El arma más efectiva no es técnica

Después de leer decenas de informes de incidentes, hay algo que se repite: la mayoría de los ataques exitosos empiezan por un correo. No por un exploit de día cero ni por una vulnerabilidad sofisticada. Por un simple engaño.

La ingeniería social explota algo que no se puede parchear fácilmente: la tendencia humana a confiar, a actuar deprisa cuando hay urgencia, y a obedecer a quien parece tener autoridad.

Tipos de phishing más comunes

Phishing masivo

El más conocido. Correos enviados a millones de personas haciéndose pasar por un banco, Netflix, Correos o la Agencia Tributaria. Son genéricos, pero funcionan por volumen.

Señales de alerta:

  • Dominio del remitente ligeramente diferente: soporte@bancosantand3r.com
  • Urgencia artificial: "Tu cuenta será bloqueada en 24h"
  • Enlace que no apunta al dominio real (pasa el ratón por encima antes de clicar)
  • Archivos adjuntos inesperados (.zip, .exe, .docx con macros)

Spear Phishing

Mucho más peligroso. El atacante investiga a la víctima y personaliza el mensaje. Puede conocer tu nombre, empresa, cargo o proyectos en los que trabajas gracias a LinkedIn o redes sociales.

Un correo que dice: "Hola [tu nombre], te adjunto el contrato que hablamos el martes con [nombre de tu jefe]" cuesta mucho más de identificar como fraude.

Vishing y Smishing

Misma táctica, otro canal. Por teléfono (vishing) o SMS (smishing). La llamada de "soporte técnico de Microsoft" que te pide instalar TeamViewer sigue engañando a mucha gente.

La técnica del pretexto

El atacante construye una historia creíble para justificar su petición. Los pretextos más efectivos son:

  • Autoridad: "Soy del departamento de IT, necesito tus credenciales para solucionar un problema"
  • Urgencia: "Si no verificas ahora, perderás el acceso"
  • Reciprocidad: "Te ayudé con aquello, ahora necesito que me hagas este favor rápido"
  • Miedo: "Hemos detectado actividad sospechosa en tu cuenta"

Cómo protegerse (sin ser paranoico)

No se trata de desconfiar de todo, sino de verificar antes de actuar:

  1. Para el correo, mira el dominio real del remitente, no el nombre mostrado
  2. Nunca hagas clic directamente en links de correos inesperados. Ve al sitio tú mismo
  3. Si te piden credenciales o datos sensibles por correo, llama para confirmar por otro canal
  4. Activa MFA en todas tus cuentas. Si roban tu contraseña, seguirás protegido
  5. Actualiza y usa un gestor de contraseñas. Las contraseñas débiles o reutilizadas multiplican el daño

Herramientas para practicar

  • GoPhish — Plataforma open source para simular campañas de phishing en tu organización
  • PhishTank — Base de datos colaborativa de URLs de phishing conocidas
  • Have I Been Pwned — Comprueba si tu correo aparece en filtraciones

Reflexión final

Lo que más me sorprendió aprendiendo sobre este tema es lo fácil que es caer, incluso sabiendo cómo funciona. El mejor antídoto es el hábito: pausa, verifica, luego actúa. Esos tres segundos de duda pueden salvarte un problema enorme.