Phishing con suplantación de dominio.

Caso real de Phishing

En un caso real, un socio comercial de Toyota Boshoku solicitó al fabricante de componentes para automóviles un pago por aproximadamente 4 billones de yenes (más de 30 millones de dólares en ese entonces). El requerimiento llegó vía correo electrónico y la dirección del remitente era válida, por lo que el pago se realizó. Días después, Toyota Boshoku emitió el comunicado oficial del ataque, revelando la pérdida millonaria. Si, el correo no era legítimo, fue enviado por un atacante. Con el desarrollo de nuevas tecnologías y herramientas enfocadas en brindar una mejor seguridad a las redes, sistemas y servicios, los ciberdelincuentes han optado por explotar en mayor medida un área que no depende de los conocimientos de los desarrolladores e ingenieros: el usuario final. Aprovecharse del factor humano ha demostrado fructíferas recompensas para quienes desean sustraer información, acceder ilícitamente a diversos sistemas, suplantar identidades y obtener recompensas.

¿Qué se considera Phishing en 2026?

Hoy en día, el término “phishing” está ampliamente difundido, y aunque no todas las personas lo tienen bien conceptualizado, la gran mayoría conocen de su existencia y saben que representa una amenaza latente en todo momento. 

Para los mexicanos, es común recibir o haber recibido correos electrónicos de ofertas imperdibles, o provenientes de supuestas “paqueterías” que piden “confirmar la dirección accediendo al enlace porque el paquete no pudo entregarse”, e incluso correos del “banco” que notifican sobre “movimientos inusuales detectados”, solicitando información confidencial para proteger la cuenta.

En realidad, todos estos son ejemplos de distintas campañas de phishing, que se aprovechan de diversas técnicas de ingeniería social, como el engaño, la manipulación, el miedo, entre otras.

Alertas de Pishing

Los cautelosos siempre prestarán atención a los signos de alerta de cada correo, es decir, la redacción, ortografía, propósito y en especial a los datos del remitente, es decir, la dirección de correo que envió el mensaje, por lo que saben diferenciar soporte@linkedin.com de soporte@llnkedin.com y que pagos@sat.com.mx, soporte@google-drive.com y amazon@rastreo.com.mx no son direcciones de correo legítimas.

Pero ¿podemos recibir correos fraudulentos de direcciones legítimas? La respuesta corta es sí.  Y este tipo de ataques logran confundir hasta a los más expertos.

“Phishing” hace referencia al término “pescar” (en inglés “fishing”), y utiliza correos generales que son enviados a miles de personas, sin información particular para cada una, algo similar a una gran red cuyo propósito es atrapar la mayor cantidad de peces posible.

Pero existen otros tipos de phishing, como el spear phishing, el whaling, o el BEC, que, aunque cada uno posee sus particularidades, todos están enfocados en objetivos concretos, y no en miles de personas como el phishing tradicional. Siguiendo la referencia anterior, estos ataques son como preparar un anzuelo y cebo especial para un pez particular, razón por la que estos ataques impactan con mayor frecuencia a elementos clave dentro de una organización, como el CEO, directores del área financiera, u otros perfiles de alto rango, sin dejar de lado figuras públicas o cualquier otra que represente una buena recompensa para los ciberdelincuentes.

El problema es que, en principio, este tipo de correos tienen una apariencia totalmente legítima, ya que los ciberdelincuentes dedican una mayor cantidad de tiempo a analizar a su posible víctima, por lo que ponen especial empeño en la personalización de cada correo, como la redacción, el asunto, las imágenes, el tipo de letra, e incluso son capaces de suplantar una dirección de correo confiable.

Esto último se conoce como “email spoofing” y es posible porque el protocolo SMTP, que es el principal encargado de las comunicaciones por correo, tuvo su origen en los años ochenta, cuando los protocolos y servicios se creaban para funcionar antes que para ser seguros.

Este protocolo permite a los ciberdelincuentes manipular los encabezados de los correos electrónicos, por ejemplo, el encabezado de “From”, lo que provoca que el destinatario observe una dirección de correo legítima en su bandeja de entrada.

Sin embargo, la explotación de estas técnicas hoy en día tiene sus límites, por ejemplo, las organizaciones pueden mitigar los riesgos asociados al spoofing de direcciones haciendo uso del protocolo DMARC e implementando registros SPF y DKIM en sus servidores DNS autoritativos.

Lo anterior, claramente es muy técnico y depende del nivel de seguridad de cada organización, por lo que, nosotros como usuarios, solo nos queda prestar atención a diversas señales de alerta en cada mensaje, sin permitirnos descartar que un correo es un intento de estafa o fraude solo porque la dirección de correo es conocida. Podemos considerar las siguientes banderas rojas:

• Asuntos de correo muy llamativos. 

• Correos inesperados.

• Tonos que incitan a actuar con urgencia o bajo el miedo.

• Mala ortografía.

• Tipografías extrañas.

• Textos muy impactantes de contenido alarmante o que llevan a promociones y ofertas. • Asuntos y redacciones poco profesionales (uso de emoticones o palabras informales). • Enlaces o archivos adjuntos sospechosos.

Y si, revisar la dirección del remitente debe encabezar la lista, sin embargo, como vimos, los ciberdelincuentes que desean conseguir ataques exitosos a objetivos específicos también pueden poner atención en cada uno de los detalles anteriores, incluyendo la dirección del remitente, por lo que, de manera general, todos deberíamos de apegarnos a las siguientes recomendaciones:

Recomendaciones para prevenir Phishing

• Validar que los enlaces dirijan a sitios confiables antes de dar clic, esto se puede hacer pasando el cursor por encima y revisando en la esquina inferior izquierda del navegador. • No confiar en correos que sean marcados como “spam” o “peligroso” por los servidores de correo (como Outlook o Gmail).

• Si la intención del correo es que hagamos algo fuera de lo común, como descargar un archivo que no esperábamos, transferir dinero a un número de cuenta nuevo, o ingresar credenciales en un sitio, es mejor desconfiar y utilizar un canal de comunicación alterno con el remitente para validar la petición.

• Evitar acceder a enlaces mediante acortadores (son los que lucen como bit.ly/FyC43Va).

 • Poner atención en la redacción del mensaje, si proviene de alguien que conocemos y el lenguaje o el tono es inusual, es mejor desconfiar y comprobar por otro medio. Si el mensaje es de alguien desconocido o en apariencia proviene de organizaciones confiables, pero el tono o la redacción es poco profesional, muy llamativo o alarmante, es mejor la cautela.

 • Dentro de la organización, ante la menor duda, informar al área correspondiente para que lleve a cabo el análisis del correo.

Sergio Reyes Guzmán| Especialista en ciberseguridad