Explicación del phishing como servicio (PhaaS)
por
Última actualización: 6 Tiempo de lectura: 6 min
Aunque lucrativa, la ciberdelincuencia tiene una alta barrera de entrada. En el pasado, los piratas informáticos necesitaban conocimientos y habilidades para desarrollar sus ataques desde cero. Sin embargo, en los últimos tiempos, estas barreras técnicas son cosa del pasado con el auge del sector clandestino del phishing como servicio. Ahora cualquiera puede convertirse en un ciberdelincuente con el clic de un botón si sabe dónde buscar y cuánto quiere gastar.
El phishing puede ser el primer paso de un sofisticado esquema de robo de datos, y sigue siendo una táctica popular por una simple razón: funciona. Ha existido durante mucho tiempo, pero los ciberdelincuentes de hoy en día saben cómo utilizarlo de muchas maneras.
Según las estadísticas del FBI, el phishing y sus variantes fueron el tercer ciberdelito ciberdelitos en 2017, lo que se tradujo en unos 30 millones de dólares en daños. Los ataques de suplantación de identidad aumentaron significativamente en 2019. Los correos electrónicos de phishing fueron un punto de entrada principal para el ransomware en 2020, representando hasta el 54% de todas las vulnerabilidades digitales. El mal comportamiento de los usuarios y la falta de formación en ciberseguridad y de protocolos de autenticación reforzados fueron factores cruciales que contribuyeron a estas alarmantes estadísticas.
Aprenda a mitigar "no se ha encontrado ningún registro DMARC"aquí.
Puntos clave
- El auge del phishing como servicio ha reducido considerablemente las barreras que impiden a las personas dedicarse a la ciberdelincuencia.
- El phishing sigue siendo un método frecuente y eficaz para que los ciberdelincuentes roben información confidencial a usuarios desprevenidos.
- Las empresas deben dar prioridad a la formación de los empleados e implantar sistemas de protección contra los ataques de phishing.
- Utilizar protocolos de autenticación de correo electrónico como DMARC puede mejorar mucho la seguridad y reducir las posibilidades de que los ataques de phishing tengan éxito.
- Permanecer alerta y mantener actualizado el software antivirus puede ayudar a mitigar el riesgo de ser víctima de esquemas de phishing.
¿Qué es el phishing como servicio (PhaaS)?
El phishing como servicio (PhaaS) es un tipo de ciberdelincuencia organizada en la que los delincuentes ofrecen a través de Internet servicios de phishing a otros a cambio de dinero. El phishing es una variante del fraude por correo electrónico en la que los delincuentes envían mensajes haciéndose pasar por una empresa legítima para engañar a la gente y conseguir que les facilite información personal, como datos bancarios o contraseñas. Los proveedores de phaaS suelen crear sitios web y páginas de destino falsos que parecen reales, lo que dificulta aún más que la gente detecte la estafa.
El phishing como servicio es cada vez más sofisticado, y los proveedores de phaaS a menudo pueden eludir medidas de seguridad como la autenticación de dos factores del correo electrónico. En consecuencia, el phishing como servicio es un problema creciente del que las empresas deben ser conscientes. Hay medidas que las empresas pueden tomar para protegerse contra él, como formar a los empleados para que sepan detectar los correos electrónicos de phishing, utilizar programas antiphishing y aplicar protocolos de autenticación del correo electrónico. Sin embargo, a medida que los proveedores de phishing como servicio se vuelven más astutos, las empresas deben estar siempre alerta para protegerse.
¡Protéjase contra el phishing con PowerDMARC!
¿Por qué es un problema el phishing como servicio?
Para muchas empresas, la proliferación de PhaaS es un peligro. El phishing es ya un problema de seguridad importante; según Egress, el 73% de las empresas han sido objeto de ataques de phishing con éxito en el año anterior. La monetización de los kits de phishing sólo va a agravar la situación.
El phishing como servicio es un problema, ya que reduce la barrera del phishing.
PhaaS ha inspirado a una nueva generación de ciberdelincuentes a probar suerte con el phishing al reducir los obstáculos de entrada, y el retorno de la inversión para ellos es enorme. Para enviar un correo electrónico eficaz, un ciberdelincuente suele necesitar saber HTML. También necesita saber cómo crear un sitio web que parezca auténtico, incluso mientras roba credenciales. Si alguien adquiere un kit de phishing, estos conocimientos no son necesarios para llevar a cabo un asalto de phishing. Hay muy poco tiempo entre la concepción de un ataque y su "realización".
Incluso las personas que ya están ejecutando asaltos de phishing pueden beneficiarse de PhaaS. Y es que la capacidad de los autores suele limitar el éxito de una campaña de phishing. Pero más personas caerán en sus ataques si compran un kit de phishing.
PhaaS también hace más difícil perseguir los intentos de phishing.
Permite a las personas expertas en la creación de kits de phishing ganar con el negocio sin realizar ningún asalto de phishing. Si el usuario de un kit de phishing es capturado, es poco probable que la persona que lo vendió se enfrente a cargos. Así, el ciberdelincuente real puede seguir vendiendo kits similares a otras personas.
¿Cómo mitigar la amenaza del phishing?
El phishing, aunque es un viejo truco, seguirá engañando a los usuarios, pero puede mantenerse a salvo aplicando las siguientes prácticas recomendadas:
Formar a sus empleados
Además de educar a sus empleados sobre el phishing, es esencial contar con sistemas que puedan proteger a su empresa si un empleado cae en una estafa de phishing. Por ejemplo, debería considerar el uso de un filtro de spam para bloquear los correos electrónicos sospechosos que lleguen a las bandejas de entrada de sus empleados. También debe tener un proceso para informar de los correos electrónicos sospechosos para que puedan ser investigados. Tomar estas precauciones puede ayudar a mantener su empresa a salvo de los ataques de phishing.
No haga nunca clic en enlaces sospechosos
En primer lugar, desconfíe de cualquier correo electrónico o mensaje de texto no solicitado que afirme proceder de una organización de confianza. Incluso si el mensaje parece provenir de una empresa conocida, nunca haga clic en los enlaces o archivos adjuntos a menos que esté seguro de que son seguros. Si no está seguro, vaya directamente al sitio web de la organización en lugar de hacer clic en los enlaces del mensaje.
Mantenga su software antivirus actualizado
Un software antivirus puede detectar y bloquear los ataques de phishing, pero sólo si está actualizado. Un software anticuado puede no reconocer las últimas estafas de phishing, dejándole vulnerable a los mismos ataques. Por lo tanto, compruebe regularmente su software antivirus para asegurarse de que está actualizado y funciona correctamente. Además, no olvide mantener actualizado el resto del software, como el sistema operativo y el navegador web.
Por último, tenga cuidado al dar información personal en línea. Los phishers pueden hacerse pasar por empresas legítimas para engañarle y hacerle revelar información sensible. Por tanto, sólo debes proporcionar tu información personal a sitios web de confianza.
Utilice DMARC para autenticar sus correos electrónicos
Los correos electrónicos de phishing pueden mantenerse fuera de la bandeja de entrada gracias a los filtros de spam del correo electrónico, pero los hackers intentan continuamente saltarse estos filtros. No existe un canal con un alcance más enorme que el correo electrónico, que cuenta con unos 5.000 millones de cuentas en todo el mundo. Por ello, los atacantes prefieren utilizar el correo electrónico como vía para sus intenciones dañinas.
Aquí es donde DMARC interviene para resolver los problemas que los filtros de spam no pueden resolver.
DMARC ha sido diseñado para combatir la suplantación de identidad y los ataques de phishing por correo electrónico que son el resultado de dominios empresariales falsificados. DMARC no sólo le ofrece una visibilidad completa de sus canales de correo electrónico, sino que también hace evidentes los ataques de phishing. Mediante la supervisión constante y la verificación de la fuente, puede reducir el impacto de los ataques de phishing, evitar la suplantación de identidad, proteger contra el abuso de marca y las estafas, y evitar que el correo electrónico empresarial se vea comprometido.
Las organizaciones que no están familiarizadas con los detalles de la implementación o que quieren ahorrar tiempo y esfuerzo de implementación pueden utilizar nuestro Analizador DMARC para agilizar su proceso de implantación.
La creación de un registro DMARC para su dominio puede proteger su marca y a sus clientes de los ataques de phishing.
Un registro DMARC contiene cuatro componentes clave:
- Política DMARC
- Alineación del FPS
- Alineación DKIM
- Opciones de información
El sitio política DMARC especifica cómo deben tratarse los correos electrónicos entrantes en caso de fallo de DMARC. La alineación SPF garantiza que los correos electrónicos enviados sólo desde direcciones IP autorizadas pasarán las comprobaciones DMARC. Alineación DKIM verifica el dominio de firma de un correo electrónico. Opciones de informes especifican dónde deben enviarse los informes DMARC.
Palabras finales
Tanto los particulares como las empresas son vulnerables al phishing. Esto lleva a la piratería de cuentas personales y a la infiltración en la red de la empresa. Además, el phishing como servicio agrava este problema al permitir que cualquier persona, independientemente de su nivel de conocimientos, lleve a cabo estos ataques.
PhaaS no sólo aumenta la frecuencia de los ataques de phishing, sino que también hace que cada asalto sea potencialmente más exitoso. Pero la buena noticia es que hay una forma de reducir el golpe. El equipo de PowerDMARC puede ayudarle en cada paso de la implementación de DMARC para aumentar sus defensas contra el phishing como servicio más rápido que cualquier otra solución existente. Realice hoy mismo una prueba gratuita de DMARC y compruébelo usted mismo.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Reputación de IP frente a reputación de dominio: ¿cuál te lleva a la bandeja de entrada? - 1 de abril de 2026
- El fraude en las reclamaciones empieza en la bandeja de entrada: cómo los correos electrónicos falsos convierten los procesos habituales de las aseguradoras en un robo de indemnizaciones - 25 de marzo de 2026
- Norma de medidas de seguridad de la FTC: ¿Necesita su entidad financiera DMARC? - 23 de marzo de 2026
