El phishing multietapa rompe el esquema mental que tenemos del fraude por email: ya no hay un único mensaje sospechoso con faltas de ortografía, sino una secuencia coordinada de mensajes, llamadas, SMS y webs falsas que se refuerzan entre sí hasta que la víctima entrega credenciales, instala malware o autoriza una transferencia. Hablamos de campañas donde un ataque cadena empieza con un email aparentemente inofensivo y termina, dos semanas después, con un técnico falso compartiendo pantalla con la víctima. El phishing sofisticado actual combina ingeniería social, suplantación de dominios legítimos previamente comprometidos y kits que automatizan la captura de tokens MFA. Detectar un enlace raro ya no basta.
Qué es exactamente un phishing multietapa
Un ataque tradicional busca el clic inmediato: enlace, formulario, credenciales robadas. Una campaña phishing avanzada hace lo contrario: invierte tiempo. Los atacantes construyen confianza durante días o semanas antes de pedir nada comprometedor.
El patrón habitual incluye cuatro fases encadenadas:
- Reconocimiento: scraping de LinkedIn, filtraciones públicas (Have I Been Pwned es el primer sitio donde miran ellos también) y OSINT sobre la empresa objetivo.
- Contacto inicial benigno: un email sin enlaces, sin adjuntos, solo texto. Pregunta inocua, currículum, propuesta comercial. Pasa cualquier filtro.
- Refuerzo multicanal: SMS, llamada, mensaje de LinkedIn o WhatsApp citando la conversación previa. Aquí ya hay contexto creíble.
- Carga útil: ahora sí llega el enlace, el documento o la petición de credenciales. La víctima ya no desconfía porque "lleva días hablando con esa persona".
La clave del phishing combinado es que cada etapa, aislada, parece legítima. El filtro antispam ve un email sin indicadores. El operador telefónico ve una llamada normal. El usuario ve coherencia entre canales y baja la guardia.
Técnicas reales que combinan los atacantes
No es teoría. Grupos como Scattered Spider (responsable de los incidentes contra MGM Resorts y Caesars en 2023) o Storm-0558 han documentado este modus operandi en informes públicos de Mandiant, Microsoft Threat Intelligence y CISA.
Estas son las combinaciones más vistas:
- Email + vishing (voz): llega un correo de "su banco" diciendo que en breve llamarán para confirmar una operación. Diez minutos después suena el teléfono. La llamada legitima el email y viceversa.
- QR code + landing falsa: el conocido quishing. El email contiene solo un QR (los filtros no leen imágenes igual que texto), que lleva a una web que clona el portal de Microsoft 365 o Google Workspace.
- MFA fatigue + reset de credenciales: tras robar la contraseña, bombardean al usuario con notificaciones push hasta que acepta una por error o por agotamiento.
- Adversary-in-the-Middle (AiTM): kits como Evilginx2 o Tycoon 2FA hacen de proxy entre la víctima y el servicio real, capturando cookies de sesión ya autenticadas. El MFA no protege porque la sesión ya está validada.
- Suplantación de proveedor real: el atacante compromete primero a un proveedor pequeño (gestoría, consultoría) y desde su cuenta legítima envía facturas falsas a sus clientes. Esto enlaza con casos de ataques a la cadena de suministro como SolarWinds, donde la confianza heredada es el vector principal.
Señales de alerta que sí funcionan
Olvida los consejos de "mira si hay faltas de ortografía". Los kits actuales generan textos con LLMs y son impecables en catalán, castellano y cualquier idioma con presencia digital.
Lo que sí delata una campaña phishing avanzada:
- Cambio de canal injustificado: alguien que te escribió por email te pide moverte a WhatsApp o a un número personal. Bandera roja inmediata.
- Urgencia con ventana corta: "responde antes de las 18:00" o "el enlace caduca en 2 horas". El objetivo es evitar que consultes con un compañero.
- Coincidencia sospechosa de canales: email + SMS + llamada en menos de una hora hablando del mismo tema. Las empresas legítimas rara vez se coordinan así.
- Solicitudes fuera de proceso: tu CEO no te va a pedir comprar tarjetas regalo por WhatsApp. Tu banco no te va a pedir el código MFA por teléfono. Nunca.
- Dominios casi idénticos: microsft.com, micr0soft.com, microsoft-support.co. Verifica siempre el dominio en VirusTotal o urlscan.io antes de hacer clic.
Una técnica concreta para empresas: aplicar el principio del "callback verificado". Si alguien te pide algo sensible por cualquier canal, cuelga y devuelve la llamada al número oficial de la web corporativa, nunca al que te han facilitado. Es low-tech pero rompe la mayoría de estos ataques.
Qué hacer si has picado en alguna etapa
Picar en la etapa inicial no significa que estés perdido. El ataque cadena tiene varios puntos de corte si actúas rápido.
Plan de contención en orden de prioridad:
- Cambia la contraseña del servicio comprometido desde otro dispositivo limpio. Si reutilizabas esa contraseña, cámbiala en todos los sitios donde la usabas.
- Revoca sesiones activas: Microsoft 365, Google y la mayoría de servicios permiten cerrar todas las sesiones remotas. Hazlo aunque hayas cambiado la contraseña, porque los kits AiTM secuestran cookies de sesión.
- Activa o regenera MFA: si ya lo tenías, regenera los códigos. Si usabas SMS, cámbialo a app autenticadora (Authy, Google Authenticator) o llave física FIDO2.
- Revisa reglas de buzón: los atacantes suelen crear reglas que ocultan respuestas o reenvían correos a una dirección externa. En Outlook/Gmail, revisa filtros y reenvíos automáticos.
- Comprueba accesos recientes: la mayoría de servicios muestran ubicaciones y dispositivos. Cierra cualquier sesión que no reconozcas.
- Denuncia: en España, INCIBE (017) y la Policía Nacional. Si hay transferencia bancaria, llama al banco antes que a la policía: las primeras 24 horas son críticas para retroceder operaciones.
Si el ataque ha llegado a fase de instalación de software (un supuesto "técnico" que te pidió AnyDesk o TeamViewer), apaga el equipo, desconéctalo de la red y trátalo como comprometido. Esto enlaza directamente con la estafa del soporte técnico falso, que suele ser la fase final de muchas campañas multietapa.
Cómo protegerte antes de que llegue el siguiente
La defensa contra phishing sofisticado se construye por capas. Ninguna medida sola basta, pero la combinación reduce drásticamente la superficie de ataque.
| Capa | Herramienta o medida | Coste |
|---|---|---|
| Identidad | Llave física FIDO2 (YubiKey, Solokey) | 25-60 € |
| Filtro con IA (MataSpam, Proofpoint, Mimecast) | Variable | |
| Dominio propio | SPF + DKIM + DMARC en p=reject | Gratis |
| Navegación | DNS filtrado (Quad9, NextDNS, Cloudflare 1.1.1.1 for Families) | Gratis |
| Monitorización | Have I Been Pwned, alertas de filtración | Gratis |
| Backup | Copia 3-2-1 (3 copias, 2 soportes, 1 offsite) | Variable |
Para empresas pequeñas y autónomos, el despliegue de IA aplicada a seguridad corporativa permite detectar patrones de phishing combinado que un humano no vería: correlación entre canales, anomalías de comportamiento, detección de dominios recién registrados. No es ciencia ficción, es lo que marca la diferencia entre detectar el ataque en fase 1 o en fase 4.
También conviene revisar la higiene digital fuera del email. Las campañas multietapa suelen apoyarse en otros vectores: SIM swapping para interceptar SMS de verificación, apps maliciosas en Android que capturan notificaciones, o pharming combinado con phishing para redirigir tráfico a webs falsas sin que el usuario haga nada raro.
Preguntas frecuentes
Cuánto dura una campaña de phishing multietapa típica?
Entre 3 días y 4 semanas. Las campañas dirigidas (spear phishing contra ejecutivos o departamentos financieros) suelen extenderse más para construir confianza. Los ataques masivos automatizados aceleran el ciclo a 24-72 horas.
El MFA me protege contra el phishing multietapa?
Depende del tipo. El MFA por SMS o app de códigos puede ser eludido con kits AiTM como Evilginx2 o Tycoon 2FA, que roban la cookie de sesión. Las llaves físicas FIDO2/WebAuthn (YubiKey, Titan Key) sí ofrecen protección efectiva porque están vinculadas al dominio legítimo y no funcionan en webs suplantadas.
Cómo distingo una campaña multietapa de comunicaciones legítimas de mi empresa?
Verifica siempre por un canal alternativo y oficial. Si tu departamento de IT te escribe pidiendo credenciales, llama al teléfono interno que ya conocías, no al que aparece en el email. Las empresas serias nunca piden contraseñas ni códigos MFA por ningún canal.
Qué hago si he autorizado un acceso remoto a un falso técnico?
Desconecta el equipo de la red inmediatamente. Si sospechas malware en memoria, mejor apagado forzado que cierre normal. Contacta con un servicio profesional de respuesta a incidentes y considera el equipo comprometido. Cambia todas las contraseñas guardadas en navegadores desde otro dispositivo.
Es obligatorio denunciar un incidente de phishing en una empresa?
Si hay datos personales afectados, el RGPD obliga a notificar a la AEPD en un plazo de 72 horas (artículo 33 del Reglamento UE 2016/679). Para empresas dentro del ámbito NIS2 (transpuesta en España mediante el Real Decreto-ley correspondiente), las obligaciones son más amplias e incluyen notificación a INCIBE-CERT en plazos cortos tras la detección del incidente.
El siguiente paso
Revisa hoy mismo en Have I Been Pwned si tu email corporativo aparece en alguna filtración reciente. Si sale algún resultado, cambia esa contraseña en todos los sitios donde la reutilizabas y activa una llave física FIDO2 en tu cuenta principal de correo. Es la única acción que, por sí sola, neutraliza la mayoría de cadenas de phishing antes de que empiecen.
