+54 9 11 5352-6030
[email protected]

teka.ai

10 ejemplos de phishing en pymes

10 ejemplos de phishing en pymes (y cómo la IA ayuda a detectarlo)

por | Ene 13, 2026

Ciberseguridad | Inteligencia Artificial

El phishing es un ciberataque de ingeniería social que usa suplantación de identidad para inducir al usuario a entregar credenciales o ejecutar enlaces/adjuntos maliciosos. Es una pieza clave dentro de la ciberseguridad en las pymes, porque aprovecha la urgencia y la confianza del día a día.

Para una pyme, un correo malicioso puede tener consecuencias devastadoras con un coste medio global que ronda los US$ 4,88 millones por caso. Pero las consecuencias no son solo en lo económico, sino también en la operación del negocio, la reputación y el cumplimiento normativo.

La buena noticia es que con el avance de la inteligencia artificial (IA) en ciberseguridad, las pymes ganan precisión y velocidad. Pueden filtrar mejor los correos maliciosos, detectar dominios look-alike y bloquear páginas clonadas antes del clic, además de automatizar la respuesta (aislar equipos, revocar sesiones, forzar cambios de contraseña) sin ampliar el equipo de TI.

¿Qué es el phishing?

Cuando hablamos de phishing nos referimos a un tipo de ciberataque basado en la suplantación de identidad con fines de fraude. El atacante se hace pasar por una organización legítima para que un empleado (víctima) haga clic en un enlace, entregue información personal, datos confidenciales o ejecute un archivo adjunto que instala malware. El principal canal sigue siendo el correo electrónico (también verás “correo phishing”), pero hoy llegan por mensaje de texto, redes sociales, anuncios y hasta códigos QR pegados en la oficina representando una de las amenazas de ciberseguridad más comunes en pymes.

LECTURA RECOMENDADA: Los 10 mejores consejos de seguridad empresarial en 2026

¿Cómo funciona el phishing?

El phishing funciona porque mezcla suplantación de identidad con mensajes urgentes que aparentan venir de una organización legítima. En pocos pasos —y casi sin darse cuenta— la víctima termina entregando información delicada, credenciales de inicio de sesión o datos de la empresa en un sitio web falso.

¿Cómo funciona el phishing?
¿Cómo funciona el phishing?

Entonces, ¿cuáles son las etapas de un ataque de phishing?

  1. Preparación (suplantación de identidad):
 El atacante se hace pasar por una empresa conocida o por proveedor (logo, tono, firma), creando una comunicación fraudulenta que luce legítima.
  2. Cebo:
El empleado recibe un correo electrónico o mensaje de texto que parece real (a veces también por redes sociales o QR en la oficina).
  3. Urgencia o miedo (gatillo emocional):
 El mensaje presiona: “verifica tu cuenta hoy”, “tu tarjeta de crédito será bloqueada”, “último aviso de paquetería”. La idea es que actúe sin pensar.
  4. Engaño / Llamada a la acción:
 Le piden hacer clic en un enlace o abrir un archivo adjunto (“factura”, “recibo”, “documento de RR. HH.”). Clásico clic en enlace correo.
  5. Redirección:
 El enlace lleva a un sitio malintencionado que se hace pasar por el banco, la paquetería o tu página web corporativa: es un sitio web falso.
  6. Robo de información:
 En la web clonada el empleado ingresa sus credenciales de inicio de sesión, información financiera o datos personales; todo queda capturado por el atacante.
  7. Compromiso del entorno:
 Con las credenciales, el atacante entra a tu correo/ERP, mueve dinero, cambia cuentas bancarias o deja malware desde el archivo adjunto.
  8. Movimiento lateral y BEC (fraude del proveedor):
 Desde la casilla comprometida envía correos electrónicos internos a la organización pidiendo un cambio de cuenta o una transferencia urgente.

10 tipos de phishing que afectan a las pymes

En esta guía reunimos ejemplos de phishing reales y casos de phishing en empresas típicos de pymes. Veremos cómo actúan, qué señales los delatan y cómo la inteligencia artificial (IA) ayuda a frenarlos antes de que afecten tu operación.

10 tipos de phishing
10 tipos de phishing

1. Spear phishing

El spear phishing es una suplantación de identidad altamente personalizada contra una persona o rol específico (CEO, finanzas, RR. HH.). Antes del ataque, el criminal investiga (redes sociales, web de la empresa, correos filtrados) para imitar tono, firma, cargo y rutinas. La meta suele ser robar credenciales de inicio de sesión, desviar pagos o acceder a información confidencial.

Ejemplo de spear phishing

Una contadora recibe un correo electrónico “de su superior” con asunto “Revisar pago hoy – urgente”, adjunto “Factura.zip” y enlace a un supuesto portal de firma. El remitente usa un dominio look-alike y firma creíble. Al hacer clic, llega a un sitio web falso que pide credenciales de Microsoft 365; si las ingresa, el atacante accede al correo, cambia la cuenta bancaria del proveedor y ordena una transferencia.

¿Cómo ayuda la IA a detectar spear phishing?

  • Análisis de estilo (NLP/LLM): compara el lenguaje del mensaje sospechoso con el patrón habitual del directivo y marca desviaciones (saludos, urgencias, formas de pedir dinero).
  • Reputación y parecido de dominios: ML para detectar dominios homógrafos y correos desde organización no alineada (SPF/DKIM/DMARC).
  • Expansión segura de enlaces y sandbox de adjuntos: abre shortlinks y analiza archivos adjuntos en entorno controlado antes del usuario.

2. Whaling

El whaling es una variante de spear phishing enfocada en altos cargos (CEO, CFO, dirección). El atacante investiga con detalle (prensa, LinkedIn, conferencias, agenda pública) para imitar tono, prioridades y estilo del ejecutivo.

Ejemplo de whaling

El CFO recibe un email “del presidente del directorio” con asunto: “Necesito aprobación hoy — confidencial”. El mensaje hace referencia a una operación de adquisición mencionada en prensa y pide autorizar una transferencia “puente” a una cuenta bancaria nueva, con la instrucción explícita de no involucrar a terceros “por confidencialidad”. La firma y el dominio look-alike pasan desapercibidos por la presión de tiempo. Si el CFO aprueba sin verificar por un canal alternativo, el dinero se desvía al atacante.

¿Cómo ayuda la IA a detectar whaling?

  • Contexto y sensibilidad del contenido: clasifica el correo como financiero/estratégico (M&A, pagos) y eleva la prioridad de revisión si incluye cuentas bancarias nuevas o peticiones de confidencialidad.
  • UEBA en cuentas VIP: vigila inicios de sesión atípicos, creación de reglas de reenvío y accesos a documentos sensibles tras el correo.
  • Orquestación y control de pagos: integra con ERP/Tesorería para bloquear o requerir doble verificación cuando se solicita un cambio de beneficiario o una transferencia fuera de política.

3. Smishing y vishing

El smishing es phishing por mensaje de texto (SMS/WhatsApp) y el vishing ocurre por llamada telefónica con el fin de robar información personal y códigos MFA . Suelen usar remitentes “conocidos”, links acortados y guiones muy convincentes (“tu cuenta será bloqueada”, “confirma un pago”).

Ejemplo de smishing y vishing

Un empleado de logística recibe un SMS de “paquetería”: “No pudimos entregar tu pedido. Reprograma aquí” con un enlace a una página web clonada que pide credenciales de inicio de sesión. Ese mismo día, recibe una llamada de un supuesto “soporte de TI” que confirma el incidente y le solicita el código MFA “para desbloquear la cuenta”. Si entrega el código o completa el formulario, el atacante accede al correo y al portal interno.

¿Cómo ayuda la IA a detectar smishing y vishing?

  • Análisis de enlaces en SMS: expansión de shortlinks, reputación de dominio y detección de sitio malintencionado antes del clic.
  • Señales lingüísticas y de voz: NLP/voice analytics para identificar guiones de estafa phishing (urgencia atípica, solicitudes de información confidencial).
  • Controles en el dispositivo: políticas MDM que bloquean instalación de apps dudosas y forzan navegación segura; advertencias automáticas ante mensajes sospechosos.

4. Phishing bancario

El phishing bancario imita comunicaciones de tu entidad financiera para robar credenciales de inicio de sesión, información personal y datos de tarjeta de crédito.

Ejemplo de phishing bancario

Un responsable de compras recibe un correo del “banco” con asunto: “Actividad sospechosa: verifica tu cuenta ahora”. El mensaje incluye un botón “Iniciar sesión” que lleva a una página web clonada. Allí se piden usuario, contraseña y código 2FA, e incluso los datos de la tarjeta “para validar identidad”. Si los ingresa, el atacante toma la banca online y modifica cuentas bancarias de proveedores para desviar pagos.

¿Cómo ayuda la IA a detectar phishing bancario?

  • Reconocimiento de marca y diseño (visión + ML): detecta discrepancias en logotipos, paleta y maquetación frente al sitio legítimo; puntúa sitio malintencionado por similitud sospechosa.
  • Reputación y señales técnicas: valida certificados TLS, whois, hosting y presencia previa del dominio; alerta de dominios look-alike y shortlinks.
  • UEBA y contexto transaccional: corrige intentos de inicio de sesión desde países/horarios inusuales y compara cambios de información bancaria con históricos del ERP.

5. Redes sociales y suplantación de dominio

En este tipo de ataque, el criminal se hace pasar por tu marca o por una organización legítima usando perfiles falsos en redes sociales y/o dominios similares al de la organización (miempresa-support.com) para dirigir a empleados o clientes a un sitio web falso y robar credenciales de inicio de sesión o información personal. Suele apoyarse en mensajes de reclutamiento, soporte, promociones o “verificaciones” de cuenta.

Ejemplo de redes sociales/suplantación de dominio

Una analista recibe un mensaje en LinkedIn de “Recursos Humanos” invitándola a un portal de beneficios. El perfil luce real (logo, cargo, posts), y el enlace apunta a beneficios-miempresa.com (dominio similar). La página web clona el login corporativo y solicita usuario, contraseña y código MFA “para activar el beneficio”. Si los ingresa, el atacante accede al correo y a herramientas internas.

¿Cómo ayuda la IA a detectar suplantación en redes y dominio?

  • Detección visual y de marca (visión + ML): identifica logos alterados, paletas y maquetaciones que imitan tu web; puntúa sitio malintencionado por similitud sospechosa.
  • Reputación y parecido de dominios: ML para dominios homógrafos y typosquatting; verificación de whois/hosting y expansión de shortlinks.
  • NLP para mensajes y DMs: reconoce patrones de reclutamiento fraudulento, “soporte” que pide información confidencial, y urgencias atípicas.

6. Fraude del proveedor / BEC

El BEC ocurre cuando un pirata informático suplanta a un proveedor o compromete el email de alguien dentro de la empresa (dirección, finanzas) para desviar pagos o cambiar cuentas bancarias.

Ejemplo de BEC / fraude del proveedor

Tesorería recibe un correo electrónico en una cadena real con el proveedor “X”: “Estamos migrando de banco; por favor, realiza la próxima transferencia a esta nueva cuenta”. El mensaje viene desde un dominio similar (proveed0r.com) o desde la casilla comprometida del proveedor, con firma correcta y tono habitual. Si el equipo actualiza la información bancaria sin verificar por un canal alternativo, el pago termina en manos del atacante.

¿Cómo ayuda la IA a detectar suplantación en redes y dominio?

  • Detección de cambios financieros sensibles: modelos que rastrean solicitudes de cambio de cuenta/IBAN/CVU y les asignan alto riesgo en hilos de pago.
  • Reputación y parecido de dominios: ML para dominios homógrafos y verificación de SPF/DKIM/DMARC; alerta si el remitente no está alineado con el dominio esperado.
  • Contexto contable: correlación con ERP y órdenes de compra (¿existe esa factura? ¿ese monto/beneficiario coincide con históricos?).

7. Clonación de sitio y HTTPS falso

La clonación de sitio consiste en copiar el sitio web de una organización legítima (diseño, logos, textos) y alojarlo en un dominio similar al de la empresa. Aunque muestre el candado HTTPS, es un sitio web falso que busca capturar credenciales de inicio de sesión, información privada o datos de tarjeta de crédito.

Ejemplo de clonación de sitio y HTTPS falso

El equipo de facturación recibe un correo “del banco” con botón “Iniciar sesión”. El enlace abre “micuentabanc0.com” (cero por “o”), una página web idéntica a la oficial, con HTTPS y favicon correcto. El formulario pide usuario, contraseña y código MFA “por seguridad”. Si los ingresan, el atacante toma la banca en línea y modifica cuentas bancarias de proveedores.

¿Cómo ayuda la IA a detectar páginas clonadas?

  • Detección visual (visión + perceptual hash): compara maquetación, logos y paleta con el sitio real y puntúa similitud sospechosa aunque el HTML esté ofuscado.
  • Señales técnicas y reputación: ML sobre certificados TLS, whois, hosting y antigüedad; alerta por dominios homógrafos y cadenas de shortlinks.
  • Análisis del DOM y comportamiento: identifica formularios que envían credenciales a endpoints extraños, scripts de captura y redirecciones ocultas.

8. Adjuntos maliciosos

El ataque llega como archivo adjunto (“Factura.zip”, “Orden de compra.html”, “CV.docm”). Al abrirlo, puede instalar malware o mostrar un formulario falso para capturar información personal y credenciales. Es frecuente en email de compras, ventas y RR. HH.

Ejemplo de adjuntos maliciosos

Un “Orden de compra.html” abre un formulario de inicio de sesión con tu logo. Si lo completas, el atacante obtiene acceso al correo y cambia cuentas bancarias de proveedores; un “CV.zip” puede ejecutar un instalador oculto.

¿Cómo ayuda la IA a detectar páginas clonadas?

  • Abre el adjunto en un entorno aislado y bloquea si ve comportamientos de malware.
  • Reconoce formularios falsos que intentan robar información confidencial.
  • Si alguien cae, inicia una respuesta automática: alerta, cierre de sesión y cambio de contraseña para cortar el impacto.

9. Phishing de paquetería y logística

Este tipo de phishing usa avisos falsos de envíos, “aduana” o “reparto fallido” para que alguien haga clic en un enlace, visite un sitio web falso o entregue información personal y datos de tarjeta de crédito.

Ejemplo de phishing de paquetería

“No pudimos entregar tu paquete. Reprograma aquí”. El correo electrónico (o SMS) incluye un botón a una página web clonada que pide credenciales de inicio de sesión y un “pequeño pago” de verificación. Si la persona completa el formulario, el atacante obtiene usuario/contraseña y la información bancaria.

¿Cómo ayuda la IA a detectar phishing de paquetería?

  • Revisa el enlace: expande shortlinks y bloquea sitios malintencionados antes del clic.
  • Compara con pedidos reales del ERP para detectar mensajes que no coinciden con casos de phishing en empresas anteriores.
  • Marca mensajes sospechosos con urgencia típica (“último aviso”, “aduana”) y solicita verificación por canal interno.

10. Phishing de soporte técnico

Se hace pasar por IT/Soporte para que el empleado entregue códigos MFA, instale software falso o cambie su contraseña en un sitio malintencionado.

Ejemplo de soporte técnico

“Tu cuenta será bloqueada por actividad inusual. Restablece aquí.” El botón lleva a una página web que clona el login de Microsoft 365 y pide el código MFA “para verificar identidad”. Si lo ingresa, el atacante toma el correo y crea reglas de reenvío ocultas.

¿Cómo ayuda la IA a detectarlo?

  • Análisis del contenido: marca urgencias atípicas de “soporte” y pedidos de código MFA (política: nunca por correo).
  • Inspección de enlaces: expande shortlinks y bloquea sitios malintencionados antes del clic.
  • Detección post-clic (UEBA): alerta por creación de reglas de reenvío, múltiples intentos MFA o accesos desde países no habituales.

¿Cómo evitar el phishing con IA? Consejos para pymes

Si te preguntas cómo evitar el phishing en una empresa, la respuesta es una mezcla de básicos bien configurados, auditoría de ciberseguridad y controles con IA que filtran, priorizan y aceleran la respuesta. Mi regla práctica: deja que la IA haga el trabajo pesado y estandariza hábitos simples para el equipo.

  1. Activa la verificación del dominio del correo (DMARC, SPF, DKIM)

    En palabras simples, hay que decirle a Internet “estos son mis correos reales”. Así es más difícil que alguien mande mensajes falsos “en tu nombre”.
Con IA: los gateways detectan dominios similares y aplican políticas DMARC más estrictas si ven riesgos.

  2. Usa verificación en dos pasos (MFA)

    Aunque roben la contraseña, sin el segundo paso (código del celular, app) no pueden entran.
Con IA: los motores de UEBA bloquean o elevan el desafío MFA si notan inicio de sesión desde país/horario inusual.

  3. Pon un filtro de correo con IA

    Es el “perro guardián” que revisa asunto, texto, enlaces y adjuntos buscando señales de trampa.
Con IA: abre enlaces de forma segura antes que el usuario y bloquea páginas falsas.

  4. Entrena al equipo cada 3 meses con simulaciones

    Envíales ejemplos de correos falsos (seguros) para que practiquen.
Con IA: genera ejemplos de phishing realistas por rol (ventas, finanzas) y mide tasa de clic y tasa de reporte.

  5. Cambia la forma de validar pagos

    Todo cambio de información bancaria se valida por teléfono conocido/portal del proveedor.
Con IA: marca correos donde aparece un IBAN/CVU nuevo y los envía a revisión.

Conclusión

El phishing seguirá aprovechando la suplantación de identidad y los mensajes urgentes para robar credenciales y datos personales por correo, SMS, llamadas y sitios web falsos. Con buenas prácticas y IA en el filtro de correo, las pymes pueden reducir gran parte del riesgo.

Temas Clave: Ciberseguridad | Inteligencia Artificial
Fernando Cabello
Cofundador de Tec5.Tech, una empresa líder de tecnología en Argentina. Su liderazgo orientado a personas y resultados le valió a Tec5.Tech el reconocimiento de Great Place to Work (categoría PyMEs). Fernando impulsa iniciativas de innovación y crecimiento que conectan negocio y tecnología con foco en impacto real para los clientes.

Notas Relacionadas