¿Qué es el phishing y qué controles implementarías para reducirlo?
Respuesta breve
El phishing es ingeniería social que engaña a las personas para que revelen credenciales, envíen dinero o ejecuten malware, normalmente mediante correos o sitios falsos. La defensa es por capas: filtrado y autenticación de correo (SPF/DKIM/DMARC), MFA para limitar el daño de credenciales robadas, formación de concienciación y una forma sencilla de reportar mensajes sospechosos.
El phishing es de forma constante uno de los principales métodos de acceso inicial en brechas reales, por lo que los entrevistadores esperan una definición clara y una defensa por capas — no solo «formar a los usuarios».
Qué es el phishing
El phishing es una forma de ingeniería social: el atacante suplanta a una parte de confianza (un banco, TI, un colega, un proveedor) para manipular a una persona y hacer que haga algo dañino — introducir credenciales en una página de inicio de sesión falsa, abrir un adjunto malicioso o transferir dinero. Las variantes incluyen el spear phishing (dirigido a una persona concreta), el whaling (dirigido a ejecutivos), el smishing/vishing (SMS y voz) y el fraude del CEO o BEC (suplantar a un ejecutivo para autorizar pagos).
El ataque tiene éxito explotando la confianza humana y la urgencia, por lo que la tecnología por sí sola nunca lo detiene del todo.
Cómo defenderse — por capas
- Seguridad del correo: filtrado de spam/malware, reescritura de enlaces y sandboxing, y autenticación de correo (SPF, DKIM, DMARC) para dificultar la suplantación de tu dominio.
- MFA: aunque alguien introduzca su contraseña en un sitio falso, la MFA puede bloquear el inicio de sesión — y la MFA resistente al phishing (FIDO2/passkeys) frustra los ataques de retransmisión en tiempo real.
- Mínimo privilegio: limitar lo que una cuenta comprometida puede alcanzar.
- Concienciación de usuarios: formación continua y phishing simulado para que las personas reconozcan y resistan los señuelos.
- Reporte sencillo: un botón de «reportar phishing» de un clic para que el SOC reaccione rápido y retire el mensaje de otras bandejas.
- Detección y respuesta: monitorizar el uso de credenciales desde nuevas ubicaciones y contar con un playbook para restablecer y contener cuentas comprometidas.
Por qué esto importa
Los entrevistadores quieren ver que tratas el phishing como un problema tanto humano como técnico. Una respuesta sólida combina prevención (filtrado, DMARC, formación) con limitación del daño (MFA, mínimo privilegio) y respuesta rápida (reporte, contención) — reconociendo que algún phishing siempre se colará.
Posibles preguntas de seguimiento
- ¿Cómo reduce la MFA el impacto de un phishing exitoso?
- ¿Qué diferencia hay entre el spear phishing y el fraude del CEO (BEC)?
- ¿Por qué son útiles SPF, DKIM y DMARC?