuesta internos es clave para evitar que un incidente escale.

Phishing, smishing y vishing no son términos nuevos, pero su sofisticación y frecuencia aumentan cada año. La clave no es eliminar por completo estos intentos —algo casi imposible—, sino estar preparados para identificarlos y detenerlos a tiempo.

Proteger a las personas es proteger el negocio. En 2025, invertir en educación, monitoreo proactivo y cultura de seguridad es tan importante como tener buenos firewalls o soluciones antivirus.