10 casos de phishing y ciberseguridad — reales y simulados — que acabaron generando una gran polémica
La ciberseguridad suele asociarse a tecnología, malware y hackers. Sin embargo, algunos de los casos más controvertidos de los últimos años no tuvieron que ver con vulnerabilidades técnicas, sino con algo mucho más humano: las emociones.
En 2021, la empresa ferroviaria británica envió un correo a unos 2.500 empleados agradeciendo el esfuerzo realizado durante la pandemia y anunciando un pago extraordinario.
Cuando los trabajadores hicieron clic para conocer más detalles, descubrieron que no existía ningún bono. Se trataba de una simulación de phishing.
Lo que hacía este mensaje especialmente difícil de detectar era el contexto: la plantilla venía de años complicados, con un impacto directo de la pandemia y pérdidas personales entre los empleados. El escenario era emotivamente plausible, y eso lo convertía en un caso de estudio muy representativo de cómo funciona la ingeniería social.
Tribune Publishing envió a sus empleados un correo anunciando bonos de entre 5.000 y 10.000 dólares.
La realidad era que la compañía estaba atravesando recortes, cierres y dificultades económicas. La simulación generó reacciones internas y externas, lo que llevó a la organización a emitir un comunicado explicando su propósito.
Este caso pone de manifiesto algo importante: la efectividad de una campaña de concienciación está directamente vinculada al contexto en que se realiza.
Miles de policías australianos recibieron un correo sobre una subida salarial del 5%. Sin embargo, no era una negociación real, sino una campaña interna de phishing.
Lo que dificultó su detección fue la coincidencia temporal con negociaciones salariales reales: el mensaje era indistinguible de una comunicación oficial. La organización decidió revisar el proceso y ajustar los criterios de planificación de futuras campañas.
La Universidad de California Santa Cruz lanzó un ejercicio de phishing simulando una alerta sanitaria por un supuesto caso de ébola en el campus. Muchos estudiantes y empleados creyeron que se trataba de una emergencia real.
Que tantas personas lo tomaran por real dice mucho sobre la eficacia de los escenarios de alta carga emocional. El incidente abrió un debate en la comunidad de ciberseguridad sobre qué tipo de situaciones son más adecuadas para este tipo de pruebas y cómo gestionar la comunicación posterior con los destinatarios.
En 2018, un ejercicio de phishing relacionado con la infraestructura tecnológica del Partido Demócrata de Michigan fue tan realista que acabó siendo reportado como un ataque auténtico.
El Comité Nacional Demócrata llegó a alertar al FBI pensando que se enfrentaba a una intrusión real. Tras el incidente se modificaron los procedimientos para exigir una mejor coordinación en futuras pruebas de seguridad.
Cuando los ataques eran reales
Los siguientes casos muestran cómo los ciberdelincuentes emplean exactamente los mismos mecanismos que los ejercicios de concienciación: mensajes que generan expectativa, urgencia o beneficio percibido. La diferencia es que aquí el objetivo es el acceso no autorizado, la sustracción de fondos o la captura de credenciales.
Microsoft identificó una campaña en la que los atacantes accedían a sistemas corporativos para modificar los datos bancarios de los empleados. El objetivo era desviar los pagos de nómina a cuentas controladas por los propios delincuentes.
Los atacantes utilizaban mensajes relacionados con recursos humanos, beneficios y nóminas para generar credibilidad ante las víctimas.
Numerosas campañas de phishing han utilizado durante años supuestas revisiones salariales, actualizaciones de beneficios o cambios en políticas internas.
Los empleados reciben mensajes aparentemente legítimos que les redirigen a portales falsos donde introducen sus credenciales corporativas. La efectividad de esta táctica radica en que pocos asuntos generan tanta atención inmediata como una mejora económica.
En 2025 se detectó una campaña que prometía una bonificación extraordinaria para empleados. La víctima recibía un documento con un código QR y, al escanearlo, era dirigida a una falsa página de Microsoft diseñada para capturar credenciales.
La campaña combinaba dos elementos de probada eficacia: la promesa de un beneficio económico y el uso de códigos QR como vector de redirección.
Algunos grupos criminales ni siquiera necesitan enviar correos. Suplantan a empleados mediante llamadas telefónicas al servicio de soporte y consiguen que se restablezcan contraseñas o se registren nuevos dispositivos de autenticación.
Una vez dentro, modifican datos de nómina o acceden a sistemas corporativos críticos. Todo ello sin explotar ninguna vulnerabilidad técnica.
En 2016, grupos vinculados a inteligencia rusa utilizaron correos de phishing dirigidos contra miembros del entorno del Partido Demócrata estadounidense. Los mensajes imitaban páginas legítimas de inicio de sesión y lograron capturar credenciales reales.
El incidente acabó convirtiéndose en uno de los casos de phishing más conocidos de la historia reciente y demostró que un simple correo puede tener consecuencias geopolíticas.
Lo más significativo de estos diez casos es que el patrón es prácticamente idéntico en todos ellos: un mensaje que apela a algo relevante para el destinatario — una mejora económica, una alerta urgente, una comunicación interna — y que resulta difícil de ignorar.
La pregunta que vale la pena hacerse no es si estos ejercicios son adecuados, sino algo más directo: ¿habrías detectado que se trataba de un ataque?
Los simulacros de concienciación existen precisamente porque la respuesta, en muchos casos, es que no. No por falta de capacidad, sino porque estos mensajes están diseñados para ser convincentes. Conocerlos es la mejor forma de estar preparado.
La concienciación es la primera línea de defensa. En Cloud Levante ayudamos a las organizaciones a evaluar y reforzar su postura de seguridad ante ataques que no dependen de exploits, sino de emociones.
Hablar con nuestro equipo