El phishing no es una amenaza nueva, pero sigue siendo —con diferencia— la más efectiva. Según el Consejo de Ciberseguridad de Emiratos Árabes Unidos, más del 75% de los ciberataques actuales se originan a partir de correos electrónicos fraudulentos o mensajes engañosos. Una cifra que confirma lo que los analistas llevan años advirtiendo: el eslabón más débil de la ciberseguridad sigue siendo el usuario.

Este dato, trasladado a la agencia oficial WAM, no solo evidencia la persistencia de esta técnica, sino también su capacidad de adaptación en un ecosistema digital cada vez más sofisticado. Mientras las organizaciones invierten en sistemas avanzados de detección y respuesta, los atacantes continúan explotando vectores básicos, pero altamente efectivos, como el correo electrónico.

Un volumen masivo que garantiza el éxito

El phishing funciona por pura estadística. Más de 3.400 millones de correos fraudulentos se envían cada día en todo el mundo. Este volumen masivo permite a los ciberdelincuentes mantener tasas de éxito suficientes incluso cuando la mayoría de los intentos fracasan.

Ad

No se trata únicamente de campañas rudimentarias. El phishing actual ha evolucionado hacia modelos más elaborados, incluyendo:

  • Spear phishing: ataques dirigidos a individuos concretos dentro de una organización.
  • Business Email Compromise (BEC): suplantación de directivos o proveedores para inducir transferencias fraudulentas.
  • Phishing con malware: distribución de cargas maliciosas mediante enlaces o archivos adjuntos.

El objetivo es claro: robar credenciales, acceder a sistemas corporativos o recopilar información sensible que pueda ser explotada posteriormente en campañas de extorsión, fraude financiero o ataques más complejos.

Ingeniería social: el arma más eficaz

A diferencia de otras amenazas que explotan vulnerabilidades técnicas, el phishing se apoya en la ingeniería social, es decir, en la manipulación del comportamiento humano.

Los correos fraudulentos suelen diseñarse para provocar una reacción inmediata. Entre las tácticas más habituales destacan los mensajes urgentes que requieren acción inmediata , de tipo “su cuenta será bloqueada”, las solicitudes de verificación de credenciales en páginas falsas, las notificaciones de pagos pendientes o transferencias o las típicas ofertas demasiado atractivas para ser reales.

Además, los atacantes suelen suplantar identidades de confianza: bancos, proveedores de servicios, administraciones públicas o incluso compañeros de trabajo. Esta capa de legitimidad reduce la sospecha y aumenta la probabilidad de interacción.

Aunque existen indicadores clásicos —errores ortográficos, remitentes sospechosos o enlaces dudosos—, la realidad es que muchos ataques actuales son técnicamente impecables, especialmente cuando incorporan técnicas de automatización o inteligencia artificial.

El factor humano, en el centro del riesgo

El Consejo de Ciberseguridad de Emiratos es contundente: el usuario sigue siendo el principal vector de entrada para los atacantes. Esto tiene implicaciones directas en la estrategia de defensa.

Las organizaciones ya no pueden confiar únicamente en soluciones tecnológicas. Es imprescindible integrar la concienciación y formación del usuario como parte estructural de la seguridad corporativa.

Ademñas, otro de los vectores emergentes señalados por el organismo es el uso de códigos QR maliciosos, una técnica conocida como quishing. Este método aprovecha la confianza del usuario en los códigos QR para redirigir a páginas fraudulentas sin pasar por filtros tradicionales de correo electrónico.

El auge de este tipo de ataques refleja una tendencia clara: los ciberdelincuentes están diversificando los canales de distribución, pero mantienen la misma lógica de engaño.

El dominio del phishing en el panorama de amenazas no es casual. Se trata de una técnica de bajo coste, alta escalabilidad y eficacia probada. No requiere explotar vulnerabilidades complejas ni desarrollar malware sofisticado: basta con engañar a una persona.

En un contexto donde el teletrabajo, la digitalización y la dependencia del correo electrónico siguen creciendo, la superficie de ataque se amplía de forma constante. Cada nueva cuenta, cada nuevo dispositivo y cada nueva interacción digital representan una oportunidad para el atacante.

MLuz Domínguez
MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre