Conclusiones clave

  • El phishing es una forma de ingeniería social en la que los atacantes se hacen pasar por fuentes de confianza para robar información sensible como contraseñas, claves privadas o datos de pago.

  • Las técnicas de phishing van desde campañas masivas de correo electrónico hasta spear phishing (suplantación muy dirigida) y estafas de voz generadas con IA, lo que las hace más difíciles de detectar en 2026 y más allá.

  • En cripto, los ataques de phishing a menudo se dirigen a frases semilla, credenciales de inicio de sesión y aprobaciones de billetera, incluso mediante estafas de airdrop falsas y la interacción maliciosa con contratos inteligentes.

  • Activar la autenticación de dos factores (2FA), verificar las URL con cuidado y evitar enlaces no solicitados se encuentran entre las formas más efectivas de reducir el riesgo de phishing.

  • Ninguna medida de seguridad es 100% efectiva, pero combinar herramientas técnicas con capacitación sobre concientización reduce significativamente la probabilidad de ser víctima.

Binance Academy courses banner

Introducción

El phishing es un tipo de ataque de ingeniería social en el que los malos actores se hacen pasar por organizaciones o personas de confianza para engañar a las personas y que revelen información sensible. Esto podría incluir credenciales de inicio de sesión, números de tarjetas de crédito, claves privadas o frases semilla. La palabra “phishing” es un juego de palabras con “fishing” (pesca): los atacantes lanzan redes amplias y esperan a que alguien muerda el anzuelo.

El phishing ha sido una de las formas más comunes de ciberdelito durante décadas. A medida que las herramientas de IA se vuelven más accesibles, los ataques de phishing han crecido en convicción y en nivel de focalización. Este artículo explica cómo funciona el phishing, los principales tipos de phishing y pasos prácticos que puedes seguir para protegerte, incluso en el ámbito de las criptomonedas y la blockchain. Para una mirada más amplia a las estafas con criptomonedas, consulta nuestra guía dedicada.

Cómo funciona el phishing

El phishing se basa en el engaño en lugar de explotar vulnerabilidades técnicas. Los atacantes normalmente investigan a sus objetivos, crean una imitación convincente de una fuente de confianza y luego generan una sensación de urgencia o miedo para empujar a las víctimas a actuar rápido sin pensar con cuidado.

El método de entrega más común es el correo electrónico. Un correo de phishing puede parecer provenir de tu banco, de un exchange de cripto o de una marca reconocida. Usualmente incluye un enlace a un sitio web falso diseñado para capturar tus credenciales, o un adjunto que instala malware cuando se abre.

El phishing moderno se ha vuelto más sofisticado. Ahora los atacantes usan herramientas de redacción con IA para generar mensajes personalizados a gran escala, y generadores de voz con IA para suplantar a ejecutivos o familiares en llamadas telefónicas en tiempo real. Esto hace que sea cada vez más difícil depender de errores gramaticales o frases incómodas como señales de advertencia.

Señales comunes de un intento de phishing

URL y direcciones de correo sospechosas

Revisa siempre la URL completa antes de hacer clic. Los sitios de phishing a menudo usan errores ortográficos leves (por ejemplo, “binnance.com”) o extensiones de dominio inusuales. Pasa el cursor sobre un enlace para previsualizar el destino antes de hacer clic. Desconfía de cualquier correo enviado desde una dirección pública (como Gmail o Yahoo) que afirme representar a una empresa importante.

Tácticas de urgencia y miedo

Los mensajes de phishing a menudo afirman que tu cuenta fue comprometida, que un pago falló o que necesitas actuar de inmediato para evitar una penalización. Esta presión es intencional: desalienta pensar con cuidado. Las organizaciones legítimas rara vez exigen una acción instantánea mediante un enlace por correo.

Solicitudes de información sensible

Los servicios confiables no te pedirán tu contraseña, frase semilla, clave privada o el número completo de tu tarjeta de pago por correo electrónico, texto o chat. Si un mensaje solicita esta información, trátalo como sospechoso, sin importar lo oficial que parezca.

Cómo prevenir ataques de phishing

La defensa más confiable es evitar hacer clic en enlaces dentro de mensajes inesperados. En su lugar, ve directamente al sitio web oficial escribiendo la URL en tu navegador o usando un marcador guardado. Para la seguridad de la cuenta, activar la autenticación de dos factores (2FA) en todas las cuentas importantes agrega una segunda capa de protección incluso si se roba tu contraseña. Usa una aplicación de autenticación en lugar de SMS cuando sea posible, ya que los códigos de SMS pueden interceptarse mediante ataques de “SIM swapping”.

Las organizaciones pueden reducir el riesgo de phishing implementando estándares de autenticación de correo como DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance). Estos protocolos verifican que los correos entrantes provengan realmente del dominio del remitente declarado.

Para las personas, compartir conocimientos con familia y amigos ayuda a construir una concientización colectiva. Para las empresas, la capacitación periódica en seguridad reduce significativamente la probabilidad de que un empleado caiga en un intento de phishing.

Tipos de phishing

Spear phishing (phishing dirigido)

El spear phishing se dirige a una persona u organización específica. El atacante investiga a la víctima de antemano y utiliza detalles como nombres de colegas, transacciones recientes o cargos laborales para que el mensaje sea más convincente. Estos ataques requieren más esfuerzo, pero tienden a tener tasas de éxito más altas que las campañas genéricas de phishing.

Whaling (caza de ballenas)

Whaling es una forma de spear phishing dirigida a objetivos de alto valor como ejecutivos senior, funcionarios del gobierno o personas adineradas. Como estos objetivos tienen acceso a sistemas sensibles o a grandes sumas de dinero, un ataque exitoso puede tener consecuencias importantes.

Phishing por clonación

Un atacante copia un correo electrónico legítimo que se envió previamente y crea una versión casi idéntica. La copia reemplaza cualquier enlace o adjunto real por uno malicioso. Las víctimas pueden no notar la diferencia, ya que el formato del mensaje parece familiar.

Smishing y vishing

El smishing utiliza mensajes de texto SMS en lugar del correo electrónico para entregar enlaces de phishing o solicitudes. El vishing implica llamadas telefónicas, en las que los atacantes se hacen pasar por representantes bancarios, agentes de soporte técnico o incluso familiares usando clonación de voz generada por IA. Ambos son cada vez más comunes como vectores de ataque a medida que la tecnología de voz con IA se vuelve más accesible.

Quishing (phishing con códigos QR)

El quishing usa códigos QR maliciosos para redirigir a los usuarios a sitios web de phishing. Estos códigos a menudo se colocan en entornos físicos (carteles, parquímetros, menús de restaurantes) o se incrustan en correos electrónicos y documentos. Como los códigos QR son opacos para el ojo humano, muchos usuarios los escanean sin comprobar el destino en la URL.

Pharming

El pharming no requiere que la víctima haga clic en un enlace malicioso. En su lugar, los atacantes envenenan los registros DNS para redirigir a los usuarios desde una dirección de sitio web legítima a una fraudulenta. Como la víctima escribe la URL correcta por su cuenta, el pharming es más difícil de detectar y más peligroso que el phishing estándar.

Typosquatting

Los atacantes registran nombres de dominio que se parecen mucho a sitios web legítimos mediante errores ortográficos, sustituciones de caracteres o diferentes dominios de nivel superior. Si un usuario escribe mal una URL, puede terminar en un sitio fraudulento que se ve idéntico al real.

Ataques de watering hole (pozo de agua)

En un ataque de watering hole, el atacante identifica sitios web que visita con frecuencia la audiencia objetivo y luego inyecta scripts maliciosos en esas páginas. La próxima vez que un objetivo visite el sitio comprometido, el script se ejecuta y puede instalar malware en silencio o recopilar credenciales.

Suplantación e impersonaciones de sorteos falsos

Los atacantes se hacen pasar por figuras conocidas en redes sociales o plataformas de mensajería, promocionando sorteos falsos o oportunidades de inversión. En plataformas como X, Discord y Telegram, esto a menudo implica comprometer cuentas verificadas o crear perfiles que imitan a otros. Estas tácticas suelen superponerse con estafas de airdrop que usan anuncios falsos de distribución de tokens para obtener aprobaciones de billeteras.

Phishing en el sector de Cripto y Blockchain

Los usuarios de cripto enfrentan un conjunto particular de riesgos de phishing. Como las transacciones en blockchain son irreversibles, un ataque de phishing exitoso puede provocar una pérdida permanente de fondos. Los objetivos comunes incluyen frases semilla, claves privadas y aprobaciones de conexión de billetera. Para quienes participan en protocolos DeFi o en operaciones de compraventa entre pares (P2P), el riesgo es especialmente alto debido al volumen de interacciones de billetera involucradas.

El malware “drainer” de billeteras es una de las formas más dañinas de phishing cripto. Se engaña a un usuario para que conecte su billetera a un sitio malicioso o para que firme una transacción de aprobación. Luego, el contrato inteligente malicioso transfiere tokens fuera de la billetera, a veces vaciando todo el saldo en cuestión de segundos.

Los estafadores también se hacen pasar por agentes de soporte de una casa de cambio, pidiéndoles a los usuarios que verifiquen su identidad enviando su frase semilla. Ninguna plataforma legítima te pedirá nunca tu frase semilla. Si alguien la solicita, la petición es fraudulenta sin excepción.

A medida que mejoran las herramientas de IA, espera que el phishing en el espacio cripto se vuelva más específico y más convincente. Mantenerse informado sobre las tácticas actuales y aplicar hábitos de seguridad consistentes son las defensas más efectivas a largo plazo.

Phishing vs. Pharming

Aunque a veces el pharming se clasifica como una subcategoría de phishing, estos dos ataques funcionan de manera diferente. El phishing requiere que la víctima cometa un error, como hacer clic en un enlace falso o introducir credenciales en un sitio suplantado. El pharming solo requiere que la víctima visite una URL que parezca legítima, ya que el propio registro DNS ha sido comprometido. Esta diferencia importa porque el pharming es más difícil de defender a nivel individual.

Preguntas frecuentes

¿Qué es el phishing?

El phishing es un método de ciberataque en el que los criminales se hacen pasar por organizaciones o personas de confianza para engañar a la gente y hacer que revele información sensible, como contraseñas, datos de pago o frases semilla de cripto. Es una de las formas más comunes de fraude en línea.

¿Cuáles son los tipos de phishing más comunes?

Los tipos más comunes incluyen phishing por correo electrónico, spear phishing (ataques dirigidos), smishing (mediante SMS), vishing (mediante llamadas telefónicas) y phishing por clonación. En cripto, los esquemas “wallet drainer” y las estafas de sorteos falsos son especialmente frecuentes.

¿Cómo puedo reconocer un correo de phishing?

Las señales clave incluyen direcciones del remitente sospechosas o mal escritas, solicitudes urgentes de información personal o contraseñas, enlaces o adjuntos inesperados, y mensajes que generan miedo o urgencia. Pasa el cursor por encima de los enlaces para ver la URL antes de hacer clic y verifica las solicitudes inesperadas a través de canales oficiales.

¿Qué debo hacer si creo que me han hecho phishing?

Cambia tus contraseñas de inmediato, empezando por tus cuentas más importantes. Activa la autenticación en dos factores (2FA) en cualquier cuenta que aún no la tenga. Si conectaste una billetera cripto a un sitio sospechoso, revoca cualquier aprobación que hayas concedido. Reporta el intento de phishing a la plataforma suplantada y a la autoridad nacional de ciberseguridad.

¿Los ataques de phishing pueden robar criptomonedas?

Sí. Los ataques de phishing cripto pueden recopilar frases semilla, claves privadas o aprobaciones de billetera, lo que provoca una pérdida permanente de fondos, ya que las transacciones en blockchain no se pueden revertir. Métodos comunes incluyen páginas falsas de inicio de sesión de exchanges, contratos inteligentes “wallet drainer” e impersonalización de personal de soporte que solicita verificación de frase semilla.

Reflexiones finales

El phishing sigue siendo una de las formas más extendidas y efectivas de ciberdelito, y ha seguido evolucionando junto con la IA y la tecnología blockchain. Reconocer tácticas comunes, verificar las fuentes con cuidado y aplicar hábitos de seguridad sólidos, como 2FA y la revisión de URL, reduce significativamente el riesgo. Para tener una base más amplia sobre cómo mantenerse seguro en línea, revisa nuestra guía de principios generales de seguridad.

Lecturas adicionales

  • 5 maneras de mejorar la seguridad de tu cuenta de Binance

  • Cómo detectar estafas en Finanzas Descentralizadas (DeFi)

  • ¿Qué son las estafas de airdrop y cómo evitarlas?

  • Principios generales de seguridad

Aviso legal: Este contenido se te proporciona “tal cual” para información general y fines educativos únicamente, sin representaciones ni garantías de ningún tipo. No debe interpretarse como asesoramiento financiero, legal u otro asesoramiento profesional, ni pretende recomendar la compra de ningún producto o servicio específico. Debes buscar tu propio asesoramiento a través de asesores profesionales adecuados. Cuando el contenido sea aportado por un colaborador externo, ten en cuenta que las opiniones expresadas pertenecen a dicho colaborador externo y no necesariamente reflejan las de Binance Academy. Los precios de los activos digitales pueden ser volátiles. El valor de tu inversión puede subir o bajar y es posible que no recuperes la cantidad invertida. Tú eres el único responsable de tus decisiones de inversión y Binance Academy no se hace responsable por ninguna pérdida que puedas sufrir. Para obtener más información, consulta nuestros Términos de uso, Aviso de riesgo y Términos de Binance Academy.