El phishing no se va a ningún lado, y en Latinoamérica parece sentirse como en casa. Este viejo truco de los ciberdelincuentes (hacerse pasar por bancos, plataformas o empresas conocidas para robarte datos) sigue más vigente que nunca. ¿La razón? Funciona, y mucho.
Hoy en día, basta con revisar tu bandeja de entrada o los mensajes del celular para encontrarte con alguna trampa: un correo que dice que tu cuenta fue bloqueada, un SMS con un premio sospechoso, o una llamada que "confirma una transacción no autorizada". Y no es casualidad: países como México, Colombia, Chile y Argentina están reportando cada vez más incidentes de este tipo.
El impacto puede ser brutal. Desde robos financieros personales hasta filtraciones graves en empresas. Por eso, si trabajas en tecnología, seguridad o cumplimiento, entender cómo se mueven estos ataques no es opcional: es parte del día a día. En esta guía te mostramos los 5 tipos de phishing más comunes en la región, con ejemplos reales, datos recientes y consejos que sí funcionan para protegerte.
El phishing no es nuevo, pero sí más fuerte que nunca en Latinoamérica. Solo entre julio de 2023 y julio de 2024, se bloquearon más de 397 millones de intentos en la región, según datos de Kaspersky. Eso significa más de 1,300 ataques por minuto. Y lo más preocupante: casi el 40% de ellos tenían como objetivo robar datos financieros, aprovechando desde la digitalización exprés hasta el uso de inteligencia artificial para automatizar fraudes.
Aunque Brasil encabeza la lista por volumen, países como México, Colombia, Chile y Argentina están sintiendo el golpe de lleno. Aquí te dejamos un vistazo país por país:
México es uno de los más afectados por el phishing. En solo un año (de agosto 2023 a julio 2024), los ataques crecieron un impresionante 220%, llegando a 118 millones de intentos bloqueados. Eso da más de 325,000 ataques al día.
Y no son solo números: un estudio de Adyen reveló que el 55% de los mexicanos fueron víctimas de algún fraude digital en 2023, muchos a través de phishing. El golpe económico promedio por persona fue de más de $1,000 pesos mexicanos.
Colombia ocupa el segundo lugar en la región por volumen de incidentes cibernéticos, y el phishing está en el centro del problema. Según IBM X-Force, el 22% de los ciberataques en 2023 comenzaron con un correo malicioso o credenciales robadas.
Para inicios de 2025, se detectó una campaña muy dirigida que se hacía pasar por notificaciones electrónicas del gobierno para instalar troyanos bancarios. Claramente, Colombia es un blanco clave para ataques sofisticados.
Chile no se queda atrás. Entre julio de 2023 y julio de 2024, los intentos de phishing crecieron un 125%, con un enfoque claro: mensajes falsos diseñados para robar accesos a banca en línea.
En 2023, fue el tercer país más atacado de la región, concentrando el 8% del total de incidentes reportados en Latinoamérica. La tendencia muestra que los atacantes están afinando la puntería hacia el mercado chileno.
Aunque Argentina no lidera por volumen, el crecimiento es preocupante: en 2024, los ataques de phishing aumentaron un 300% respecto al año anterior.
Lo más llamativo es que el 56% de los casos estuvieron ligados a perfiles falsos en redes sociales, especialmente Facebook, Instagram y LinkedIn. Esta táctica apunta directo a la confianza entre usuarios, y está siendo explotada al máximo.
Conoce más sobre: ¿Por qué siguen funcionando los ataques de phishing en 2025?
El phishing se ha convertido en el pan de cada día digital en Latinoamérica. Si vives en la región, seguro ya te cruzaste con un correo sospechoso, un SMS raro o incluso una llamada extraña. Y es que estos ataques no solo son cada vez más comunes, sino también más creíbles.
En este artículo te contamos los 5 tipos de phishing más frecuentes que están afectando a usuarios y empresas en países como México, Colombia, Chile y Argentina. La mejor defensa arranca por saber cómo te atacan.
Es el clásico. Te llega un correo que parece de tu banco, una tienda o alguna app conocida, y te pide que actúes rápido: hacer clic, descargar algo o confirmar tus datos. El truco está en el sentido de urgencia y lo creíble del mensaje.
Ejemplo en Chile (2022): correos del "Banco de Chile" alertaban sobre un supuesto aumento en el cupo de la tarjeta. El enlace llevaba a una copia exacta del sitio oficial. Cuando la gente ingresaba sus datos, los ciberdelincuentes los robaban al instante.
Revisa bien el remitente (muchos usan dominios muy parecidos).
Desconfía de mensajes con errores, saludos genéricos o amenazas.
No hagas clic sin verificar. Pasa el cursor por el link (sin darle clic) y fijate a dónde apunta.
Nunca abras adjuntos raros (especialmente .exe, .docm o .html).
Ante la duda, entra directamente a la web oficial o llama al banco.
A diferencia del phishing masivo, el spear phishing es personalizado. El atacante investiga a su víctima y crea un mensaje específico, con nombres, cargos y detalles reales sacados de LinkedIn o correos filtrados.
Ejemplo en México y Costa Rica (2025): el grupo Hive0148 suplantó a organismos fiscales (SAT, AFIP) y envió correos que imitaban sus advertencias reales. Al hacer clic, los usuarios descargaban un troyano bancario diseñado para robar credenciales.
Confirma siempre por otro canal (llamada, mensaje directo).
Fijate en el tono del mensaje: si algo suena “raro” probablemente lo sea.
Revisa el dominio del remitente (no te confíes si parece “oficial”).
Activa el doble factor de autenticación en todo lo que puedas.
Entrena a tu equipo con simulacros y configura protocolos SPF, DKIM y DMARC.
El vishing ocurre cuando alguien te llama y se hace pasar por el banco, soporte técnico o una autoridad. Usan un tono profesional y presión para que entregues información sensible.
Ejemplo en Argentina: una llamada “del banco” advertía sobre movimientos sospechosos y pedía verificar tu cuenta. Algunos incluso usaron voces clonadas por IA para simular a jefes pidiendo transferencias urgentes.
Si no esperas la llamada, desconfia.
Nadie serio te va a pedir contraseñas o códigos por teléfono.
Corta y llama tú al número oficial.
Estableca palabras clave internas en tu empresa para validar llamadas.
Si algo suena apurado, tomate el tiempo de verificar.
Es lo mismo que el phishing por correo, pero vía mensaje de texto. Te llega un SMS o WhatsApp con un link que simula ser del banco, una app de envíos o un premio. Al hacer clic, puede robar tus datos o instalar malware.
Ejemplo en México (2024): miles de personas recibieron SMS falsos de “multas de tránsito” de la Secretaría de Finanzas. Al ingresar la placa, mostraban deudas falsas y pedían pagar con tarjeta. Era un sitio clonado que robaba los datos al instante.
No hagas clic en links de mensajes sospechosos.
Verifica siempre entrando al sitio oficial desde tu navegador.
Nunca ingreses datos personales desde enlaces enviados por SMS o WhatsApp.
Actualiza tu celular y usa apps de seguridad confiables.
En empresas, usa soluciones MDM para controlar dispositivos móviles.
Las redes sociales son un terreno fértil para estafas. Los atacantes suplantan cuentas de empresas, marcas o incluso amigos para enviarte links maliciosos o pedirte ayuda.
Ejemplo en Perú (2024): tras una filtración de datos en Interbank, un atacante creó perfiles falsos en redes para amplificar el robo. Contactaban a usuarios fingiendo ser del banco o incluso familiares, buscando más datos o acceso.
Verifica que las cuentas sean oficiales (check azul, actividad real).
No compartas info por DM, aunque parezca tu amigo.
Desconfia de sorteos o promos que pidan datos personales.
Activa la autenticación en dos pasos en tus redes.
En empresas, monitoreen menciones y denuncien perfiles falsos de inmediato.
Podría interesarte leer: ¿Caerías en un ataque de phishing?
Ya viste cómo funciona el phishing en Latinoamérica y cuáles son los tipos más comunes. Ahora sí, vámonos a lo importante: ¿qué puedes hacer si eres CISO, jefe de TI o encargado de seguridad, para reducir riesgos reales dentro de tu organización?
Aquí te dejamos una guía práctica, pensada para aplicar en el día a día:
La seguridad empieza por la gente. No basta con una plática anual o un curso por correo. Las empresas que hacen simulacros de phishing frecuentes y entrenan sobre amenazas actuales (como deepfakes o estafas por WhatsApp) tienen equipos más atentos y listos para actuar.
¿Lo mejor? Empiezan a reportar por iniciativa propia los correos sospechosos. Y eso te ahorra muchos dolores de cabeza.
Todo el personal debe tener bien claro:
¿Cómo se aprueban transferencias?
¿A través de qué canales se reportan temas de TI?
¿Qué información nunca se debe pedir por correo o mensajes?
No necesitas un manual de 80 páginas. Frases como "Jamás te pediremos tu contraseña por teléfono o WhatsApp" deben estar presentes en todos los canales de comunicación interna.
Si aún no tienes autenticación multifactor (MFA) en accesos importantes, ya vas tarde. No es lujo, es básico. Aunque un atacante robe una contraseña, si no tiene el segundo factor, se queda fuera.
Actívalo en:
Correos corporativos
VPN
Sistemas sensibles
Cuentas de administradores
No todo debe recaer en el factor humano. Contar con herramientas bien configuradas puede frenar muchos ataques antes de que lleguen al usuario. Y aquí destaca TecnetProtect, que aprovecha la tecnología de Acronis para proteger el correo electrónico, uno de los principales blancos del phishing.
Esta solución detecta y bloquea correos maliciosos, enlaces engañosos y archivos peligrosos antes de que lleguen a la bandeja de entrada. Gracias a la inteligencia artificial de Acronis, identifica patrones típicos de phishing, suplantación de identidad y sitios web falsos, protegiendo en tiempo real.
Suma esta protección a:
Filtros de correo bien configurados
DNS seguro y filtros web
SPF, DKIM y DMARC activos
Navegadores y sistemas actualizados
Soluciones EDR para detectar amenazas
Con herramientas como TecnetProtect, refuerzas tu primera línea de defensa y reduces significativamente el riesgo de que alguien caiga en una trampa digital.
Un sistema desactualizado es una puerta abierta. Muchas veces, el phishing solo es el primer paso para colarse y explotar alguna vulnerabilidad.
¿Solución? Mantén todos los equipos y sistemas actualizados. Así, aunque alguien caiga en un engaño, el daño se puede contener.
¿Alguien inicia sesión desde otro país? ¿Un trabajador empieza a mandar cientos de correos sin explicación? Todo eso debe prender las alertas.
Configura tu SIEM y ten listo un protocolo para incidentes: resetear accesos, notificar al equipo, investigar qué pasó. Aquí la velocidad marca la diferencia entre un susto o una crisis.
El phishing funciona porque juega con tus emociones: urgencia, miedo, presión. Enseña a tu equipo que está bien tomarse un minuto para dudar antes de dar clic o contestar un mensaje raro.
Puedes usar:
Recordatorios en Slack o Teams
Pósters en la oficina
Notas rápidas en la intranet
Todo ayuda para mantener la atención activa y no bajar la guardia.
¿La receta? Una combinación poderosa de:
Personas entrenadas
Procesos claros
Tecnología que hace su trabajo
Invertir en estas tres áreas no solo protege a tu empresa. También cuida a tus clientes, proveedores y tu reputación.
Desde México hasta el Cono Sur, el phishing no da tregua. Y ya no hablamos solo de correos mal escritos: ahora hay campañas que usan inteligencia artificial, voces clonadas, perfiles falsos en redes y sitios idénticos a los originales.
Si estás a cargo de la seguridad en tu empresa, mirar hacia otro lado ya no es opción. Esto va más allá de tener un firewall o un antivirus. Se trata de personas, procesos y cultura.
Porque si un ataque entra por un clic, una llamada o un mensaje bien disfrazado, el daño puede ser enorme: desde filtraciones de datos y pérdida de clientes, hasta sanciones o la parálisis total de la operación.
En TecnetOne te ayudamos a pasar del “deberíamos hacer algo” al “ya lo estamos haciendo”. Con nuestras pruebas de phishing, simulamos ataques reales y medimos cómo responde tu equipo. ¿Quién hace clic? ¿Quién reporta? ¿Qué se puede mejorar?
¿Quieres ir más allá? También ofrecemos servicios de pentest y ethical hacking para ayudarte a encontrar y cerrar vulnerabilidades antes de que lo hagan los atacantes reales. No esperes a ser la próxima víctima. Entrena, prueba y fortalece tu ciberseguridad desde hoy.