Phishing
Técnica de ingeniería social donde los atacantes suplantan la identidad de entidades legítimas (bancos, empresas, organismos) para engañar a las víctimas y obtener credenciales, datos financieros o instalar malware.
¿Qué es el Phishing?
El phishing es una técnica de ingeniería social en la que los atacantes envían comunicaciones fraudulentas (principalmente emails) que aparentan provenir de fuentes legítimas para engañar a las víctimas y obtener información sensible como contraseñas, datos bancarios, o instalar malware.
Amenaza Persistente
El phishing sigue siendo el vector de ataque más efectivo. Más del 90% de los ciberataques comienzan con un email de phishing. Los ataques son cada vez más sofisticados y difíciles de detectar.
Tipos de Phishing
| Tipo | Descripción | Objetivo |
|---|---|---|
| Phishing masivo | Emails genéricos a miles de destinatarios | Cualquier víctima |
| Spear phishing | Personalizado para individuo específico | Directivos, empleados clave |
| Whaling | Dirigido a altos ejecutivos | CEOs, CFOs |
| Smishing | Phishing por SMS | Usuarios de móvil |
| Vishing | Phishing por llamada telefónica | Personas mayores, empresas |
| Clone phishing | Replica email legítimo previo | Víctimas específicas |
| BEC | Suplantación de email empresarial | Departamentos financieros |
Indicadores de Phishing
En el Remitente
Legítimo: [email protected]
Phishing: [email protected] (cero por "o")
[email protected]
[email protected]El Nombre No Es el Email
El nombre visible del remitente (“Banco Santander”) puede ser cualquier texto. Lo importante es el email real (la parte después de “From:”).
En el Contenido
| Indicador | Ejemplo |
|---|---|
| Urgencia artificial | ”Su cuenta será bloqueada en 24 horas” |
| Amenazas | ”Acceso no autorizado detectado” |
| Errores gramaticales | Traducciones automáticas deficientes |
| Saludo genérico | ”Estimado cliente” en vez de tu nombre |
| Solicitud de datos | Pedir contraseñas, PINs, o datos completos |
En los Enlaces
Visible: https://www.santander.es/login
Real: https://www.santander-verificar.com/es/login
Técnica: Pasar el ratón sobre el enlace sin hacer clic para ver la URL real.Análisis Forense de Phishing
Cabeceras de Email
Las cabeceras contienen información técnica crucial:
Return-Path: <[email protected]>
Received: from mail.malicious-server.com (185.234.xx.xx)
by gmail.com
From: "Banco Santander" <[email protected]>
Reply-To: [email protected]
X-Originating-IP: [185.234.xx.xx]Información Extraíble
| Campo | Información |
|---|---|
| Received | Servidores por donde pasó el email |
| X-Originating-IP | IP del remitente original |
| Return-Path | Email real de retorno |
| Reply-To | Dónde van las respuestas |
| SPF/DKIM/DMARC | Validación de autenticidad |
Proceso de Análisis
Preservar evidencia: Guardar email completo con cabeceras (formato .eml).
Analizar cabeceras: Extraer IPs, servidores, y verificar SPF/DKIM.
Examinar URLs: Analizar enlaces sin hacer clic, verificar dominio real.
Analizar adjuntos: En entorno seguro (sandbox), verificar si hay malware.
Investigar infraestructura: WHOIS del dominio, geolocalización de IPs.
Documentar: Capturas con timestamp, hashes de evidencia.
Herramientas de Análisis
Análisis de Cabeceras
| Herramienta | Uso |
|---|---|
| MXToolbox Header Analyzer | Análisis online de cabeceras |
| Google Admin Toolbox | Parsing de headers |
| Email Header Analyzer | Visualización de ruta |
Análisis de URLs
| Herramienta | Uso |
|---|---|
| VirusTotal | Reputación de URLs |
| URLScan.io | Screenshot y análisis |
| PhishTank | Base de datos de phishing |
Análisis de Adjuntos
| Herramienta | Uso |
|---|---|
| Any.run | Sandbox online |
| Hybrid Analysis | Análisis de malware |
| VirusTotal | Múltiples antivirus |
Caso: Fraude Bancario por Phishing
Escenario
Un cliente recibe email de “su banco” informando de actividad sospechosa. Hace clic en el enlace, introduce sus credenciales, y los atacantes vacían su cuenta (15.000€).
Análisis Forense
1. Email preservado
From: "Banco BBVA - Seguridad" <[email protected]>
Subject: [URGENTE] Actividad sospechosa detectada
Date: 15 Jan 2026 09:32:14 +0100
Análisis de cabeceras:
- Dominio bbva-seguridad.online registrado hace 3 días
- IP origen: 91.234.xx.xx (Rusia)
- SPF: FAIL (no autorizado por bbva.es)
- DKIM: Ausente2. Página de phishing
URL: https://bbva-seguridad.online/es/login
- Copia exacta de la página real de BBVA
- Certificado SSL válido (Let's Encrypt)
- Formulario envía datos a servidor atacante
- Dominio registrado con datos falsos3. Timeline
09:32 - Email recibido
09:35 - Víctima hace clic
09:36 - Introduce credenciales
09:41 - Primera transferencia fraudulenta
09:47 - Segunda transferencia
10:15 - Víctima detecta el fraudeInforme Pericial
El informe documenta:
- Sofisticación del ataque (certificado SSL, copia exacta)
- Indicadores técnicos de fraude
- Timeline de eventos
- Análisis de por qué un usuario razonable podría ser engañado
Para Reclamación Bancaria
El informe pericial puede ayudar a demostrar que la víctima actuó de forma razonable y que el phishing era lo suficientemente sofisticado para engañar a una persona prudente, fortaleciendo la reclamación contra el banco.
BEC: Business Email Compromise
Qué Es
El atacante compromete o suplanta un email empresarial legítimo para solicitar transferencias fraudulentas.
Ejemplo Típico
De: CEO (email comprometido o spoofed)
Para: Director Financiero
Asunto: Transferencia urgente - confidencial
Necesito que realices una transferencia urgente de 50.000€
a este proveedor. Es confidencial, no lo comentes con nadie.
Te llamo luego para explicarte.
[El CFO ejecuta la transferencia a cuenta del atacante]Análisis Forense BEC
- Verificar si el email fue comprometido o spoofed
- Analizar logs de acceso al correo
- Investigar posible ingeniería social previa
- Rastrear la cuenta de destino
Marco Legal
Delitos Aplicables
| Delito | Artículo CP | Pena |
|---|---|---|
| Estafa | 248-251 | 6 meses - 3 años |
| Estafa agravada | 250 (>50.000€) | 1-6 años |
| Usurpación estado civil | 401 | 6 meses - 3 años |
| Acceso ilícito | 197 bis | 6 meses - 2 años |
Dónde Denunciar
- Policía Nacional: Brigada de Investigación Tecnológica
- Guardia Civil: Grupo de Delitos Telemáticos
- INCIBE: Reportar para alertar a otros
- Banco suplantado: Para que alerten a clientes
Responsabilidad del Banco
Según jurisprudencia reciente y normativa de servicios de pago:
| Situación | Responsabilidad |
|---|---|
| Phishing sofisticado, víctima prudente | Banco debe reembolsar |
| Negligencia grave de la víctima | Banco puede negarse |
| Falta de medidas de seguridad del banco | Banco responsable |
| Víctima ignoró avisos claros de fraude | Negligencia del cliente |
El informe pericial puede ser determinante para establecer si el phishing era detectable por un usuario medio.
Recomendaciones de Prevención
Para Usuarios
- Verificar siempre el dominio real del remitente
- No hacer clic en enlaces de emails inesperados
- Acceder al banco escribiendo la URL directamente
- Activar doble factor de autenticación
Para Empresas
- Implementar SPF, DKIM y DMARC
- Formación continua en concienciación
- Simulacros de phishing periódicos
- Protocolos de verificación para transferencias
Conclusión
El phishing sigue siendo la amenaza más común y efectiva. El análisis forense de ataques de phishing permite documentar la sofisticación del fraude, identificar a los atacantes cuando es posible, y proporcionar evidencia para procedimientos judiciales y reclamaciones bancarias. Un informe pericial riguroso puede ser la diferencia entre recuperar o no el dinero perdido.
Última actualización: 18 de enero de 2026 Categoría: Seguridad Código: PHS-001
Preguntas Frecuentes
¿Cómo saber si un email es phishing?
Verificar el dominio real del remitente (no el nombre visible), buscar errores ortográficos, comprobar que los enlaces apuntan al dominio legítimo, y desconfiar de urgencia o amenazas inusuales.
¿Puedo denunciar un intento de phishing?
Sí. Si hubo perjuicio económico, es delito de estafa. Puedes denunciar ante Policía Nacional o Guardia Civil. También reportar a INCIBE y al banco suplantado.
¿El banco me devuelve el dinero si caigo en phishing?
Depende. Si el banco demuestra negligencia grave del cliente, puede no reembolsar. Un informe pericial puede ayudar a demostrar que el phishing era sofisticado y la víctima actuó razonablemente.
Términos Relacionados
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita