Por qué la distinción importa

Los cursos genéricos de ciberseguridad hablan de "phishing" como si fuera una sola cosa. En la práctica, un correo de phishing que llega a un millón de bandejas de entrada tiene tan poco en común con un ataque BEC dirigido al CFO de una empresa como un carterista de metro con un ladrón de arte especializado.

Entender las diferencias entre estas técnicas importa porque:

  • Los indicadores de detección son distintos para cada tipo
  • Los perfiles de empleados en riesgo son distintos
  • Las simulaciones deben replicar el tipo de ataque que amenaza a cada equipo
  • Las defensas técnicas tienen eficacia diferente según el vector

Phishing masivo: el ataque de volumen

Qué es

El phishing masivo es el envío de correos maliciosos a grandes volúmenes de destinatarios (decenas de miles o millones) con el objetivo de engañar a un pequeño porcentaje. La personalización es mínima o nula: el mismo correo llega a todos los destinatarios.

Los objetivos más comunes del phishing masivo son:

  • Robo de credenciales (banca online, correo electrónico, redes sociales)
  • Instalación de malware mediante adjunto o enlace malicioso
  • Fraude inmediato (pago de premio falso, recuperación de cuenta bloqueada)

Cómo se ve

  • Remitente genérico que imita una marca conocida (Correos, DHL, banco, Netflix)
  • Asunto con urgencia artificial: "Tu cuenta ha sido suspendida", "Paquete pendiente de entrega"
  • Errores ortográficos o gramaticales sutiles (traducción automática de mala calidad)
  • Enlace a dominio similar al real pero con variaciones: corr3os.com, b-ancoSantander.es
  • Solicita acción inmediata sin dar tiempo a reflexionar

Cómo detectarlo

El phishing masivo bien diseñado tiene indicadores técnicos claros:

  • El dominio del remitente no coincide con el de la empresa real (verificar con cuidado, no solo el nombre visible)
  • El enlace apunta a un dominio diferente al de la empresa (pasar el ratón encima sin hacer clic)
  • La URL en el navegador no coincide con el servicio legítimo
  • El mensaje genera urgencia extrema sin ofrecer un canal alternativo de verificación

Por qué todavía funciona

Con toda la información disponible sobre phishing, el 15-25 % de los empleados sin formación específica sigue haciendo clic en simulaciones bien construidas. El contexto importa: un correo de phishing que llega a las 9am en plena avalancha de emails de lunes tiene mayor probabilidad de éxito que uno enviado con tiempo.

Spear Phishing: el ataque personalizado

Qué es

El spear phishing es el phishing dirigido a un individuo específico o a un grupo reducido, con información personalizada sobre el destinatario. El atacante investiga previamente a su objetivo — LinkedIn, redes sociales, web de la empresa, filtraciones de datos — y construye un correo que parece provenir de alguien conocido o que referencia información real.

La tasa de éxito del spear phishing es significativamente mayor que la del phishing masivo: estudios del sector sitúan la diferencia entre el 5 % de tasa de clic del phishing genérico y el 30-40 % del spear phishing bien construido.

Cómo se ve

  • Menciona el nombre real del destinatario, su empresa, su rol, o un proyecto actual
  • Simula ser un colega, un cliente conocido, un proveedor real, o un contacto de LinkedIn
  • El correo referencia una conversación anterior, un documento compartido, o un evento reciente
  • El dominio puede ser similar al real (sustitución de letra, cambio de TLD) o incluso un dominio comprometido legítimo
  • No tiene errores ortográficos obvios; el tono es natural y coherente con el rol del remitente fingido

Ejemplo real

Un atacante investiga en LinkedIn que el Director de Operaciones de una empresa ha incorporado recientemente a un nuevo proveedor logístico. Le envía un correo que simula ser del responsable de cuenta del proveedor: "Hola [nombre], adjunto el contrato actualizado con los nuevos términos de SLA que acordamos. Por favor, revisa y firma digitalmente con el enlace a continuación." El adjunto o enlace instala malware o roba credenciales.

Por qué los filtros no lo detienen

Los filtros de spam modernos son muy eficaces contra el phishing masivo porque aprenden de los patrones de envío masivo. El spear phishing, por definición, no tiene ese patrón: es un correo único, enviado a uno o pocos destinatarios, a menudo desde una cuenta de correo comprometida legítima. Los filtros no lo detectan como spam porque técnicamente no lo es.

BEC: Business Email Compromise

Qué es

El BEC (Business Email Compromise) es el tipo de ataque más sofisticado y financieramente más dañino. Es una forma de spear phishing dirigida específicamente a comprometer flujos financieros o de información sensible mediante la suplantación de figuras de autoridad dentro de la organización.

El FBI reporta pérdidas globales por BEC superiores a 50.000 millones de dólares desde 2013. En España, el coste medio por incidente supera los 125.000 euros.

Las cinco variantes principales de BEC

1. CEO Fraud (Fraude del CEO): un correo que simula ser del CEO o dirección superior, dirigido al departamento de finanzas, solicitando una transferencia urgente y confidencial a una cuenta nueva. Suele acompañarse de instrucciones de no comentarlo con nadie por la supuesta confidencialidad de la operación.

2. Fraude de proveedor: el atacante suplanta a un proveedor real y solicita el cambio de los datos bancarios para el siguiente pago. Puede hacerse desde un dominio similar o desde la cuenta real del proveedor si ha sido comprometida previamente.

3. Compromiso de cuenta de abogado: simula ser el asesor legal de la empresa durante un proceso de M&A, captación de inversión, o litigio, solicitando transferencias con el argumento de confidencialidad legal.

4. Robo de datos de empleados: solicitud aparentemente legítima de RRHH o dirección pidiendo información confidencial de nóminas, datos personales, o documentación fiscal de empleados — para su posterior uso en fraude fiscal o extorsión.

5. Real estate fraud: en transacciones inmobiliarias, el atacante intercede en el flujo de comunicación entre comprador, vendedor y notaría para redirigir el pago a su cuenta.

Cómo se ve un ataque BEC sofisticado

Lo que hace el BEC tan difícil de detectar es que no tiene indicadores técnicos obvios. El correo puede llegar desde:

  • Un dominio legítimo comprometido
  • Un dominio visualmente idéntico al real (sustitución de caracteres similares)
  • La cuenta real del directivo si ha sido comprometida previamente

El contenido es profesional, sin errores, coherente con el rol del remitente fingido, y el flujo de comunicación puede haber incluido semanas de conversaciones preparatorias para construir confianza.

Los factores que lo facilitan

  • Presión de tiempo: las solicitudes de BEC siempre incluyen urgencia que limita la verificación
  • Autoridad jerárquica: es difícil cuestionar una instrucción directa del CEO o del CFO
  • Confidencialidad como arma: la instrucción de "no lo comentes con nadie" elimina el más poderoso mecanismo de verificación informal
  • Procesos sin doble validación: organizaciones sin controles de doble firma para transferencias superiores a cierto importe son el objetivo más vulnerable

Tabla comparativa: phishing vs. spear phishing vs. BEC

Dimensión Phishing masivo Spear phishing BEC
Volumen Millones de correos Decenas-cientos Uno a pocos
Personalización Mínima Alta Máxima
Objetivo Credenciales/malware Acceso inicial Fraude financiero/datos
Daño medio Bajo por incidente Medio-alto Muy alto (>125K€)
Detección técnica Alta (filtros de spam) Media Baja-nula
Detección humana Media con formación Baja sin formación específica Muy baja sin proceso de verificación
Preparación del atacante Horas Días Semanas

Implicaciones para el programa de awareness

Esta distinción tiene consecuencias directas en cómo debe diseñarse el programa:

Para phishing masivo: formación básica para toda la empresa en reconocimiento de dominios falsos, urgencia artificial, y enlace de verificación. Simulaciones de dificultad media que repliquen los señuelos más frecuentes del sector.

Para spear phishing: formación específica para roles de alto valor (directivos, acceso a sistemas críticos, proveedores). Simulaciones que usen información real de la empresa (nombre de proyectos, nombres de colegas, herramientas internas) para replicar el nivel de personalización real.

Para BEC: formación obligatoria para todos en finanzas, RRHH y dirección. Implementación de procesos de doble verificación para solicitudes de transferencia o cambio de datos bancarios. Regla inviolable: cualquier solicitud inusual de acción financiera se verifica por llamada de voz al remitente conocido, independientemente de la urgencia expresada.

Conclusión

El phishing no es una amenaza monolítica. El phishing masivo, el spear phishing y el BEC son técnicas con perfiles de riesgo, indicadores de detección y defensas completamente diferentes. Un programa de awareness que no distingue entre ellos protege parcialmente contra el vector más fácil de detectar (el masivo) y deja expuesto al organización ante los que tienen mayor impacto (spear phishing y BEC).

Entender a qué tipo de ataque está expuesto cada departamento es el primer paso para entrenar al equipo con las simulaciones y los procesos de verificación adecuados.

¿Tu empresa necesita un programa de awareness en ciberseguridad?

Safe Bait diseña campañas personalizadas basadas en los riesgos reales de tu organización. Agenda un diagnóstico inicial sin compromiso.

Solicitar diagnóstico gratuito