Treinta años han pasado desde que se conoció uno de los términos que, en pleno 2025, se ha convertido en una de las problemáticas más frecuentes en Internet: la estafa cibernética, mejor conocida como phishing. El nombre fue acuñado por AOHell en el grupo de noticias Usenet, espacio en el que se reseñó por primera vez este término, el 2 de enero de 1996, marcando así los primeros indicios de una nueva problemática delictiva en el mundo digital.
Sus orígenes se remontan a America Onlines (AOL), proveedor de acceso a Internet utilizado por millones de usuarios, entre ellos la llamada comunidad warez, quienes comenzaron a realizar ataques de phishing, robando contraseñas y usando algoritmos para generar números de tarjetas de créditos aleatorios, con el objetivo de abrir cuentas en AOL y enviar a través de ellas malspam a otros usuarios.
¿Pero ha habido un cambio? Por supuesto. El phishing de hoy es más profesional, se aplica con inteligencia artificial y es personalizado. Hay un cambio, pero no es que fue eliminado. Dejó de ser una amenaza exclusiva del correo electrónico para llegar a mensajes de texto, llamadas e interacciones en redes sociales.
«El phishing, aunque rudimentario, es el método de estafa más eficaz para los cibercriminales, pues es una práctica que solo requiere impulsar campañas que generen algún impacto psicológico, por decirlo de cierta manera. Y es que ¿cómo no alarmarse si te dicen que te están sacando dinero de tu cuenta bancaria? o ¿cómo no tentarse con ofertas increíbles? Esa es la careta del phishing», detalla Martina López, investigadora en seguridad informática de ESET Latinoamérica.
Transformando el phishing en datos
De acuerdo con la empresa de servicios y soluciones tecnológicas AAG IT, se estima que en todo el mundo se gestionan a diario 3.400 millones de correos electrónico spam (malspam), siendo el robo de credenciales la causa más común de vulneración de datos.
Mientras tanto, ESET alerta que en lo que va de 2025, solo en Latinoamérica se han detectado 16.415.961 correos únicos de phishing, y Chile no se salva.
«Hasta mayo contabilizamos un promedio de 135.000 correos phishing mensuales en el país suramericano. Es seguro que esta cantidad se ha elevado, pues todos los días hay nuevas alertas e incluso ataques conocidos a entidades estatales. El más reciente fue un ransomware dirigido al Instituto de Salud Pública, que aunque no se conoce mayores detalles, no se descarta el phishing o implementación de ingeniería social como punto de entrada. Aunque existen muchos otros métodos, son detalles que las autoridades deberán informar al finalizar la investigación», opina López.
La profesional aclara que muchos ataques de ransomware surgen luego de engaños a empleados u otras personas con acceso a los sistema de una corporación, mediante mecanismos de suplantación, como hacerse pasar por un directivo, ofrecer servicios o descuentos, entre otros, y lograr que la víctima de clic a enlaces infectados.
«Una vez que el cibercriminal tiene acceso a los sistemas de las víctimas, la tarea de llegar a otros, incluso a los de la compañía, se vuelve sencilla», dijo.
¿Cuáles son las amenazas actuales con phishing?
El phishing dejó de ser solo una amenaza vía correo electrónico; hoy se propaga de forma importante a través de mensajes de texto, en plataformas de mensajería instantánea como WhatsApp y Telegram, o llamadas telefónicas.
Por otro lado, el auge de las redes sociales también ha sido clave para que los cibercriminales incursionen por estos medios a través de perfiles falsos y así lograr extender sus ataques.
«Los ciberdelincuentes utilizan técnicas de suplantación de identidad para engañar a usuarios, haciéndose pasar por bancos, instituciones gubernamentales, comercios electrónicos y servicios de streaming. Otra amenaza creciente es el uso de la IA; y no porque la tecnología sea mala por sí misma, sino por el uso malicioso que se le da. Con ella crean mensajes aún más convincentes, incluyendo deepfakes de voz o videos falsos que refuerzan el engaño», explica.
Además, al término del phishing se le suma la palabra «dirigido» (spear phishing): esta modalidad apunta a perfiles específicos dentro de compañías y otras organizaciones, como gerentes o personal administrativo con acceso a información sensible, lo que aumenta las probabilidades de éxito de los ataques.
«Es importante estar muy alerta. Debemos ser desconfiados, cautelosos y egoístas con la información personal y aquella sensible que esté a nuestro cargo. Hoy existe una gran campaña para concientizar a las personas: marcas en todo el mundo, desde banca hasta retail, se han alineado para llamar a los usuarios a validar los canales oficiales. Sin embargo, todavía queda un largo camino en materia de cultura de ciberseguridad entre los ciudadanos. El eslabón más débil de la cadena sigue siendo el factor humano», finaliza López.
