El phishing de verano no roba solo vacaciones: roba credenciales, pagos y tiempo de respuesta

El verano tiene una ventaja incontestable para el phishing: nadie sospecha demasiado de un correo sobre una reserva, un cambio de vuelo o una devolución cuando media oficina está pensando en maletas, turnos y ausencias. Ahí está el truco. El atacante no necesita un gran alarde técnico. Le basta con llegar en el momento exacto, con un logo reconocible y un mensaje que suene razonable. Si además la víctima ha reservado un hotel, espera un billete o gestiona pagos a proveedores turísticos, el engaño entra casi solo.

La alerta difundida a partir del análisis de Hornetsecurity apunta precisamente a eso: con la llegada de la temporada estival repuntan las campañas de phishing dirigidas a clientes, agencias de viajes, operadores y empresas de servicios turísticos. La noticia es relevante, pero no por novedosa. Relevante es que sigue funcionando. Y sigue funcionando porque mezcla tres ingredientes que rara vez fallan: urgencia, confianza prestada y fatiga operativa.

No estamos ante el clásico correo lleno de faltas que promete una herencia en un país exótico. Las campañas actuales imitan confirmaciones de reserva, avisos de cancelación, suplementos por equipaje, incidencias con tarjetas, check-in pendiente o actualizaciones de políticas del hotel. A veces buscan el dato bancario del consumidor. Otras, algo bastante más valioso: las credenciales del empleado de una agencia, un buzón corporativo o el acceso a una plataforma SaaS desde la que seguir escalando. El billete de avión es el cebo. El objetivo real suele ser la cuenta.

Eso cambia la conversación para cualquier empresa expuesta al ciclo vacacional, desde una cadena hotelera hasta una pyme que tramita viajes de empleados. Ya no basta con advertir a la plantilla de que no pinche en enlaces raros. El problema es que muchos de esos enlaces no parecen raros en absoluto.

Lo que hace diferente al phishing de verano

El componente estacional no es decorativo. Es operacional. Durante julio y agosto coinciden varios factores que reducen la capacidad de detección y aumentan el rendimiento del fraude.

Primero, sube el volumen legítimo de comunicaciones sobre viajes. Eso crea ruido bueno para el atacante. Si un usuario recibe en dos semanas mensajes de una aerolínea, un comparador, un hotel, una plataforma de alquiler y su banco, otro correo adicional no destaca. Se mimetiza.

Segundo, se produce una rotación real en los equipos. Hay sustituciones, guardias, buzones delegados y procesos temporales. Lo que en abril conocía de memoria una persona concreta, en agosto lo gestiona alguien que está cubriendo una baja o unas vacaciones. Ese relevo crea una superficie de error magnífica. El phishing adora los procesos poco familiares.

Tercero, muchos ataques explotan pagos urgentes y reembolsos. El lenguaje es casi siempre tranquilizador: “su reserva ha sido cancelada”, “para mantener la tarifa debe confirmar ahora”, “detectamos un problema con el último cargo”, “actualice su método de pago”. No grita; persuade. El objetivo no es asustarte con un malware aparatoso, sino llevarte a una página clonada o hacerte aprobar una transferencia.

Cuarto, en verano aumenta el uso de dispositivos personales y conexiones fuera del perímetro de oficina. Más teletrabajo accidental desde hoteles, aeropuertos, cafeterías o móviles. Menos contexto. Más pantallas pequeñas. Peor lectura de URLs. La ergonomía también juega a favor del atacante.

Aquí conviene desmontar una ilusión frecuente: que el phishing estacional afecta sobre todo al consumidor final. No. Afecta mucho a las empresas porque ataca donde más duele: correo corporativo, cuentas de Microsoft 365 o Google Workspace, sistemas de reservas, ERP, cuentas bancarias y herramientas de atención al cliente. Y una vez dentro, el fraude inicial puede convertirse en business email compromise, exfiltración de datos personales o incluso despliegue posterior de ransomware. El correo es la puerta de entrada. No el destino.

Del correo convincente al incidente serio: así escala un ataque que parecía menor

La secuencia típica es menos cinematográfica y más eficaz de lo que a muchos consejos de administración les gustaría admitir.

Empieza con un correo aparentemente rutinario. Marca conocida. Tono educado. Puede incluir un asunto tipo “Acción requerida para evitar la cancelación de su reserva” o “Documento actualizado de su itinerario”. El enlace lleva a una página que imita la identidad visual de un proveedor turístico o de un servicio de autenticación empresarial. Si la víctima introduce usuario, contraseña y, en el peor caso, el código de segundo factor en una ventana de captura en tiempo real, el atacante obtiene acceso inmediato.

Desde ahí se abren varios caminos. El más rentable para el criminal no siempre es vaciar una tarjeta; a menudo prefiere secuestrar la conversación. Si compromete un buzón real, puede leer cadenas de correos, detectar facturas pendientes, observar firmas y reproducir el estilo interno. Eso multiplica la credibilidad del siguiente engaño. Es el viejo fraude del CEO vestido con ropa de verano.

Otro vector es el fraude a proveedores. Una agencia o un operador comprometido puede enviar a clientes reales instrucciones de pago alteradas. La víctima paga a una cuenta incorrecta y no sospecha hasta que llega la reclamación. Para entonces, el dinero ha dado varias vueltas. Recuperarlo no suele ser una operación sencilla ni rápida.

También está el ángulo de privacidad. Si el buzón comprometido contiene datos de reservas, pasaportes, direcciones, teléfonos, itinerarios o información de pago tokenizada, ya no hablamos solo de ciberseguridad defensiva. Entramos en terreno de protección de datos y notificación de brechas. GDPR art. 33 obliga a notificar a la autoridad de control la violación de seguridad de los datos personales sin dilación indebida y, cuando sea posible, en un plazo máximo de 72 horas desde que el responsable tenga constancia. GDPR art. 34 añade la obligación de comunicarla a los interesados cuando sea probable que entrañe un alto riesgo para sus derechos y libertades. Y sí, ese reloj corre también en agosto, cuando medio comité está fuera de la oficina. La normativa no se toma vacaciones.

Para entidades esenciales e importantes sujetas a NIS2, el problema escala aún más. La Directiva (UE) 2022/2555, en su art. 23, establece un esquema de notificación escalonado: alerta temprana en 24 horas desde tener conocimiento de un incidente significativo, notificación en 72 horas y un informe final en el plazo de un mes. Si el phishing desemboca en indisponibilidad de servicios, compromiso de red o impacto operativo relevante, la obligación deja de ser teórica. España todavía ha ido ajustando su transposición, pero la dirección de viaje es inequívoca: menos discrecionalidad y más trazabilidad.

La parte incómoda: por qué sigue funcionando algo tan conocido

Si el phishing es el pan duro de la ciberseguridad, ¿por qué sigue siendo tan eficaz? Porque hemos simplificado demasiado el diagnóstico. Se dice que “la gente cae”. Es una explicación perezosa. Lo que falla no es solo el usuario; falla el diseño de control.

Muchos programas de concienciación siguen anclados en ejemplos obvios. Correos llenos de errores, dominios absurdos, adjuntos sospechosos. Muy didáctico. Muy 2016. El problema real en 2025 es otro: dominios parecidos pero plausibles, páginas clonadas perfectas, MFA fatigue, kits de phishing como servicio y proxys adversary-in-the-middle capaces de capturar sesión incluso con autenticación multifactor si la implementación no es resistente al phishing.

Aquí está el punto técnico que demasiadas organizaciones prefieren esquivar: no toda MFA vale igual. Un código por SMS o una notificación push es mejor que nada, pero no resuelve el problema de raíz frente a ataques de captura interactiva o bombardeo de solicitudes. Las guías más robustas llevan años empujando credenciales resistentes al phishing, como passkeys basadas en FIDO2 o llaves de seguridad. NIST SP 800-63B lleva tiempo marcando el camino sobre autenticadores y resistencia al phishing, y NIST CSF 2.0 refuerza el enfoque de gobernanza y protección continuada. Traducido al castellano llano: si tu segundo factor puede ser robado o inducido, el atacante ya hizo sus cuentas.

Tampoco ayuda que muchas empresas mantengan reglas de correo excesivamente permisivas. DMARC, DKIM y SPF están lejos de ser una panacea, pero siguen siendo una línea básica de defensa contra suplantación de dominio. El problema no es solo técnico; es político. Pasar a una política DMARC de cuarentena o rechazo obliga a limpiar inventarios de envíos legítimos, alinear terceros, corregir flujos heredados y pelear con marketing, RR. HH. y proveedores que juraban que aquello “siempre había funcionado así”. El phishing prospera también gracias a esa pereza corporativa bastante bien peinada.

El sector turístico es un objetivo obvio. Lo sorprendente es que otros sectores se comportan igual

A primera vista, la alerta parece sectorial: clientes, agencias y operadores turísticos. Pero limitar la lectura al turismo sería perderse media historia. Cualquier organización con procesos de viaje, reembolsos, atención al cliente o pagos descentralizados queda expuesta al mismo patrón.

Piensa en un departamento financiero que recibe facturas de hoteles y agencias. O en recursos humanos gestionando desplazamientos. O en una empresa industrial donde los comerciales viajan continuamente y tramitan incidencias desde el móvil. Incluso una firma jurídica o una aseguradora pueden ser víctima indirecta si un empleado cae en un falso mensaje de reserva corporativa y entrega sus credenciales.

En el sector financiero, además, el riesgo tiene dos capas. La primera es el fraude interno o el compromiso de cuentas con acceso a clientes y operaciones. La segunda es regulatoria. DORA, aplicable desde el 17 de enero de 2025, exige a las entidades financieras gestionar el riesgo de las TIC con un marco interno sólido y procesos de detección, respuesta y recuperación. El Reglamento (UE) 2022/2554 no menciona el phishing de verano como categoría poética, claro, pero sí obliga a contar con mecanismos de protección, prevención, detección, respuesta y aprendizaje. Los arts. 6 a 15 cubren la columna vertebral del marco de gestión del riesgo TIC; el art. 17 entra en la gestión, clasificación y notificación de incidentes relacionados con las TIC; y el art. 28 pone el foco en terceros proveedores de servicios TIC. Si una campaña usa como gancho a una agencia o compromete a un proveedor conectado, la cadena de responsabilidad ya no termina en la bandeja de entrada del empleado.

Para bancos, aseguradoras, gestoras, EDE o proveedores críticos, el mensaje es simple: el phishing no es solo awareness, es resiliencia operativa. Si tu proceso de pagos extraordinarios depende de un correo y una llamada rápida porque “el responsable está fuera”, tienes una debilidad de diseño, no un problema estacional.

Lo que deberían revisar ahora mismo CISO, CIO y compliance sin esperar al siguiente comité

Hay momentos en los que la mejor estrategia editorial consiste en dejar de rodear el tema. Este es uno. Si tu organización no ha revisado todavía estos puntos antes de agosto, va tarde.

El primero es la autenticación. No “tenemos MFA”, sino qué tipo de MFA, en qué aplicaciones, con qué excepciones y para cuántas cuentas privilegiadas. Las cuentas de correo, VPN, SSO, ERP financiero, sistemas de reservas y herramientas de soporte no deberían depender solo de factores fáciles de interceptar o aprobar por cansancio. Si el despliegue de FIDO2 o passkeys aún no está maduro, al menos conviene endurecer políticas de acceso condicional, detección de inicios de sesión anómalos, geolocalización imposible y bloqueos por riesgo.

El segundo es el correo. Alineación estricta de SPF, DKIM y DMARC para el dominio principal y para los subdominios que realmente envían mensajes. Monitorizar lookalike domains también ayuda, aunque no elimina el problema. Si tu marca puede ser imitada con tres variaciones baratas de dominio y nadie las vigila, el atacante ya tiene media campaña hecha.

El tercero es el proceso de pagos. Las transferencias urgentes ligadas a cambios de cuenta o solicitudes excepcionales necesitan verificación fuera del correo. No “responder al hilo”. Fuera del correo significa otro canal y otro dato maestro. Una llamada a un número previamente verificado, una validación en portal seguro o un flujo de aprobación segregado. Lo sorprendente es que muchas empresas siguen tratando esto como una recomendación opcional cuando el fraude BEC lleva años costando millones.

El cuarto es la respuesta a incidentes. ¿Quién decide si un correo sospechoso se analiza, se bloquea o se escala? ¿Quién tiene capacidad para revocar sesiones, resetear credenciales, buscar reglas maliciosas en buzones y revisar OAuth grants en cuestión de minutos? ¿Existe guardia real en verano o solo un organigrama optimista? El tiempo de contención cuenta. Mucho. En un compromiso de correo, esperar al lunes porque el titular del proceso está de vacaciones es exactamente el tipo de detalle que los atacantes agradecen en silencio.

El quinto es la protección de datos. Si se compromete un buzón con información personal de clientes o empleados, la organización debe poder evaluar rápidamente alcance, categorías de datos, número aproximado de interesados, posibles consecuencias y medidas adoptadas. Eso no se improvisa a las 19:40 de un viernes de agosto. GDPR art. 33 pide contenido concreto en la notificación: naturaleza de la violación, categorías y número aproximado de interesados y registros, datos de contacto del DPO o punto de contacto, consecuencias probables y medidas tomadas o propuestas. Sin inventario ni criterio previo, esa evaluación se convierte en una lotería cara.

No todo es tecnología: el lenguaje del fraude está afinándose mejor que muchos controles

Una de las razones por las que estas campañas funcionan es que los atacantes entienden la psicología del proceso mejor que muchas organizaciones. El mejor phishing actual no parece un ataque; parece un trámite. Y eso es peligroso porque la mayoría de controles humanos están diseñados para detectar anomalías, no rutinas.

Los mensajes de vacaciones explotan precisamente ese sesgo. Un cargo pendiente de confirmar. Una penalización por no responder. Una reprogramación “sin coste adicional” si se actúa en 30 minutos. Una devolución bloqueada por un fallo de verificación. Todo muy normal. Todo muy administrativo. Lo bastante molesto como para querer resolverlo deprisa. El fraude más eficaz no pide heroicidad. Pide obediencia burocrática.

Las organizaciones que lo entienden mejor están cambiando el entrenamiento. Menos sermón general sobre “no pinches”. Más simulaciones contextualizadas por función, por temporada y por proceso. El equipo de finanzas no necesita el mismo ejercicio que atención al cliente o RR. HH. Tampoco una agencia de viajes se expone a los mismos cebos que una fintech. Si el contenido formativo no reproduce los escenarios reales de negocio, sirve para marcar casillas, no para reducir incidentes.

Hay otro detalle que conviene no minimizar: la explotación de marcas confiables. Cuando el atacante suplanta nombres muy conocidos del ecosistema de viajes o plataformas habituales de autenticación, parte de la confianza ya viene de fábrica. Eso obliga a las marcas legítimas a reforzar sus canales oficiales y a comunicar mejor cómo y desde dónde contactan. Un “nunca pediremos esto por correo” repetido sin disciplina en el canal no arregla nada si luego sí se envían enlaces de pago y actualizaciones de cuenta por email. La coherencia de canal también es un control.

Qué dice la regulación cuando un simple correo acaba afectando a operaciones, datos o terceros

La regulación europea lleva tiempo desplazándose desde la ciberseguridad como asunto puramente técnico hacia la resiliencia como obligación de gobierno. Y el phishing encaja de lleno porque conecta personas, procesos, terceros y datos.

En GDPR, la cuestión central no es el vector de entrada, sino el impacto sobre datos personales y la diligencia del responsable. Un compromiso de credenciales que exponga información de clientes puede activar los arts. 33 y 34, como ya se ha dicho, pero también obliga a revisar las medidas técnicas y organizativas del art. 32. Si un incidente revela ausencia de controles razonables sobre acceso, autenticación, monitorización o minimización de datos en buzones, el debate deja de ser solo operativo.

En NIS2, el art. 21 impone medidas de gestión de riesgos de ciberseguridad proporcionadas y adecuadas, incluyendo políticas de análisis de riesgos, gestión de incidentes, seguridad de la cadena de suministro, seguridad en adquisición y mantenimiento de sistemas, evaluación de eficacia y formación en ciberhigiene. Es decir, el regulador europeo ya no compra la excusa de que el phishing es “fallo humano” y punto. Si el ataque entra por terceros, por identidades débiles o por formación desconectada del riesgo real, la organización debe demostrar que gobernaba ese riesgo.

En DORA, el mensaje es todavía más ejecutivo: el riesgo TIC es responsabilidad de la dirección y debe integrarse en el marco de gestión de la entidad. La idea importa porque cambia quién responde internamente. No es un problema que se aparque en el SOC. Si una entidad financiera sufre un fraude o una interrupción relevante por un compromiso de correo o de proveedor asociado a campañas de temporada, el supervisor querrá ver controles, roles, pruebas y capacidad de respuesta, no solo un PowerPoint con buenas intenciones.

Y hay un punto adicional sobre terceros que suele aparecer demasiado tarde en estas conversaciones. Los operadores turísticos, call centers, plataformas de pago, herramientas CRM, proveedores de email security y servicios cloud forman parte del problema y de la defensa. Un fallo en cualquiera de esos eslabones puede amplificar el impacto. NIS2 art. 21 y DORA art. 28 empujan justo ahí: la cadena de suministro digital no se gestiona con fe.

La paradoja del verano: menos manos, más riesgo y plazos regulatorios intactos

El dato más ingrato de esta historia no está en el correo malicioso, sino en el calendario. Los atacantes saben que en verano disminuye la disponibilidad de personas clave. También saben algo que muchas empresas descubren tarde: las obligaciones de notificación, contención y documentación no se suspenden porque falte media plantilla.

Si una brecha con datos personales se detecta un sábado, el plazo de 72 horas del GDPR no pregunta si el DPO está en la playa. Si una entidad sujeta a NIS2 sufre un incidente significativo en víspera de festivo, la alerta temprana en 24 horas sigue siendo 24 horas. La norma es bastante poco sentimental en ese punto.

De ahí que el riesgo real del phishing estival no sea solo la probabilidad de clic. Es la combinación de clic más respuesta lenta. Un incidente menor contenido en veinte minutos puede quedarse en susto. El mismo incidente mal gestionado durante dieciséis horas puede convertirse en compromiso de múltiples buzones, reglas de reenvío ocultas, abuso de terceros y fuga de datos.

La pregunta útil para un comité no es “¿somos vulnerables al phishing?”. Claro que lo sois, como todo el mundo. La pregunta útil es otra: “¿cuánto tardamos en detectar y cortar un compromiso de identidad en agosto?”. Si nadie puede responder con un tiempo razonable y un procedimiento real, ya tienes el titular interno que importa.

Lo que separa a las organizaciones maduras de las que solo hacen simulacros decorativos

Una organización madura no presume de que sus empleados “ya saben” identificar correos raros. Mide otra cosa. Mide cuántos intentos llegan, cuántos se bloquean antes de la bandeja, cuántos usuarios reportan, cuánto tarda el equipo en investigar, cuántas credenciales se resetean a tiempo, si hay sesiones revocadas, si se buscan indicadores en todos los buzones afectados y si el incidente deja aprendizaje operativo.

También revisa el diseño de permisos. Muchas campañas obtienen más valor del que deberían porque una sola cuenta abre demasiadas puertas. Menos privilegios permanentes, más segregación de funciones y mejor gobierno de identidades reducen el daño. Parece aburrido, lo sé. Precisamente por eso funciona. La ciberresiliencia real tiene menos épica y más disciplina.

Otra diferencia está en el uso de telemetría. Correlacionar eventos de correo, identidad, endpoint y cloud no es un lujo estético. Es la forma de detectar que una credencial robada se ha usado desde una localización extraña, que se ha creado una regla de ocultación en el buzón, que se ha otorgado consentimiento a una app sospechosa o que se ha intentado acceder a datos sensibles fuera del patrón habitual. El phishing moderno suele ser un ataque a la identidad; responder solo desde el filtro antispam es mirar el problema por el retrovisor.

Por último, las organizaciones maduras ensayan. No solo la detección del correo, sino la decisión de negocio. Quién autoriza bloqueos, cómo se interrumpe un pago dudoso, cómo se informa a legal, privacy, fraude, comunicación y dirección. El incidente serio casi nunca falla por falta total de herramientas. Falla por fricción entre equipos, por ambigüedad en el mando o por esa tradición corporativa tan castiza de pensar que alguien más se estaría ocupando.

Qué debería hacer una empresa esta semana si no quiere regalar agosto a los atacantes

Sin convertir esto en una plantilla de consultoría disfrazada, hay una secuencia sensata que sí merece ejecutarse antes del pico vacacional.

Empieza por revisar qué procesos dependen todavía del correo para aprobar pagos, cambios de cuenta, devoluciones o accesos. Si el proceso crítico cabe en un hilo reenviado y una firma copiada, hay riesgo claro. Corrígelo con verificación externa y segregación mínima.

Sigue por las identidades expuestas: cuentas de correo, SSO, administradores, finanzas, atención al cliente y personal con acceso a datos de reservas o facturación. Prioriza controles resistentes al phishing donde el impacto sea mayor. Si no llegas a todo, al menos cubre las cuentas con capacidad de mover dinero, datos o privilegios.

Después, comprueba si el equipo de respuesta puede operar con sustituciones reales. No con nombres en un documento, sino con personas habilitadas, acceso a herramientas, capacidad de revocar sesiones y criterio para escalar. Un runbook que depende de una única persona es una invitación al incidente ampliado.

Y cierra el círculo con comunicación interna útil. No un cartel genérico sobre ciberhigiene, sino avisos concretos: qué tipos de cebos están circulando, qué marcas están siendo imitadas, qué canal usar para reportar, qué pagos o reembolsos requieren doble validación y qué debe hacer un empleado si cree haber introducido su contraseña en un sitio falso. La instrucción más valiosa suele ser la más simple: reporta de inmediato, aunque te dé vergüenza. El silencio es el mejor socio del atacante.

La lección que deja este repunte no es estacional, sino estructural

La noticia de que el phishing se dispara con las vacaciones de verano no sorprende a nadie que lleve tiempo siguiendo el fraude digital. Lo que sí debería preocupar es que seguimos tratándolo como una oleada pasajera en vez de como un test recurrente de madurez operativa.

El atacante aprovecha el verano porque el verano revela debilidades permanentes: dependencia excesiva del correo, identidades mal protegidas, procesos de pago frágiles, terceros poco vigilados y respuesta a incidentes demasiado vinculada a personas concretas. Agosto no crea esos problemas. Solo los ilumina con una claridad incómoda.

Si quieres una conclusión útil, aquí va: el phishing de temporada no se combate solo con más formación, aunque la formación ayude. Se combate rediseñando procesos que hoy conceden demasiada confianza al email, endureciendo identidades, recortando privilegios, afinando la detección y asegurando cobertura operativa cuando la plantilla rota. Todo lo demás son buenos deseos con protector solar.

Y un último detalle, por si alguien sigue pensando que hablamos de un riesgo menor. Un correo convincente sobre una reserva puede acabar en fraude financiero, exposición de datos personales, notificación regulatoria en 72 horas, discusión con el asegurador y una pregunta bastante desagradable del consejo: “¿cómo pudo pasar esto por algo tan simple?”. La respuesta honesta suele ser incómoda: porque no era tan simple, y porque el control real estaba menos maduro de lo que decíamos.