Blog
dark mode light mode Search Archivos descargables
Search
Popular tags
The Latest
View All
12 min read
Share 0
Share 0
share this

Los 5 tipos de phishing más comunes en latinoamérica

Natalia Molina
Content marketing
Los 5 tipos de phishing más comunes en Latinoamérica
Los 5 tipos de phishing más comunes en Latinoamérica

El phishing no da tregua en Latinoamérica. Esta técnica de engaño, donde los atacantes se hacen pasar por bancos, empresas o instituciones para robar datos sensibles, se ha convertido en uno de los ataques más comunes en la región. Correos, mensajes y llamadas fraudulentas están a la orden del día, y países como Colombia, México, Chile y Argentina están viendo un aumento sostenido en este tipo de amenazas.

Las consecuencias van desde fraudes financieros hasta brechas de seguridad corporativas. Por eso, entender cómo operan estos ataques es clave para cualquier profesional de TI, CISO u oficial de cumplimiento. En este artículo te contamos los 5 tipos de phishing más frecuentes en LATAM, con ejemplos reales, cifras recientes y recomendaciones prácticas para fortalecer tus defensas.

Panorama regional: phishing en Latinoamérica 

El phishing está de moda en Latinoamérica, entre julio de 2023 y julio de 2024 se registraron más de 397 millones de intentos bloqueados en la región, según Kaspersky. Eso equivale a más de 1,300 ataques por minuto. El 40% de estos buscaban robar datos financieros, aprovechando desde la digitalización acelerada hasta herramientas de IA para automatizar fraudes.

Aunque Brasil lidera en volumen, México, Colombia, Chile y Argentina están entre los países más golpeados por phishing en la región. Este es el panorama por país:

México

México es uno de los países más afectados por phishing en Latinoamérica. Entre agosto de 2023 y julio de 2024, los ataques aumentaron un 220%, alcanzando 118 millones de intentos bloqueados, según Kaspersky. Eso equivale a más de 325 mil por día. Además, un estudio de Adyen reveló que el 55% de los usuarios mexicanos fueron víctimas de algún tipo de fraude digital en 2023, muchos a través de phishing. El impacto económico promedio por persona fue de más de $1,000 pesos mexicanos.

Colombia

Colombia ocupa el segundo lugar en la región en cantidad de incidentes cibernéticos, y el phishing está en el centro de esta problemática. Según IBM X-Force, en 2023 el 22% de los ataques iniciaron por esta vía, ya sea con correos maliciosos o uso de credenciales comprometidas. A principios de 2025 se detectó una campaña dirigida que suplantaba notificaciones electrónicas gubernamentales para distribuir troyanos bancarios. El país se mantiene como un blanco prioritario para campañas sofisticadas en la región.

Chile

Chile vio un crecimiento sostenido en intentos de phishing, especialmente a través de mensajes falsos. Entre julio de 2023 y julio de 2024, este tipo de ataques creció un 125%, según Kaspersky. En 2023, Chile fue el tercer país más atacado de Latinoamérica por volumen de incidentes atendidos (8% del total regional), con foco en estafas que buscan robar accesos a banca en línea. El aumento muestra que los atacantes están prestando cada vez más atención al mercado chileno.

Argentina

Aunque no lidera en volumen, Argentina está viendo un crecimiento acelerado. En 2024, los ataques de phishing aumentaron un 300% respecto al año anterior. Un dato alarmante: el 56% de estos casos estuvieron relacionados con perfiles falsos en redes sociales, utilizados para engañar a usuarios y recolectar información sensible. Este fenómeno refleja un cambio en las tácticas, donde los atacantes explotan la confianza que generan plataformas como Facebook, Instagram o LinkedIn.

Chile: Incremento del 125% en mensajes falsos. Tercer país más atacado de la región en 2023, con foco en estafas bancarias.

En resumen, el panorama regional muestra que el phishing se ha consolidado como una de las principales amenazas de ciberseguridad en Latinoamérica, con un crecimiento tanto en volumen como en sofisticación. Sectores críticos como el financiero, el comercial y el gubernamental han sido especialmente golpeados.

Phishing en Latinoamérica ¿Dónde golpea más fuerte
Phishing en Latinoamérica ¿Dónde golpea más fuerte?

https://latam.kaspersky.com/blog/panorama-amenazas-latam-2023/26586

5 tipos de phishing más comunes en Latinoamérica

En esta sección te contamos los 5 tipos de phishing más comunes que están afectando a usuarios y empresas en Latinoamérica. Vas a encontrar una explicación clara de cada uno, ejemplos reales de países como Colombia, México, Chile y Argentina, y consejos prácticos para detectarlos a tiempo.

Porque sí, el primer paso para protegerse es saber cómo vienen los ataques.

1. Phishing por correo electrónico (el clásico de siempre)

Es la forma más común y reconocible de phishing. El atacante envía un email que parece legítimo —supuestamente de tu banco, una app de pagos o alguna tienda online— y te pide que hagas algo urgente: hacer clic en un enlace, descargar un archivo o ingresar datos personales.

Suelen aprovechar mensajes de alerta o urgencia como: “Detectamos actividad sospechosa en tu cuenta, verifica tus datos aquí para evitar el bloqueo.” El enlace lleva a una web que imita al sitio oficial, pero solo busca robar tus credenciales.

Caso phishing Chile (2022)

En Chile, el CSIRT alertó en 2022 sobre una campaña de phishing dirigida a clientes del Banco de Chile. Los correos falsos informaban de un aumento en el cupo de la tarjeta y pedían hacer clic para “aceptar o rechazar” el cambio. El enlace redirigía a una web clonada del banco que robaba las credenciales ingresadas.

Este caso muestra una fórmula común: un mensaje inesperado, una excusa creíble, un enlace que parece legítimo y una página falsa. Si el usuario cae, el atacante entra directo a su cuenta.

¿Cómo detectar phishing por correo?

  • Revisa el remitente: Muchos usan dominios parecidos pero falsos (ej. @banc0colombia.com en vez de @bancocolombia.com).
  • Lee con ojo crítico: Errores de ortografía, saludos genéricos o amenazas de urgencia son banderas rojas.
  • No hagas clic a la primera: Pasa el cursor sobre los enlaces para ver a dónde apuntan. Si la URL se ve rara o no coincide con el sitio oficial, ni se te ocurra abrirla.
  • Cuidado con archivos adjuntos: Evita abrir archivos inesperados (sobre todo si son .exe, .docm o .html). Varios troyanos como Grandoreiro o Mispadu —muy activos en LATAM— se distribuyen así.
  • Cuando tengas dudas, confirma por otro canal: Llama directamente al banco o entra manualmente al sitio oficial desde tu navegador.

2. Spear phishing (el ataque personalizado)

A diferencia del phishing tradicional, el spear phishing no dispara a ciegas. Aquí el atacante investiga primero: identifica a una persona específica (como un ejecutivo, alguien de finanzas o TI) y le envía un mensaje altamente personalizado para ganarse su confianza.

Ya no se trata de un correo genérico. Es un ataque quirúrgico, diseñado con información real sacada de LinkedIn, correos filtrados o redes sociales. Por eso, suele ser mucho más difícil de detectar.

Caso phishing en México y Costa Rica (2025)

 A inicios de 2025, IBM documentó una campaña lanzada por el grupo criminal Hive0148 en México y Costa Rica. Enviaban correos que suplantaban al SAT (México) y la AFIP (Argentina), con asuntos como “Multa registrada” o “Nueva demanda”, e incluían un enlace para “consultar el documento”.

El correo incluso incluía mensajes como “el SAT nunca solicita contraseñas por correo”, imitando las advertencias reales del organismo. Pero al hacer clic, la víctima descargaba un archivo ZIP con un script que instalaba un troyano bancario (Grandoreiro), diseñado para robar credenciales. El ataque incluso filtraba por geolocalización: solo funcionaba si el equipo estaba en México o Costa Rica.

¿Cómo protegerse del spear phishing?

  • Confirma por otro canal. Si recibes una solicitud sensible por correo (como aprobar una transferencia), llama o escribe directamente a quien supuestamente lo envió.
  • Pon atención a los detalles. Cambios sutiles en el tono, frases que esa persona no usaría o urgencias fuera de lo normal pueden ser señales de alerta.
  • Revisa el remitente y el dominio. A veces usan cuentas comprometidas o dominios muy parecidos al oficial (ej. @afip-gob.com en lugar de @afip.gob.ar).
  • Activa la autenticación multifactor (MFA). Incluso si roban una contraseña, un segundo factor puede detenerlos.
  • Entrena a tu equipo. Las simulaciones de spear phishing ayudan a que todos aprendan a identificar correos sospechosos, incluso cuando parecen internos.
  • Configura SPF, DKIM y DMARC. Estas tecnologías ayudan a evitar que suplantadores usen el dominio de tu empresa para enviar correos falsos.

3. Vishing (phishing por llamada telefónica)

El vishing –abreviación de voice phishing es la versión telefónica del phishing. Aquí el ataque se realiza por medio de una llamada en la que alguien se hace pasar por un banco, una empresa de tecnología o incluso una autoridad gubernamental.

El objetivo es convencerte para que entregues información sensible, como datos bancarios, códigos de autenticación o contraseñas. Y aunque suene increíble, muchas víctimas caen por la urgencia y el tono autoritario que usan los atacantes.

Casos de vishing en Latinoamérica

En Argentina, por ejemplo, se ha vuelto frecuente la estafa de la “tarjeta clonada”: una supuesta llamada del banco te alerta sobre movimientos sospechosos y te pide verificar tus datos. La voz suena profesional, el número parece real (gracias a técnicas como el caller ID spoofing) y la historia es creíble. Bajo presión, muchas personas terminan entregando información crítica, como el PIN, códigos de seguridad enviados por SMS o datos de acceso a la banca.

Otro tipo de vishing se da cuando los atacantes se hacen pasar por soporte técnico. Llaman diciendo que detectaron un problema en tu equipo y que necesitas instalar un software “para resolverlo”. En realidad, se trata de herramientas de control remoto con las que pueden espiar o manipular el dispositivo.

Y en 2024 comenzó a observarse un nuevo riesgo: el uso de voces sintéticas generadas por inteligencia artificial (deepvoice). Hay reportes de estafadores que recrearon la voz de un CEO para pedir por teléfono a un empleado que apruebe una transferencia urgente. Aunque estos casos aún son puntuales, son una evolución que debe tomarse en serio.

¿Cómo detectar un intento de vishing?

  • Desconfía de llamadas inesperadas. Ninguna entidad seria te pedirá contraseñas, PINs o códigos por teléfono.
  • Evita actuar bajo presión. Frases como “si no hacemos esto ahora bloquearemos tu cuenta” son tácticas para que tomes decisiones sin pensar.
  • No entregues información por teléfono. Corta la llamada y vuelve a contactar a la empresa tú mismo, por canales oficiales.
  • Establece protocolos internos. En empresas, se recomienda tener claves de seguridad o frases compartidas para validar llamadas entre TI y colaboradores.
  • Registra los intentos. Si varios empleados reciben llamadas sospechosas similares, puede tratarse de una campaña dirigida contra tu organización.

Una máxima simple: si dudas, cuelga y verifica

4. Smishing (phishing por SMS o mensajería móvil)

El smishing es phishing vía mensajes de texto, ya sea por SMS o apps como WhatsApp o Telegram. El atacante envía un mensaje corto, generalmente alarmante o tentador, con un enlace que redirige a un sitio falso para robar datos personales, credenciales bancarias o incluso instalar malware en el dispositivo móvil.

En Latinoamérica, esta técnica ha explotado por el alto uso de smartphones. Algunos ejemplos típicos:

  • “[Banco XYZ] Su cuenta será suspendida. Verifique sus datos aquí: [enlace]”
  • “Su paquete no pudo ser entregado, actualice su dirección: [enlace]”
  • “Ha ganado un premio exclusivo, reclámelo ahora: [enlace]”

Caso real Smishing en México (2024)

En 2024, una campaña masiva de smishing afectó a miles de personas en CDMX. Según ESET, los delincuentes se hicieron pasar por la Secretaría de Finanzas local, enviando SMS sobre una supuesta multa de tránsito pendiente. El enlace llevaba a un sitio que imitaba al del gobierno, pedía la placa del vehículo y luego mostraba “infracciones” con montos falsos. Si el usuario intentaba pagar, el sitio solicitaba todos los datos de su tarjeta. Tras enviar los datos, aparecía un mensaje de error. En ese punto, los atacantes ya tenían la información bancaria completa.

Este ataque combinó smishing con un sitio web móvil clonado a la perfección, y fue tan creíble que muchas víctimas cayeron. Las autoridades debieron desmentir públicamente la campaña.

¿Cómo prevenir el smishing?

  • Desconfía de los SMS o mensajes con enlaces, especialmente si hay presión para actuar rápido.
  • No hagas clic directamente: mejor escribe manualmente la dirección oficial en tu navegador o entra a la app institucional.
  • Evita compartir datos bancarios o personales a través de enlaces de mensajes.
  • Revisa el texto: errores ortográficos, redacciones raras o tono exagerado son señales de alerta.
  • Verifica con la entidad real por otro canal (web oficial, llamada directa).
  • En empresas, capacita a los empleados y usa soluciones MDM (Mobile Device Management) para controlar apps y enlaces en teléfonos corporativos.
  • Mantén el dispositivo actualizado y con protección de seguridad móvil.

5. Phishing en redes sociales

Las redes sociales son un canal cada vez más utilizado para campañas de phishing en Latinoamérica. Los atacantes suplantan perfiles personales o empresariales para ganarse la confianza de las víctimas y obtener datos sensibles. Algunas técnicas comunes incluyen:

  • Perfiles falsos en LinkedIn que se hacen pasar por ejecutivos o reclutadores para lanzar ataques dirigidos (spear phishing).
  • Páginas clonadas en Facebook o Instagram que promocionan concursos falsos o soporte al cliente fraudulento.
  • Mensajes privados desde cuentas comprometidas o duplicadas de amigos/familiares pidiendo ayuda económica o compartiendo enlaces maliciosos.

Caso real en Perú (2024):

El banco Interbank sufrió una filtración masiva tras que un actor conocido como kzoldyck accediera a sistemas internos mediante credenciales filtradas. Robó datos personales de más de 3 millones de clientes, como nombres, tarjetas y transacciones, y luego intentó extorsionar al banco. Tras no recibir respuesta, publicó la información en la dark web, exponiendo a miles a riesgos de fraude y phishing dirigido. El atacante incluso creó perfiles falsos en redes sociales para amplificar la filtración y contactar posibles víctimas.

Este caso muestra cómo los cibercriminales combinan brechas de seguridad con tácticas en redes para maximizar el impacto.

¿Cómo protegerse del phishing en redes sociales?

  • Verifica que las cuentas sean oficiales (check azul, actividad real, seguidores coherentes).
  • Desconfía de promociones que pidan datos por DM o links externos.
  • Evita compartir datos sensibles por redes, aunque el mensaje parezca venir de alguien conocido.
  • Usa autenticación de dos factores y limita quién puede enviarte mensajes.
  • Si trabajas en una empresa, monitoreen menciones y denuncien perfiles falsos lo antes posible.

En redes sociales, un poco de escepticismo puede evitar grandes problemas. 

¿Cómo protegerse del phishing en tu empresa?

Ya vimos las formas más comunes de phishing en la región. Ahora, ¿qué puedes hacer como CISO, responsable de TI o seguridad, para reducir riesgos reales en tu organización? Acá van algunas recomendaciones prácticas que sí hacen la diferencia:

1. Entrenamiento continuo: que nadie baje la guardia

La seguridad empieza con las personas. Invertir en capacitaciones constantes y simulaciones de phishing internas ayuda a que los equipos se mantengan alerta. ¿Un plus? Incluir temas actuales como deepfakes o estafas por WhatsApp. Las empresas que lo hacen reportan menos incidentes y empleados más rápidos para reportar correos sospechosos.

2. Dejar reglas claras (¡y repetidas!)

Es clave que todos en la empresa tengan claro cómo se manejan solicitudes sensibles. Por ejemplo:

  • ¿Cómo se autoriza una transferencia de fondos?
  • ¿Qué canales son oficiales para soporte TI?
  • ¿Qué cosas nunca se pedirán por mail o WhatsApp?

Las reglas tienen que ser simples y reforzarse seguido. Frases como “Nunca te pediremos tu contraseña por teléfono” deben estar presentes en todos los canales de comunicación.

3. Activar MFA (sí o sí)

Tener autenticación multifactor activa no es opcional: es una barrera real contra accesos no autorizados. Aunque un atacante consiga una contraseña, sin el segundo factor no podrá entrar. Usalo para correos, VPN, sistemas sensibles y accesos de admins.

4. Usar la tecnología a favor

Un buen filtro de correo puede bloquear toneladas de intentos de phishing. Lo mismo aplica para filtros web, DNS, autenticación SPF/DKIM/DMARC, soluciones EDR y navegadores actualizados. Todo suma para evitar que los usuarios vean o accedan a sitios falsos.

5. Parchear todo

Un sistema desactualizado es una puerta abierta. Muchas veces el phishing es solo el primer paso para explotar fallas en software o moverse lateralmente por la red. Si alguien cae en el engaño, los parches pueden evitar que el incidente escale.

6. Monitorear y actuar rápido

¿Inicio de sesión desde otro país? ¿Un usuario enviando cientos de correos de golpe? Esos comportamientos deben generar alertas. Configurar bien el SIEM y tener un plan claro ante incidentes (como resetear accesos y alertar al resto del equipo) puede contener el daño a tiempo.

7. Fomentar una cultura de pausa y verificación

Muchas veces el phishing apela a emociones: miedo, urgencia, curiosidad. Enseñá a tu equipo que está bien tomarse un minuto extra antes de hacer clic o responder. Un simple “¿esto es normal?” puede evitar un problema grande. Boletines, pósters, recordatorios visuales en Slack o intranet ayudan a mantener la atención activa.

No hay una única solución mágica. La defensa efectiva se construye combinando personas entrenadas, procesos claros y tecnología bien configurada. Implementar estas medidas no solo protege a tu empresa, sino también a tus clientes y socios.

Conclusión

El phishing no es un problema del pasado, ni algo que solo les pasa a otros. En toda Latinoamérica desde México y Colombia hasta Chile, Argentina y Perú los ataques siguen creciendo, con técnicas cada vez más sofisticadas y difíciles de detectar. Correos convincentes, llamadas falsas, perfiles clonados en redes, voces sintéticas… el repertorio no para de expandirse.

Para quienes lideran equipos de TI o gestionan la seguridad de una organización, mirar hacia otro lado no es opción. No se trata solo de firewalls o antivirus: esto es un tema de personas, procesos y cultura. Si el phishing logra entrar por la puerta del correo electrónico o una llamada falsa, el daño puede ser grande: desde filtraciones de datos hasta pérdida de confianza, multas o parálisis operativa.

¿Por dónde empezar a prevenir el phishing en Latinoamérica?

  • Lleva el tema a la dirección: Ayuda a que la cúpula entienda que un ataque de phishing puede costar caro, y que invertir en prevención no es gasto, es protección.
  • Comparte información: Hoy, una amenaza detectada en Chile puede golpear mañana en Colombia. Apóyate en comunidades, CERTs locales y redes del sector.
  • No bajes la guardia: Aunque hayas hecho simulacros o formaciones antes, los atacantes cambian de táctica. Repite, actualiza, y mantén vivo el tema en tu organización.

¿Listo para poner a prueba tus defensas?

En Hackmetrix te ayudamos a pasar del “deberíamos hacer algo” al “ya lo estamos haciendo”. Con nuestro Phishing Test, simulamos ataques reales y medimos cómo responde tu equipo. ¿Quién hace clic? ¿Quién reporta? ¿Qué se puede mejorar?

Y si quieres ir más allá, un pentest/ Ethical hacking completo puede ayudarte a detectar puntos débiles antes que lo hagan los atacantes de verdad. No esperes a que te ciberataquen para actuar, entrena, prueba y fortalece tu ciberseguridad ahora.

👉 Haz un test de phishing con Hackmetrix o solicita un pentest personalizado.

Test de phishing
test de phishing

Share
Share
Content marketing Natalia Molina 23 posts
Mercadóloga apasionada por las estrategias digitales, la ciberseguridad y la creación de contenido. Con experiencia en gestión de riesgos, seguridad de la información y tecnología, combina creatividad y análisis para generar contenidos que conectan y eduquen.
www.hackmetrix.com
LinkedIn