Phishing

Variantes por vector: email (clásico), smishing (SMS), vishing (voz, ya con voice cloning IA), quishing (QR), spear phishing (dirigido a una persona específica con OSINT).

Variantes por objetivo: credential phishing (formulario falso de login), MFA fatigue / push bombing (spam de push 2FA hasta que el usuario acepta), session token theft (AitM — Adversary-in-the-Middle como Evilginx2 que captura sessions tras 2FA), BEC (Business Email Compromise — desvío de transferencias).

Defensa: dominios con DMARC strict + DKIM + SPF, MFA resistente a phishing (FIDO2 / passkeys — NO TOTP), email security gateway con sandbox, formación enfocada en BEC y MFA fatigue (no solo el clásico email mal escrito), simulaciones realistas.