Spearphishing es un ataque dirigido donde los ciberdelincuentes investigan tu perfil personal y laboral en redes sociales antes de contactarte con un mensaje altamente personalizado. A diferencia del phishing masivo, acá el atacante ya sabe tu nombre, tu empresa, tus proyectos y tus colegas, lo que hace el engaño mucho más creíble. Según reportes de 2026, más del 36% de incidentes de seguridad en Europa están relacionados con ataques de phishing, y la mayoría de esos son dirigidos.
En 30 segundos
- Spearphishing es phishing personalizado: los atacantes investigan tus datos en LinkedIn, GitHub e Instagram antes de contactarte.
- Las técnicas incluyen pretexting (crear identidades falsas creíbles), vishing (phishing telefónico) y deepfakes generados con IA.
- Las señales de alerta son urgencia artificial, remitentes sospechosos, errores ortográficos, URLs falsas y solicitudes de datos sensibles.
- La defensa principal es verificar identidades por canal independiente: si alguien dice ser de IT, llamá al número oficial de tu empresa.
- Si ya fuiste contactado, reportá a IT/seguridad, cambiá contraseñas y revisá cuentas bancarias.
Qué es spearphishing y por qué es diferente del phishing tradicional
Spearphishing es un ataque de ingeniería social dirigido donde el atacante invierte tiempo en investigarte específicamente antes de lanzar el engaño. No es un correo genérico enviado a miles de buzones. Es un mensaje personalizado que conoce tu nombre real, tu cargo, tu empresa, dónde trabajás, qué proyectos mencionaste en tu GitHub, quiénes son tus colegas.
Ponele que publicaste en LinkedIn que estás trabajando en una migración a cloud. El atacante lo ve, te agrega en LinkedIn (o espera a que vos lo aceptes), accede a tu perfil público, ve tus conexiones, revisa tu GitHub, y después te manda un correo diciéndote que es del equipo de soporte de AWS con una pregunta técnica súper específica sobre tu migración. Suena creíble porque menciona detalles que realmente estás haciendo.
El phishing tradicional es a lo macanudo: «Confirmá tus datos bancarios clickeando acá.» Masivo, tosco, abiertamente sospechoso. Spearphishing es distinto: es investigación, paciencia y un mensaje que te parece que llegó de alguien que realmente entiende qué estás haciendo.
Técnicas de ingeniería social: pretexting, vishing y deepfakes
El pretexting es cuando el atacante crea una identidad falsa pero creíble. No es un príncipe nigeriano pidiéndote dinero: es «Soy Juan de IT» o «Soy del área de compliance y necesito verificar tu información de seguridad.» El pretexting funciona porque la identidad tiene contexto: conoce tu empresa, usa jerga técnica, sabe qué procesos existen en tu organización (spoiler: leyó tu página de LinkedIn y vió quién trabaja ahí). Complementá con proteger tu infraestructura de accesos no autorizados.
Vishing es phishing por voz: alguien te llama por teléfono diciendo que es de tu banco, de IT, o de un proveedor que usás. El atacante usa información pública para sonar legítimo y te pide que confirmes datos sensibles o que hagas una transferencia «por seguridad.» A veces hay caller ID spoofing, así que el número que ves en la pantalla es real (o parece serlo).
Los deepfakes están llegando. En enero 2026, reportes mencionaron que el grupo Kimsuky usó códigos QR maliciosos en documentos falsos que parecían oficiales. Imaginate: recibís un email que dice ser de tu director de proyecto, con su nombre, su firma, todo auténtico, pero incluye un código QR que redirige a un sitio falso. El atacante puede haber generado el QR, incluso la firma, con IA.
Cómo los atacantes te investigan: LinkedIn, GitHub y redes sociales
Tu perfil de LinkedIn es un tesoro para un atacante. Ahí publicás: empresa donde trabajás, cargo, proyecto en el que estás, cuánto tiempo hace que estás en la empresa, quiénes son tus colegas, recomendaciones de personas reales que conocen tu trabajo. Un atacante construye un perfil detallado sin que vos hayas hablado con él nunca.
GitHub es incluso mejor (para el atacante). Publicás tu código, tu nombre de usuario, comentarios en issues, tu email. Alguien puede entrar en tu GitHub, ver qué tecnologías usás, qué proyectos estás desarrollando, ver los nombres de otros developers que colaboran contigo. Si tu empresa hace open source, el atacante ve exactamente qué estás construyendo y para quién.
Instagram, X, hasta tu Facebook: publicás fotos de viajes, mencionas dónde estás trabajando ahora, etiquetás a colegas. Todo es data. El atacante junta todo: nombre completo, email laboral, empresa, proyecto actual, colegas, tecnologías, dónde estás geográficamente, incluso horarios (si publicás stories en horarios específicos, el atacante sabe cuándo estás en la oficina). Cubrimos ese tema en detalle en validar datos en formularios de contacto.
Con todo eso, el atacante construye un perfil que te hace parecer como si realmente lo conociera. «Ey Juan, vi que ustedes están usando React 19 en tu último proyecto en GitHub, necesito ayuda con una integración.» Eso es específico. Eso es creíble. Eso te va a hacer pensar que es alguien del ecosistema técnico que en serio sabe qué estás haciendo.
Señales de alerta: cómo identificar un intento de spearphishing
Hay señales que delatan spearphishing si sabés en qué fijarte. No son todas obvias, pero después que las conocés, las ves en cada intento:
- Urgencia artificial. «Necesito esto en la próxima hora.» «Confirmá tu acceso ahora o se bloquea tu cuenta.» «Urgente: acción requerida.» Si algo genuino necesita acción rápida, va a darte tiempo real para verificar, no un límite de tiempo para apurarte a fallar.
- Remitente sospechoso o ligeramente falso. El email dice ser de «support@awz.com» en vez de «support@aws.com». La diferencia es un carácter, pero está. O viene de un dominio que parece oficial pero no lo es: «aws-support.net» en vez de «aws.amazon.com». Fijate siempre en el dominio completo, no solo en el nombre mostrado.
- Errores ortográficos y de gramática. Un correo de AWS no va a tener «confirmá tu clave» en vez de «confirma tu contraseña». Aunque esto es menos común en spearphishing sofisticado, sigue siendo una señal.
- Solicitud de datos sensibles o acceso. Nadie legítimo te va a pedir que proporciones tu contraseña por email. Punto. Si alguien pide contraseña, token de autenticación, 2FA, credenciales de API — es spearphishing.
- Enlaces o dominios falsos. Pasá el cursor sobre el link sin hacer click. ¿A dónde va? Si dice «Clickeá acá para confirmar», pero el link es «cloudverification-123.tk», está claro. También buscá HTTPS: un phishing muchas veces usa HTTP o una URL acortada que esconde el destino real.
- Contexto demasiado específico. Esto parece contradictorio (específico = bueno), pero acá va: si alguien que no debería saber sobre tu proyecto sabe detalles específicos, es raro. «Vi que estás en el Proyecto X, trabajando en integración de base de datos» — ¿cómo lo sabe? Si no lo publicaste públicamente, ¿de dónde sacó esa información?
- Petición de verificación de datos «por seguridad». Frase típica: «Por favor, verificá tu información de seguridad.» «Necesitamos confirmar tus datos de acceso.» «Protocolo de seguridad: proporciona tus credenciales.» Ninguna empresa legítima te pide credenciales por email.
- Descuido sospechoso en la firma. Un correo oficial de AWS tiene firma corporativa, logo, número de teléfono de contacto verificable. Si la firma es genérica, falta información o tiene errores, es una bandera.
Defensa contra pretexting: cómo verificar identidades
El pretexting funciona porque te parece que la persona realmente es quien dice ser. La defensa es: no confíes en el canal que iniciaron, usá otro canal.
Protocolo de verificación real: si alguien dice ser de tu banco y te pide verificar datos, no devolvés la llamada a un número que te dió. Agarrás el teléfono vos, buscás el número oficial del banco en su sitio web o en tu tarjeta, y llamás. Si dice ser de IT porque «detectamos actividad sospechosa en tu cuenta», no clickeás en el link que te mandó, vos abrís la aplicación de tu empresa y contactás a IT por el canal oficial de la empresa (Slack, email al departamento de IT, portal interno).
El punto es romper la cadena de confianza del atacante. Si vos iniciás el contacto por un canal que vos verificaste, no hay pretexting posible. El atacante puede mentir sobre quién es, pero no puede ser de un sitio que vos visitaste vos directamente. Tema relacionado: automatizar procesos sin exponer credenciales.
Otros checks:
- Pedí datos adicionales que confirmen identidad: número de empleado, extensión, información que solo el departamento real tendría.
- Desconfía de solicitudes de urgencia que piden información o dinero.
- Si es por teléfono, preguntá por dónde llamá para devolverle la llamada. Colgá vos, buscá el número oficial, y llamá vos.
- En email, busca el dominio en el WHOIS para verificar que es de verdad de la empresa que dice ser.
Protección personal: 8 medidas concretas para evitar ser objetivo
- No aceptes desconocidos en redes sociales. Especialmente LinkedIn. Si alguien que no conocés quiere ser conexión, antes de aceptar buscá su perfil, verificá su actividad, ve si tiene amigos en común reales. Un perfil nuevo con una foto de stock y dos conexiones es sospechoso.
- Limitá visibilidad de datos personales. En LinkedIn, configura tu perfil para que no muestre: empresa actual, cargo actual, o si acabás de cambiar de trabajo. En Instagram y Facebook, privá tus historias, no hagas público dónde estás trabajando. No publiques tecnologías específicas que usás en tu proyecto actual.
- No compartas información laboral sensible en redes. Nada de «hoy arrancamos con la migración a Kubernetes en la empresa X.» Nada de «usando la nueva API de Y.» Nada que le dé al atacante contexto para hacerse pasar por alguien del equipo técnico.
- Activá autenticación multifactor (2FA) en todo. Email laboral, GitHub, bancario, y sistemas internos de tu empresa. Si el atacante tiene tu contraseña, el 2FA lo detiene.
- Usá gestor de contraseñas. Contraseñas únicas y fuertes en cada servicio. Si un sitio falso loguea tu contraseña, no la puede usar en otros lados.
- Desconfía de códigos QR sospechosos. No escanees QR de documentos que no verificaste. Si un correo tiene un QR, verificá con IT que sea legítimo.
- No devuelvas llamadas a números desconocidos. Si alguien te llama de un número que no conocés, diciendo ser de tu banco o una empresa, no devuelvas la llamada al número que ves. Buscá el número oficial y llamá vos.
- Verificá caller ID en llamadas sospechosas. El spoofing de números es común, pero si alguien dice ser de tu empresa y el número no es de tu empresa, colgá y llamá por el canal oficial.
Comparación: phishing tradicional vs. spearphishing
| Aspecto | Phishing tradicional | Spearphishing |
|---|---|---|
| Alcance | Miles de buzones, masivo | Persona específica, investigada |
| Investigación previa | Ninguna, es genérico | Sí, en LinkedIn, GitHub, redes sociales |
| Personalización | «Confirmá tus datos bancarios» | «Vi tu proyecto en GitHub, necesito ayuda con React» |
| Credibilidad aparente | Baja, obvio que es fake | Alta, parece de alguien que sabe del tema |
| Tasa de éxito | 0,1%-1% (aún así, efectivo a escala) | 30%-50% según reportes 2026 |
| Señales de alerta | Obvias: errores, URLs falsas, urgencia | Sutiles: detalles reales pero contexto falso |
| Defensa | Sentido común, formación básica | Verificación independiente, canales separados |
Qué hacer si ya fuiste contactado o estafado
Si ya recibiste un contacto sospechoso o peor: si caíste en un intento de estafa, acá está qué hacer.
Acciones inmediatas (primeras 2 horas):
- Reportá el email/mensaje a IT o seguridad de tu empresa. Forwarded el email completo (con headers) o el mensaje original. IT puede bloquear el remitente y ver si otros en la empresa recibieron algo similar.
- Si el atacante tiene tu correo o número: cambiate el email, cambiate el número si es posible, o activa alertas de cambio en tu cuenta.
- Cambiá todas tus contraseñas importantes: email laboral, email personal, sistemas financieros, GitHub, redes sociales. Hacé esto desde una máquina que confíes (no la que usaste cuando clickeaste el link sospechoso).
- Revisá tus cuentas bancarias y de tarjeta: transacciones recientes, cambios de teléfono de contacto, intentos de transferencia. Si ves algo raro, llamá a tu banco inmediatamente.
Documentación y denuncia:
- Documentá todo: el email/mensaje completo, capturas de pantalla, horarios, qué datos pedían, si transferiste dinero, cuánto. Esto es importante si necesitás reportar después.
- En Argentina, podés denunciar en: portal de Ciberseguridad del Ministerio de Justicia, o directamente en la comisaría de ciberseguridad.
- Si es fraude bancario, denunciá ante la AFIP y tu banco.
- Si tu empresa tiene un número de línea interna de seguridad o compliance, reportá ahí también.
Alertá a tus contactos:
Si el atacante usó tu nombre o tu identidad para contactar a otros en tu empresa o círculo profesional, avisales. Mándales un email de tu email oficial diciendo «recibieron un contacto sospechoso de alguien que dice ser yo, no soy yo, denuncialo a IT.»
Errores comunes que facilitan spearphishing
- Publicar demasiada información en redes sociales. Muchos publican: empresa actual, tecnologías que usan, nombres de proyectos, nombres de colegas etiquetados. Un atacante junta todo esto y construye un personaje creíble. La regla: si no lo necesitás que lo vea el mundo, no lo publiques.
- Aceptar solicitudes de LinkedIn sin verificar. Una foto professional, un nombre que suena real, una descripción que dice «Cloud Engineer at AWS» — pero es un perfil fake de 3 días. Muchos lo aceptan sin pensar. Resultado: el atacante ahora tiene acceso a tu red de contactos.
- Creer que «desde adentro» es automáticamente seguro. Porque el correo parecía venir de un dominio conocido (spoofing es fácil), o porque el contexto era preciso (el atacante investigó), muchos bajan la guardia. Nada adentro es automáticamente seguro.
- No usar 2FA «porque es incómodo». Si una contraseña de verdad se filtra, 2FA es lo único que te salva. Sin 2FA, es cuestión de tiempo hasta que alguien entre con una contraseña robada.
- Hacer click en links del email sin verificar. Si el email dice «Clickeá acá», vos: no clickees. Ingresá manualmente en otra pestaña el dominio oficial del servicio. O pedile a IT que revise el link antes.
- Ignorar campañas de concientización de tu empresa. Si tu empresa hace simulated phishing (te mandan un email falso para ver si lo reportás), y vos lo ignorás, estás perdiéndote la oportunidad de aprender qué buscar.
Preguntas Frecuentes
¿Cuál es la diferencia entre phishing y spearphishing?
Phishing es masivo: envían el mismo email genérico a miles de buzones, esperando que algunos caigan. Spearphishing es dirigido: el atacante investiga una persona específica, construye un perfil detallado, y le envía un mensaje personalizado que parece venir de alguien que realmente sabe qué está haciendo. La tasa de éxito de spearphishing es mucho mayor porque la personalización lo hace creíble.
¿Cómo sé si un email es de verdad de mi empresa?
No confíes en lo que dice el email. Verificá por otro canal: llamá al número oficial de tu empresa, entrá al sitio web desde tu navegador (no desde un link del email), o contactá por Slack/Teams a la persona que supuestamente mandó el email. Si pedía información sensible, IT nunca pedirá contraseñas por email, nunca. Ese es el test definitivo.
¿Qué información publicada en redes sociales es más peligrosa?
Nombre + empresa actual + cargo. Con eso, un atacante sabe quién sos, dónde trabajás y qué hacés. Si además publicás detalles técnicos (tecnologías, proyectos, colegas), el atacante puede construir un personaje que te parece interno. Limitá LinkedIn a que muestre que trabajás, pero no qué proyecto específico estás haciendo ahora. Lo explicamos a fondo en integrar APIs externas de forma segura.
¿Qué hago si presiono un link sospechoso?
Colgá la pestaña inmediatamente. No ingreses datos. Anotate qué link era y reportá a IT. Después, cambiá contraseñas (desde otra máquina segura) de cualquier sistema que usés. Si el atacante recopiló tu IP, es menos problema que si recopiló un password. Pero más vale seguro: activa 2FA en todo si no lo tenés ya.
¿Mi empresa puede protegerme de spearphishing?
Parcialmente. IT puede filtrar emails sospechosos, detectar phishing, y hacer training. Pero spearphishing es tan dirigido y personalizado que a veces pasa por los filtros. La defensa principal es vos: verificación independiente, desconfianza del contexto demasiado específico, y nunca aceptar solicitudes de credenciales. La mejor protección es una combinación de herramientas + comportamiento humano cauteloso.
Conclusión
Spearphishing no es un correo que podés ignorar. Es un ataque personalizado que usa información real sobre vos para construir un engaño creíble. Los atacantes invierten tiempo investigándote en LinkedIn, GitHub y redes sociales, y después te contactan como si fueran colegas o proveedores que vos conocés.
La defensa no es tecnológica solamente — es comportamental. Acá está lo que importa: verificá identidades por canales que vos iniciaste, nunca aceptes credenciales por email, limitá lo que publicás en redes sociales, y activá 2FA en todo. Si algo huele raro, aunque sea específico y parezca creíble, verificá antes de responder (spoiler: ese contacto sospechoso probablemente sea exactamente eso, sospechoso).
Si ya fuiste contactado o estafado, no esperés: reportá a IT/seguridad, cambiá contraseñas, y denuncia. Cada reporte ayuda a que las defensas mejoren y que otros no caigan en lo mismo.
Fuentes
- InfoBae – Cómo funciona el spearphishing: técnicas de ciberdelincuentes en 2026
- Kaspersky – Definición de spear-phishing y técnicas de defensa
- Lisa Institute – Guía práctica de ingeniería social
- Trend Micro – Pretexting: técnica de ingeniería social
- Gobierno de Argentina – Portal de Ciberseguridad y Phishing