defensiva
tipos de phishing
phishing
spear phishing

Tipos de phishing: spear, BEC, vishing, smishing y cómo identificarlos

Los 12 tipos de phishing más comunes (spear, whaling, BEC, vishing, smishing, clone, evil twin, AitM), señales de identificación y defensa práctica.

Secra12 de mayo de 202616 min de lectura

Los tipos de phishing son 12 variantes diferenciadas que en 2026 aparecen sistemáticamente en investigaciones reales, cada una con vector y defensa propios. Las 12 categorías: phishing masivo, spear phishing, whaling, BEC, vishing, smishing, clone phishing, AitM (Adversary-in-the-Middle), evil twin Wi-Fi, watering hole, search engine phishing y QR phishing (quishing). No todas se defienden igual y tratarlas como un único bloque es lo que deja huecos en la mayoría de programas defensivos.

Esta guía explica los 12 tipos de phishing que cualquier responsable de seguridad debería distinguir, las señales que permiten identificar cada variante en correos o llamadas reales, los casos públicos que ilustran el patrón (Twitter 2020, Uber 2022 MFA fatigue, MGM 2023, Snowflake 2024), cómo se defiende una organización moderna por capas y por qué el MFA resistente a phishing (FIDO2/WebAuthn) es la única defensa robusta frente a kits AitM que dominan el panorama en 2026. Es la guía de variantes que complementa el pillar de ingeniería social.

Qué es phishing y por qué importan los tipos

Phishing es la categoría más amplia dentro de la ingeniería social: suplantación de identidad de una entidad confiable para conseguir que la víctima entregue información, ejecute código o realice una acción que normalmente no haría. La palabra viene del inglés fishing (pescar), con la "ph" típica del argot de phreaking de los noventa.

Importa distinguir tipos porque cada variante tiene defensa distinta:

  • Phishing masivo se frena con email security y filtros de URL.
  • Spear phishing requiere formación específica de roles ejecutivos.
  • BEC necesita procedimientos out-of-band para transferencias.
  • AitM solo cae con MFA FIDO2/WebAuthn.
  • Vishing exige hardening del helpdesk y verificación robusta.
  • Smishing depende de operadoras y filtros móviles.
  • Evil twin Wi-Fi solo se evita con VPN siempre activa o redes corporativas autenticadas.

Una organización que invierte solo en una defensa cubre menos del 50% del problema. La pregunta correcta no es "tenemos antiphishing" sino "qué tipos cubrimos y qué tipos quedan ciegos".

Los 12 tipos de phishing

1. Phishing masivo (mass phishing)

La forma original. Campañas con millones de correos suplantando bancos, plataformas cloud (Microsoft 365, Google Workspace), servicios de paquetería (Correos, DHL, Amazon), Hacienda o Seguridad Social. La calidad gráfica es baja, los errores de redacción frecuentes, pero la escala compensa la tasa de éxito.

Señales típicas: dominio del remitente sospechoso, errores ortográficos, urgencia exagerada, enlaces a dominios homógrafos (micro-soft.com, microsoft-365.es), saludo genérico ("Estimado cliente"), petición de credenciales o pago inmediato.

Defensa: gateway de correo con análisis de URL y sandbox de adjuntos, DMARC/DKIM/SPF estrictos, training general anual.

2. Spear phishing

Variante dirigida. El atacante investiga al target con OSINT (LinkedIn, redes corporativas, comunicados de prensa, GitHub) y construye un correo personalizado con detalles que solo el target debería conocer: nombre del jefe, proyecto en curso, vocabulario interno, factura real reciente con variación.

Señales: muy difíciles de detectar para el usuario porque parece comunicación legítima. La pista suele estar en el dominio del remitente (subdomain typosquatting, dominio recién registrado), un cambio mínimo en el número IBAN respecto al habitual o una urgencia inusual del jefe.

Defensa: formación específica para roles expuestos (CISO, CFO, dirección financiera, RRHH), procedimientos out-of-band para confirmar peticiones inusuales, monitorización de dominios homógrafos.

3. Whaling

Spear phishing contra "ballenas": altos directivos, CEO, CFO, consejo. Objetivos: transferencias millonarias, acceso a información estratégica, manipulación de comunicación interna durante M&A o crisis. Es una subcategoría de spear phishing definida por el rango del objetivo.

Señales y defensa: igual que spear phishing pero con peso adicional. La formación específica del consejo es obligatoria bajo NIS2 (artículo 20), aunque la materialización práctica varía mucho entre empresas.

4. BEC (Business Email Compromise)

Compromiso real de cuenta corporativa, no solo suplantación. El atacante consigue credenciales de un empleado (normalmente por AitM previo o stealer en endpoint), accede al buzón, observa patrones de comunicación durante semanas y luego envía instrucciones de pago desde la cuenta legítima en el momento justo.

Señales: el correo viene del remitente real, así que no hay anomalía técnica. La pista suele estar en cambios sutiles del IBAN, cambios de tono respecto a la comunicación habitual o presión de tiempo inusual.

Defensa: MFA fuerte para evitar el compromiso inicial, monitorización de inbox rules sospechosas (reglas que ocultan correos al usuario legítimo), procedimientos obligatorios out-of-band para cambios de IBAN o pagos elevados, segregación de funciones en el departamento financiero. Es la categoría que más daño financiero directo causa según FBI IC3.

5. Vishing (voice phishing) y MFA fatigue telefónica

Llamada telefónica suplantando técnicos de IT, bancos, servicios de delivery, autoridades. Crecimiento brutal 2024-2026 por adopción de IA generativa: deepfakes de voz que clonan al CEO o a un familiar a partir de pocos segundos de audio público.

Una sub-variante moderna es la MFA fatigue telefónica, donde el atacante con contraseña robada bombardea con prompts MFA al usuario y, en paralelo, llama haciéndose pasar por IT pidiendo que apruebe el prompt "para resolver un problema". Caso Uber 2022 (Lapsus$) sigue exactamente este patrón.

Casos documentados: Twitter Hack julio 2020 (adolescentes consiguieron acceso a herramientas internas vía vishing dirigido a empleados); Uber septiembre 2022 (MFA fatigue + vishing combinados); estafa al CEO en Reino Unido 2019 (primer caso público de deepfake de voz, ~243.000 USD); MGM 2023 (llamada de 10 minutos al helpdesk con suplantación de empleado).

Defensa: hardening del helpdesk con verificación robusta (videollamada, callback al número en RRHH, preguntas no obvias), formación específica del personal de soporte, política clara de qué información NO se puede confirmar por teléfono.

6. Smishing (SMS phishing)

Phishing por SMS. Suele suplantar operadoras, servicios públicos (Correos, Hacienda, INE, DGT), bancos, plataformas de paquetería. Especialmente eficaz en móvil porque la URL completa raramente se ve y el usuario está en contexto de prisa.

Casos: campañas masivas de FluBot (2021-2022) en España con suplantación de Correos, oleadas continuas atribuidas a servicios criminales hispanoparlantes.

Defensa: bloqueo en pasarela SMS de operadora cuando aplique, formación específica sobre identificación de URLs en móvil, política de no clicar enlaces de SMS de remitente desconocido, validación siempre tecleando manualmente el dominio.

7. Clone phishing

Variante donde el atacante captura un correo legítimo previo (factura, notificación de Microsoft, alerta bancaria), lo replica casi idénticamente y reemplaza enlaces o adjuntos por versiones maliciosas. Lo reenvía desde dominio suplantado o cuenta comprometida.

Señales: el correo parece exactamente como uno legítimo previo. La pista está en pequeñas diferencias del header, dominio del remitente o destino de los enlaces.

Defensa: análisis automático de similitud con correos previos, DMARC con política reject, formación sobre verificación de enlaces antes de clic.

8. AitM (Adversary-in-the-Middle) phishing

La variante moderna más peligrosa. Plataformas como evilginx2, Modlishka, EvilProxy, Tycoon 2FA actúan como proxy entre la víctima y el sitio legítimo: la víctima introduce credenciales y código MFA en la página falsa, el proxy las reenvía al sitio real, captura el cookie de sesión emitido. El atacante recibe sesión activa sin necesitar la contraseña.

Casos: campañas masivas 2022-2026 con evilginx2, EvilProxy y Tycoon 2FA contra portales Microsoft 365, Okta y Google Workspace, centenares de empresas afectadas. (Snowflake mayo-junio 2024 también afectó a cuentas sin MFA fuerte, pero el vector principal fue infostealer en endpoints, no AitM; se trata en el bloque de casos reales.)

Defensa principal: MFA resistente a phishing (FIDO2/WebAuthn, passkeys, hardware tokens). Estas tecnologías ligan la firma a la URL real y son inmunes a kits AitM. SMS, TOTP y push notifications NO bloquean AitM. Detalle en la guía de Man in the Middle.

9. Evil twin (Wi-Fi phishing)

El atacante levanta un punto de acceso Wi-Fi con SSID idéntico al legítimo (STARBUCKS_FREE, AEROPUERTO_GUEST) y señal más fuerte. Los dispositivos se conectan automáticamente y el tráfico pasa por la red del atacante, que puede servir captive portal falso para robar credenciales o ejecutar AitM contra páginas no protegidas.

Defensa: VPN corporativa always-on en endpoints de empleados con perfil viajero, certificate pinning en apps corporativas, formación específica para personal de movilidad alta. Detalle en pharming (variante DNS-spoofing complementaria).

10. Watering hole

Atacante compromete un sitio web frecuentado por el target (web sectorial, foro profesional, portal de proveedores) y sirve payload desde ahí. La víctima visita normalmente y queda comprometida sin haber hecho click en nada externo.

Casos: campañas APT atribuidas a actores estatales contra industrias específicas (Aurora 2010, ataques a sites de RR.HH. de empresas defensa).

Defensa: EDR moderno con detección comportamental, sandboxing del navegador, actualización agresiva de navegadores y plugins, segmentación de red.

11. Search engine phishing (SEO poisoning)

Páginas falsas posicionadas en Google o Bing mediante SEO black-hat para términos populares ("descargar AnyDesk", "soporte Microsoft 365", "Notion download"). El usuario busca, hace click en el resultado patrocinado o primer orgánico, descarga malware o introduce credenciales.

Casos: campañas continuas BatLoader, Gootkit, FakeBat 2023-2026. Especialmente dañinas porque burlan los filtros de email.

Defensa: web filtering corporativo con categorización, política antimalvertising, formación general, ad blockers en endpoints (controvertido pero efectivo), bloqueo de descarga de ejecutables desde categorías sospechosas.

12. QR phishing (quishing)

Variante 2023-2026. Códigos QR maliciosos en lugar de URLs visibles. Aprovecha que el usuario no puede previsualizar el destino del QR antes de escanear con el móvil. Vector común: pegatinas físicas en parquímetros, sticker sobre QR legítimo en restaurantes, QR en correos donde la URL "se rompió", QR en documentos PDF.

Defensa: aplicaciones de escaneo QR que previsualizan URL, formación sobre verificación de QR físicos (pegatina superpuesta), tratar QR en correos con el mismo cuidado que enlaces tradicionales.

Señales de identificación rápida

Independientemente del tipo, hay patrones que disparan sospecha y son enseñables a cualquier empleado.

  • Urgencia inusual: "actúa ya", "tu cuenta se cierra hoy", "última oportunidad", "factura vencida". Cualquier comunicación legítima permite verificar.
  • Cambio sutil en datos críticos: IBAN ligeramente diferente al habitual, dominio con un carácter cambiado, número de teléfono nuevo.
  • Remitente que no encaja: el supuesto banco escribiendo desde dominio gratuito, el supuesto CEO escribiendo desde dominio personal, técnico de IT que no tiene tu nombre en la cuenta interna.
  • Petición que rompe procedimiento: transferencia urgente sin la doble firma habitual, cambio de pago sin notificación previa al área financiera, reset de credenciales sin ticket abierto.
  • Saludo o vocabulario inusual: "Estimado señor" en una empresa donde todos se tutean, jerga ajena a la cultura interna, traducción evidente.
  • Adjuntos inesperados: facturas en formato extraño, ZIPs con contraseña en el cuerpo del correo, archivos con doble extensión, OneNote o ISO inusuales.
  • Llamada que pide saltarse procedimiento: "no abras ticket, esto es urgente", "no llames a verificarme, no tengo tiempo", técnico de IT que pide compartir pantalla y desactivar antivirus.
  • QR sin contexto verificable: pegatina superpuesta, QR en correo de fuente dudosa, QR en lugar de URL en un documento serio.

La regla cultural más eficaz es "si te urge, sospecha". Decisiones bajo presión de tiempo son las más fácilmente manipulables.

Casos reales documentados

Ejemplos que ilustran cada categoría con incidentes públicos.

Twitter Hack (julio 2020), vishing. Adolescentes consiguieron acceso a herramientas internas mediante llamadas a empleados haciéndose pasar por IT. Comprometieron cuentas verificadas de Obama, Musk, Gates para estafa de Bitcoin. Daño financiero bajo, daño reputacional masivo.

Uber breach (septiembre 2022), MFA fatigue. Lapsus$ comprometió a un contratista de Uber con spam de prompts MFA hasta aprobación. Una vez dentro, accedió a vault Thycotic con secretos AWS/GCP/Slack/GitHub.

MGM Resorts (septiembre 2023), vishing. Scattered Spider ejecutó llamada de 10 minutos al helpdesk de MGM haciéndose pasar por empleado, consiguió reset de credenciales, escaló a Active Directory, desplegó ransomware. Daño estimado 100 millones USD. Caesars sufrió ataque similar y pagó ~15 millones.

Snowflake breach (mayo-junio 2024), credenciales robadas por infostealer. UNC5537 accedió a bases de datos Snowflake de múltiples clientes (AT&T, Ticketmaster, Santander) usando credenciales capturadas por infostealers en endpoints de empleados sin MFA. No fue phishing AitM en sentido estricto, pero ilustra por qué MFA débil o ausente equivale a compromiso seguro cuando hay credenciales en circulación underground.

Deepfake CEO scam (2019 Reino Unido), vishing con IA. Llamada con voz clonada del CEO al CFO ordenando transferencia urgente. ~243.000 USD perdidos. Casos similares se han multiplicado desde 2022 con herramientas comerciales de clonación.

FluBot (2021-2022, España y UE), smishing masivo. Suplantación de Correos vía SMS con enlace a APK malicioso. Decenas de miles de víctimas en España antes de operación coordinada Europol que desmanteló la infraestructura en 2022.

Defensa moderna por capas

Las medidas que cierran cada tipo, ordenadas por impacto.

Defensa técnica

  • MFA resistente a phishing (FIDO2/WebAuthn, passkeys). Cierra AitM, MFA fatigue y casi todo el phishing que pretende capturar sesión. Es la inversión defensiva más importante de 2026.
  • Email security multicapa. Microsoft Defender for O365, Google Workspace Advanced Protection, Proofpoint, Mimecast, Abnormal. Sandbox de adjuntos, análisis URL en tiempo de clic, banner externo en correos de fuera del dominio.
  • DMARC, DKIM, SPF estrictos. Política reject para evitar suplantación del propio dominio.
  • EDR moderno que detecta comportamiento post-phishing: ejecución desde Outlook, macros, scripts PowerShell, conexiones C2.
  • Identidad-EDR / ITDR. Microsoft Defender for Identity, CrowdStrike Falcon Identity, Okta ThreatInsight. Detectan login anómalo aunque las credenciales sean correctas.
  • Web filtering corporativo con categorización y bloqueo de descargas desde dominios sin reputación.
  • DNS filtering. Quad9, Cloudflare 1.1.1.1 for Families, Cisco Umbrella. Bloquean resolución de dominios conocidos maliciosos antes de la conexión.
  • VPN always-on en endpoints corporativos para evitar evil twin Wi-Fi.

Defensa organizativa

  • Hardening del helpdesk. Procedimientos formales de reset (videollamada, callback, preguntas no obvias). Caso MGM 2023 demuestra que es el eslabón más débil en muchas organizaciones.
  • Procedimientos out-of-band para transferencias y cambios de IBAN. Doble firma, verificación por canal alternativo.
  • Segregación de funciones financieras.
  • Reporte fácil de sospecha. Botón "reportar phishing" en cliente de correo, canal Slack/Teams dedicado, equipo SOC con respuesta rápida.
  • Cultura "si te urge, sospecha". Comunicación interna que celebra a quien cuestiona.

Defensa formativa

  • Programa anual con simulacros trimestrales. KnowBe4, Cofense, Proofpoint Security Awareness, o equivalentes.
  • Formación específica por rol (helpdesk, financiero, ejecutivo, RRHH).
  • Métricas reales: porcentaje que clica, porcentaje que reporta, tendencia mensual.
  • Refresco específico tras incidentes públicos relevantes del sector.

Encaje con compliance

La defensa frente a phishing aparece en marcos vigentes:

  • NIS2 (artículo 21). Concienciación y formación obligatorias. La formación específica del órgano de dirección es exigencia explícita.
  • DORA (artículo 11). Programas de concienciación digital periódicos.
  • ISO 27001:2022 (controles 5.1, 6.3, 7.3). Política, concienciación, formación.
  • ENS Real Decreto 311/2022. Medidas mp.per (gestión del personal).
  • PCI DSS v4.0 (req. 12.6). Programa formal de concienciación.
  • RGPD (artículo 32). Medidas técnicas y organizativas. La formación entra como medida organizativa exigible.

Preguntas frecuentes

¿Qué tipo de phishing es más peligroso en 2026?

AitM (Adversary-in-the-Middle) es la categoría que más empresas grandes ha comprometido en 2024-2026. Burla MFA por TOTP/SMS/push, captura cookies de sesión y opera con kits disponibles como servicio. Frente a un AitM, solo FIDO2/WebAuthn cierra la puerta.

¿Mi MFA actual me protege contra phishing?

Depende del tipo. MFA por SMS o TOTP (app autenticadora) bloquea phishing clásico pero cae frente a AitM moderno. MFA con FIDO2/WebAuthn (hardware tokens YubiKey, passkeys de plataforma) sí bloquea AitM porque la firma se liga a la URL real. Para cuentas privilegiadas, FIDO2 es prácticamente obligatorio en 2026.

¿Cómo distingo un correo legítimo de spear phishing?

A simple vista es muy difícil porque el atacante invierte en personalización. Las pistas suelen estar en metadatos: dominio del remitente (subdomain typosquatting, dominio reciente), cabeceras del correo, IBAN exacto comparado con el habitual, urgencia inusual respecto a la cadencia normal del emisor. Cuando hay dudas, verificación out-of-band siempre.

¿La formación de phishing reduce de verdad los incidentes?

Sí, con matices. Reduce la tasa de click del 25-30% inicial al 5-15% sostenido tras 12-18 meses de programa serio. Lo que no funciona es esperar a que la formación elimine el problema; siempre queda un porcentaje que cae. Las defensas técnicas (MFA fuerte, EDR, email security) son la red de seguridad.

¿Qué hago si he caído en un phishing en mi empresa?

Reportar inmediatamente al equipo de seguridad. Cuanto antes se sepa, antes se aísla la cuenta y se invalidan sesiones. No intentar "arreglarlo" silenciosamente: el coste reputacional interno por reportar es mínimo comparado con el daño de un incidente que escala sin detectar.

Sí, con condiciones: autorización formal de dirección, comunicación previa al comité de empresa cuando aplique, mensaje educativo claro en la página de "caída" para los usuarios que clican, sin sanción individualizada por caer, retención mínima de datos personales. Sin autorización formal, lanzar phishing simulado contra empleados puede vulnerar RGPD y derechos del trabajador.

¿Quishing (phishing por QR) es realmente un problema?

Sí, ha crecido mucho desde 2023. Vectores comunes: pegatinas físicas sobre QR legítimos en parquímetros o restaurantes, QR dentro de correos electrónicos que el filtro tradicional no analiza, QR en facturas PDF maliciosas. La defensa principal es formación: tratar cualquier QR con el mismo cuidado que un enlace, previsualizar el destino con la cámara antes de abrirlo.

Recursos relacionados

Defensa frente a phishing en Secra

En Secra abordamos el riesgo de phishing en tres frentes habituales: revisión técnica defensiva (MFA resistente a phishing, email security, identidad-EDR, hardening de helpdesk, web/DNS filtering), ejercicios Red Team con vector AitM, vishing y quishing controlado para validar empíricamente detección y respuesta, y diseño de programa de concienciación específico por rol con métricas reales. El entregable habitual es un mapa de riesgos con prioridades concretas y simulacros documentados. Si tu organización aún confía en MFA SMS o TOTP para cuentas privilegiadas, no ha auditado los procedimientos del helpdesk o nunca ha medido empíricamente la resistencia de su plantilla a campañas modernas, escríbenos a través de contacto o consulta nuestro servicio de Red Team.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Qué es SHA-256: función hash, usos reales y comparativa

Qué es SHA-256, cómo funciona como función hash criptográfica, propiedades, usos (TLS, Bitcoin, integridad, JWT) y comparativa con SHA-1, SHA-3 y BLAKE3.

2026-05-1112 min
defensiva

Qué es una botnet: arquitectura, ejemplos reales y cómo defenderse

Qué es una botnet, arquitecturas (C2 centralizado, P2P, Fast Flux, DGA), usos (DDoS, ad fraud, distribución), ejemplos (Mirai, Emotet, Mozi) y defensa.

2026-05-1113 min
defensiva

Qué es adware: tipos, riesgos, ejemplos reales y cómo eliminarlo

Qué es adware, tipos (legítimo, agresivo, malicioso, mobile), ejemplos reales (Fireball, Lenovo Superfish, ad fraud) y cómo eliminarlo en empresa.

2026-05-1012 min