Qué es el phishing (y por qué funciona tan bien)
El phishing es un ataque de ingeniería social: alguien se hace pasar por una entidad de confianza (tu banco, ARCA, Mercado Pago, un proveedor) para que le entregues información sensible. Puede ser tu contraseña, tus datos de tarjeta, tu CUIT con clave fiscal o acceso a tu homebanking.
Funciona porque explota emociones, no vulnerabilidades técnicas. El atacante no hackea tu servidor: te convence de que hagas algo que no deberías. Y las emociones que mejor funcionan son dos: el miedo ("tu cuenta será suspendida") y la urgencia ("tenés 24 horas para regularizar").
El phishing se manifiesta en cuatro canales principales:
Email (phishing clásico)
El más común. Emails que imitan a bancos, ARCA, MercadoLibre. Representan el 70% de los ataques.
SMS (smishing)
Mensajes de texto con links: "Su paquete está retenido", "Verificá tu cuenta bancaria". En crecimiento.
Llamada telefónica (vishing)
Alguien llama haciéndose pasar por el banco o ARCA. Muy efectivo en personas mayores.
Mensajes de "soporte" que piden códigos de verificación o datos de tarjeta. El canal que más crece.
Phishing argentino: los patrones que tenés que conocer
Los atacantes adaptan sus campañas al contexto local. Estos son los patrones más frecuentes en Argentina:
Emails falsos de ARCA/AFIP
El más efectivo de todos, porque la relación con el fisco genera ansiedad en cualquier contribuyente. Los emails típicos dicen:
- "Estimado contribuyente, su CUIT ha sido suspendido temporalmente. Ingrese a su cuenta para regularizar su situación en las próximas 48 horas."
- "ARCA - Notificación urgente: se detectaron inconsistencias en su declaración jurada. Acceda al siguiente enlace para verificar."
- "Su certificado de exclusión de retenciones fue revocado. Gestione la renovación aquí."
La clave para detectarlos: ARCA nunca envía emails con links para ingresar a tu cuenta. Todas las comunicaciones oficiales se realizan a través del Domicilio Fiscal Electrónico dentro de la plataforma. Si recibís un email de "ARCA" con un link, es falso. Siempre.
Notificaciones bancarias falsas
Emails o SMS que simulan ser de tu banco: "Se detectó un acceso sospechoso a su cuenta", "Su tarjeta fue bloqueada por seguridad", "Confirme su identidad para evitar la suspensión de su homebanking".
Los bancos argentinos nunca piden contraseñas, tokens, números de tarjeta completos ni claves por email, SMS ni teléfono. Si alguien te pide esos datos, no es tu banco. No importa cuán convincente sea el email o cuán profesional suene la persona al teléfono.
Estafas de Mercado Pago / Mercado Libre
Con millones de usuarios en Argentina, Mercado Pago es un blanco frecuente. Los patrones más comunes:
- "Tu cuenta de Mercado Pago fue limitada. Verificá tu identidad para seguir operando."
- "Recibiste un pago de $XX.XXX. Confirmá la operación aquí." (el link lleva a una página falsa que pide login)
- "Compraste [producto que no compraste] por $XX.XXX. Si no fuiste vos, cancelá aquí."
Mercado Pago envía notificaciones dentro de la app y por email, pero nunca te pide tu contraseña fuera de la app oficial. Si un email te lleva a una página que no es mercadopago.com.ar, es phishing.
WhatsApp: "soporte técnico" que roba cuentas
Un mensaje de WhatsApp de un número desconocido (a veces con foto de perfil del logo de un banco o empresa): "Soy del área de seguridad de [banco/empresa]. Detectamos un movimiento sospechoso. Para verificar su identidad, necesitamos que nos envíe el código que le va a llegar por SMS".
Ese "código de verificación" es en realidad el código de WhatsApp para registrar tu número en otro dispositivo. Si lo compartís, perdés tu cuenta de WhatsApp en segundos. Y desde tu WhatsApp, el atacante le pide plata a todos tus contactos.
Cómo detectar un phishing en 30 segundos
No hace falta ser experto en ciberseguridad para detectar la mayoría de los intentos de phishing. Estos cinco checks toman 30 segundos:
5 checks rápidos anti-phishing
1. Revisá el remitente real. No el nombre que aparece ("ARCA", "Banco Nación"), sino la dirección de email completa. Si dice arca-notificaciones@gmail.com o seguridad@banco-nacion.serviciosseguros.xyz, es falso. Los dominios reales son @afip.gob.ar, @bna.com.ar, etc.
2. Pasá el mouse sobre los links (sin hacer clic). En la barra inferior del navegador o del cliente de email vas a ver la URL real. Si dice ir a "arca.gob.ar" pero el link apunta a arca-verificacion.com.ru, es phishing.
3. Buscá errores gramaticales y de formato. Los emails legítimos de empresas grandes están bien redactados. Si hay tildes mal puestas, frases raras, mezcla de "tú" y "vos", o el diseño se ve desprolijo, sospechá.
4. Evaluá la urgencia. "Tenés 24 horas", "acción inmediata requerida", "tu cuenta será cancelada". La urgencia artificial es la táctica principal del phishing. Las entidades reales dan plazos razonables y no amenazan por email.
5. Preguntate: ¿me están pidiendo algo sensible? Contraseñas, tokens, números de tarjeta completos, códigos de verificación. Ninguna empresa legítima pide esto por email, SMS ni WhatsApp. Nunca. Sin excepciones.
Qué hacer si hiciste clic (o peor, ingresaste datos)
Caer en un phishing no es el fin del mundo, pero requiere acción rápida. Los primeros 30 minutos son críticos:
- Cambiá la contraseña inmediatamente. Si ingresaste tus datos en un sitio falso, andá al sitio real y cambiá tu contraseña. Si usás la misma contraseña en otros servicios (no deberías, pero si lo hacés), cambialas todas.
- Activá la autenticación en dos pasos (MFA/2FA). Si no la tenías activada, activala ahora. Si ya la tenías, verificá que no se hayan agregado dispositivos desconocidos a tu cuenta.
- Revisá movimientos. Si ingresaste datos bancarios, entrá a tu homebanking (por la vía oficial, no desde el email) y revisá los últimos movimientos. Si hay algo sospechoso, llamá al banco.
- Reportá el incidente. A tu banco (si involucra datos financieros), a CERT.ar (Centro de Respuesta ante Emergencias Informáticas de Argentina,
https://www.cert.ar) y a la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) si hubo perjuicio económico. - Avisá a tu equipo. Si caíste, otros pueden caer en la misma campaña. Compartí el email/mensaje con tus compañeros para que lo reconozcan.
Programa de capacitación: cómo proteger a tu equipo
El eslabón más débil de la seguridad no es la tecnología: es la persona que hace clic sin pensar. Un programa de concientización efectivo no requiere presupuesto millonario:
Simulaciones de phishing
El método más efectivo para entrenar a un equipo es enviarles phishing simulado. Un email que parece real pero es controlado por vos. Los que hacen clic reciben capacitación inmediata. Los que lo reportan reciben reconocimiento. Después de 3-4 rondas de simulaciones (una por trimestre), la tasa de clic baja dramáticamente.
Las plataformas de seguridad modernas incluyen módulos de simulación de phishing que permiten crear campañas personalizadas (emails que imitan a ARCA, al banco de la empresa, a proveedores habituales), medir tasas de clic por departamento y generar reportes de evolución. Es la forma más efectiva de medir el nivel de riesgo real de tu organización.
Reglas simples que funcionan
- Regla del teléfono: si un email te pide algo urgente, llamá al remitente por teléfono (al número que ya tenés, no al que aparece en el email) y confirmá.
- Regla del link: nunca hagas clic en un link de un email para acceder a un banco, ARCA o cualquier servicio financiero. Abrí el navegador y tipeá la URL manualmente o usá tus favoritos.
- Regla del código: nunca compartas códigos de verificación que te llegan por SMS con nadie. Ni con "soporte", ni con "seguridad", ni con nadie.
- Regla del sentido común: si algo parece demasiado bueno (ganaste un premio), demasiado urgente (tu cuenta se cancela en 2 horas) o demasiado amenazante (acción legal inminente), es sospechoso.
Protección técnica complementaria
La capacitación humana se complementa con capas técnicas:
- Filtro de email con anti-phishing: Google Workspace y Microsoft 365 incluyen filtros que detectan y bloquean la mayoría del phishing masivo. Pero el phishing dirigido (spear phishing) puede pasar.
- MFA en todo: autenticación en dos pasos en el email corporativo, homebanking, ARCA, Mercado Pago, redes sociales. Si el atacante consigue tu contraseña pero no tiene tu segundo factor, no puede entrar.
- Gestor de contraseñas: Bitwarden, 1Password o el gestor del navegador. Contraseñas únicas para cada servicio, generadas automáticamente. Si una se filtra, las demás siguen seguras.
- DNS filtering: servicios como Cloudflare for Teams o NextDNS bloquean el acceso a sitios de phishing conocidos a nivel de red, antes de que el usuario llegue a la página falsa.
Para una protección integral que incluya monitoreo de seguridad, simulaciones de phishing automatizadas y detección de amenazas en tiempo real, existen plataformas como Eleion que consolidan todas estas capas en un solo panel, con módulos específicos de simulación de phishing y entrenamiento para equipos.
El costo de no hacer nada
Un ataque de phishing exitoso contra una PyME argentina puede costar desde $500.000 (acceso a homebanking de una cuenta con bajo saldo) hasta decenas de millones (ransomware que ingresa por un email de phishing y encripta toda la información de la empresa). El promedio global de costo por incidente de phishing para empresas pequeñas supera los USD 25.000, considerando tiempo de recuperación, pérdida de datos, daño reputacional y costos legales.
Comparado con eso, un programa trimestral de simulaciones de phishing, MFA en todos los servicios y una hora de capacitación por trimestre cuesta menos de lo que perdés en un solo incidente. La checklist de ciberseguridad es un buen punto de partida para evaluar tu postura actual.
El phishing no va a desaparecer. Con la IA generativa, los emails falsos son cada vez más convincentes, más personalizados y más difíciles de distinguir de los reales. La única defensa sostenible es una combinación de tecnología (filtros, MFA, monitoreo) y cultura (personas entrenadas que piensan antes de hacer clic).