Volver al blog
Historia de PhiShark2 de junio de 202612 min de lecturaFurkan Çolhak

Por qué empecé a construir PhiShark

El phishing no es nuevo, pero sigue sin resolverse. Aquí explico por qué decidí construir un tipo diferente de herramienta de protección contra phishing.

PhishingCiberseguridadPhiSharkSeguridad con IAExtensión de Navegador

El phishing no es nuevo.

Llevamos muchos años hablando de correos falsos, páginas de inicio de sesión falsas, enlaces fraudulentos, mensajes bancarios falsos, mensajes SMS de entrega falsos e ingeniería social. Pero el problema sigue aquí. En realidad, se está haciendo más grande, más rápido y más personal.

Hoy en día, una estafa puede llegar a cualquier persona en segundos.

Un enlace de phishing puede llegar a través de un correo electrónico, un mensaje de WhatsApp, un grupo de Telegram, una oferta de trabajo falsa, un código QR, un archivo PDF, un anuncio en redes sociales o incluso un simple comentario debajo de una publicación. APWG reportó más de 1 millón de ataques de phishing en el primer trimestre de 2025, la cifra más alta desde finales de 2023, y también señaló que los criminales están enviando millones de correos de phishing con códigos QR que dirigen a las personas a sitios de phishing y malware. (APWG)

Esta es la simple verdad:

Internet es abierto. Y porque es abierto, las estafas están siempre a un clic de distancia.

Esa apertura es hermosa. Es la razón por la que podemos construir, compartir, aprender y conectarnos con personas de todo el mundo. Pero también significa que cualquiera puede comprar un dominio, crear una página falsa, obtener un certificado y empezar a atacar personas muy rápidamente.

Y por eso el phishing sigue siendo uno de los mayores problemas de internet.

Las soluciones antiguas ya no son suficientes

La mayoría de las empresas todavía trabajan con feeds de inteligencia de amenazas, listas de bloqueo y sistemas de reputación.

La idea es simple: si un sitio web es conocido como phishing, se añade a una lista y se bloquea después.

Esto funciona a veces. Pero el phishing ya no es tan lento.

Un sitio web de phishing puede vivir solo unas pocas horas. En un estudio académico de 2025, los investigadores encontraron que los sitios web de phishing tenían una vida mediana de solo 5,46 horas, mientras que Google Safe Browsing detectó solo el 18,4% de los sitios web de phishing en su conjunto de datos y tardó 4,5 días en promedio en detectarlos. El mismo estudio también encontró que muchos sitios de phishing ya habían sido dados de baja antes de ser detectados por la lista de bloqueo. (7 Days Later: Analyzing Phishing-Site Lifespan After Detected)

Este es un punto muy importante.

Si el ataque está activo durante horas, pero la defensa reacciona en días, entonces muchos usuarios ya están expuestos.

Por eso la protección basada solo en listas negras no es suficiente.

No es inútil. Todavía tiene valor. Pero no es suficiente para el phishing moderno.

Los atacantes saben cómo esconderse

Otro problema es la evasión.

Los atacantes no siempre muestran la misma página a todos. Pueden mostrar la página de phishing real solo a la víctima y mostrar una página limpia a las herramientas de seguridad.

Esto se llama cloaking.

Un sitio web de phishing puede comportarse de manera diferente dependiendo de:

  • el país del visitante,
  • el tipo de dispositivo,
  • el navegador,
  • la dirección IP,
  • la hora del día,
  • si el visitante parece una persona real o un rastreador de seguridad.

Trabajos académicos recientes también respaldan esta necesidad de sistemas de detección más adaptativos. Por ejemplo, el artículo PhishParrot en arXiv muestra que los sitios de phishing pueden usar cloaking para mostrar la página maliciosa real solo a usuarios seleccionados, mientras muestran contenido limpio a los rastreadores de seguridad. En su evaluación de 21 días, los investigadores demostraron que un enfoque de rastreo adaptativo mejoró la precisión de detección hasta en un 33,8% en comparación con los sistemas de análisis estándar (PhishParrot: LLM-Driven Adaptive Crawling to Unveil Cloaked Phishing Sites). Para mí, esta es una señal clara: la detección estática y universal ya no es suficiente. Necesitamos sistemas que puedan adaptarse a cómo los atacantes esconden, cambian y exponen selectivamente sus páginas de phishing.

Así que cuando alguien pregunta, "¿Por qué el phishing sigue sin resolverse?", esta es una de las respuestas.

Porque los atacantes no solo crean páginas falsas.

Crean páginas falsas que se esconden.

El aprendizaje automático ayudó, pero no resolvió completamente el problema

Después de que los sistemas de listas negras empezaron a volverse demasiado lentos, muchos investigadores y empresas se trasladaron al aprendizaje automático.

Esto tenía sentido.

En lugar de preguntar solo "¿Esta URL ya es conocida?", el aprendizaje automático hace una pregunta mejor:

"¿Esta URL parece sospechosa?"

Esto es útil. Pero también trae otro problema: los falsos positivos.

Si un producto de seguridad bloquea un sitio web seguro, las personas pierden la confianza en él. En una empresa, esto también crea dolor operativo. Los equipos de seguridad se vuelven más lentos. Los empleados se molestan. Los analistas pierden tiempo revisando alertas que no deberían existir.

También vi este problema directamente mientras construía la primera versión de PhiShark.

La primera versión de PhiShark estaba basada en aprendizaje automático. Y honestamente, nos ayudó a entender el problema mucho mejor.

La lección más grande fue simple:

Datos, datos, datos.

Con el aprendizaje automático, siempre dependes de los datos. Pero en el phishing, los datos cambian cada segundo. Un nuevo tipo de estafa puede aparecer mañana. Un nuevo patrón de dominio puede volverse popular. Una nueva campaña de marca falsa puede comenzar. Un nuevo truco de cloaking puede hacer que tu conjunto de datos antiguo sea menos útil.

Y entonces te enfrentas a una pregunta muy difícil:

¿En qué datos deberías confiar?

¿Qué datos deberías usar para el entrenamiento?

¿Qué muestras antiguas siguen siendo útiles?

¿Qué muestras antiguas ahora son engañosas?

¿Cómo mantienes el modelo actualizado sin hacerlo ruidoso?

¿Cómo evitas ser aplastado bajo tus propios datos históricos?

Esto es mucho más difícil de lo que parece.

Porque el phishing no es un problema estático. Se mueve. Cambia. Se adapta.

Por eso, desde el principio, sentí que un producto de phishing necesita más que solo un modelo entrenado. Necesita inteligencia.

Necesita un sistema que pueda mirar nuevas señales, entender el contexto, conectar diferentes piezas de evidencia y tomar una decisión más cercana a cómo piensa un analista humano.

Y para nosotros, esto se volvió mucho más posible con una arquitectura agéntica.

Escribiré sobre esto con más detalle en publicaciones futuras, pero este fue uno de los mayores puntos de inflexión para PhiShark.

Por eso la detección de phishing es difícil.

Si eres demasiado suave, dejas pasar ataques. Si eres demasiado agresivo, bloqueas la vida normal.

Un buen producto de phishing necesita equilibrio. Necesita ser rápido, pero no ruidoso. Necesita proteger a las personas, pero no romper su uso diario de internet.

El phishing no es solo un problema técnico

Cuando miramos los productos de ciberseguridad, vemos muchas herramientas para seguridad de endpoints, seguridad en la nube, seguridad de identidad, SIEM, SOAR, seguridad de red e inteligencia de amenazas.

Pero cuando miramos la protección contra phishing para personas normales, las opciones siguen siendo limitadas.

¿Por qué?

Porque el phishing no es solo un problema técnico.

Es un problema humano.

CISA describe la ingeniería social como un ataque donde el atacante utiliza la interacción humana para obtener o comprometer información. En palabras simples, los atacantes no siempre hackean el sistema. A veces hackean la confianza. (CISA)

Y esto es mucho más difícil.

Porque los humanos somos emocionales. Nos cansamos. Tenemos prisa. Nos asustamos. Confiamos en marcas familiares. Confiamos en mensajes que parecen urgentes. Hacemos clic cuando algo parece normal.

Una vulnerabilidad de software puede ser parcheada.

Pero, ¿cómo parcheas el miedo? ¿Cómo parcheas el estrés? ¿Cómo parcheas a un padre que recibe un enlace de pago escolar falso? ¿Cómo parcheas a una persona mayor que recibe un SMS bancario falso?

Por eso el phishing sigue siendo poderoso.

La formación es útil, pero la formación sola no es suficiente

Durante un tiempo, muchas empresas se enfocaron en la formación de concienciación sobre phishing.

Y sí, la formación es importante.

Los empleados deberían aprender cómo se ve un correo de phishing. Deberían entender dominios falsos, lenguaje urgente, archivos adjuntos sospechosos y páginas de inicio de sesión falsas.

Pero la formación sola no puede ser la solución completa.

Porque los atacantes no solo atacan a empleados.

Pueden atacar a sus familias, amigos, socios, padres o hijos.

Hoy en día, debido a las redes sociales, casi todos son accesibles. Nuestras vidas son públicas. Nuestros trabajos, escuelas, amigos, familiares, ubicaciones y hábitos diarios son más fáciles de encontrar que nunca.

Esto significa que los atacantes pueden moverse a nuestro alrededor.

Tal vez no pueden alcanzar al empleado directamente. Así que alcanzan a alguien cercano a esa persona. Y entonces el ataque viene desde una dirección de confianza.

Por eso creo que la protección contra phishing no debería vivir solo dentro de las empresas.

También debería proteger a las personas en la vida normal.

Las personas con mayor riesgo son a menudo las menos protegidas

Esta parte es muy importante para mí.

La mayoría de las herramientas de ciberseguridad están construidas para expertos.

Tienen paneles de control, alertas, puntuaciones de riesgo, registros, políticas, integraciones y configuraciones complejas.

Eso está bien para un equipo SOC.

Pero, ¿qué hay de un niño?

¿Qué hay de una persona mayor?

¿Qué hay de alguien que solo quiere abrir un mensaje de entrega?

¿Qué hay de alguien que escanea un código QR en un restaurante?

Los datos de delitos en internet del FBI de 2024 mostraron que las personas en EE. UU. perdieron más de $16 mil millones por estafas y cibercrimen en 2024. Las personas de 60 años o más presentaron más de 147.000 quejas y reportaron $4,8 mil millones en pérdidas. El phishing o la suplantación fue una de las principales quejas de las personas mayores. (Axios)

Esto nos dice algo muy claramente:

Las personas que necesitan protección no son solo las empresas.

Las personas normales también necesitan protección.

Las familias necesitan protección. Los padres necesitan protección. Los niños necesitan protección. Las personas mayores necesitan protección.

Y la solución debe ser lo suficientemente simple para ellos.

Por eso construimos PhiShark

En PhiShark, comenzamos con una idea simple:

¿Qué pasaría si la protección contra phishing pudiera estar más cerca del usuario?

No solo dentro de la red de la empresa.

No solo dentro de un panel empresarial.

No solo después de que una URL ya haya sido reportada.

Sino directamente donde las personas hacen clic.

Por eso construimos la extensión de navegador PhiShark.

El objetivo es simple:

Antes de que alguien haga clic en un enlace peligroso, PhiShark debería ayudarle a entender el riesgo.

Queríamos hacerlo útil no solo para los equipos de seguridad, sino también para los usuarios normales de internet. Porque el phishing ya no solo ocurre en el correo corporativo.

Ocurre en PDFs. Ocurre en códigos QR. Ocurre en mensajes. Ocurre en facturas falsas. Ocurre en páginas de entrega falsas. Ocurre en formularios gubernamentales falsos. Ocurre en páginas de inicio de sesión de redes sociales falsas.

APWG también advirtió que el phishing por código QR se convirtió en un canal serio, con criminales enviando millones de correos con códigos QR que dirigen a las personas a sitios de phishing y malware. (APWG)

Así que diseñamos PhiShark para verificar más que una simple URL.

Queremos que mire los enlaces dentro de los correos. Queremos que analice PDFs. Queremos que verifique códigos QR. Queremos que proteja a las personas antes de que ocurra el error.

Necesitamos herramientas que piensen más como analistas humanos

Un analista humano no hace solo una pregunta.

No solo pregunta:

"¿Esta URL está en una lista negra?"

Hace muchas preguntas pequeñas:

¿Por qué este dominio parece extraño? ¿Cuándo fue creado? ¿Qué certificado utiliza? ¿Dónde está alojado? ¿La página parece una página de inicio de sesión? ¿Está copiando una marca conocida? ¿Hay redirecciones sospechosas? ¿El sitio web se esconde de los rastreadores? ¿Está activo solo en un país? ¿Se comporta de manera diferente en móvil?

Esta es la dirección que queremos para PhiShark.

Queremos construir un sistema que mire muchas señales juntas.

No solo una señal.

No solo una lista negra.

No solo una puntuación.

Sino un análisis real.

Un sistema que pueda decir:

"Esto parece sospechoso, y aquí está el porqué."

Ese "porqué" es importante.

Porque la confianza es importante.

Las personas no solo deberían ver una advertencia roja. Deberían entender la razón detrás de ella.

Por qué esta área necesita más atención

Sigo creyendo que el phishing es uno de los problemas más subestimados en ciberseguridad.

Muchas personas todavía piensan que phishing significa correos malos con errores ortográficos.

Pero el phishing moderno es mucho mejor que eso.

Las páginas parecen reales. Los mensajes son personales. El momento es inteligente. Los dominios parecen creíbles. Los ataques se mueven rápido. Los atacantes se esconden de las herramientas de seguridad.

Incluso el DBIR 2026 de Verizon señala que los dispositivos móviles se están convirtiendo en un objetivo más fuerte, con amenazas móviles obteniendo tasas de clic más altas que las amenazas tradicionales por correo electrónico. (Verizon)

Así que el phishing no se queda en la antigua bandeja de entrada de correo.

Se está moviendo a nuestra vida diaria.

Y nuestra protección necesita moverse con él.

Esta es la historia detrás de PhiShark

Así que por eso empecé a construir PhiShark.

No porque el phishing sea un problema nuevo.

Sino porque sigue sin resolverse.

Y creo que las soluciones actuales no son lo suficientemente simples, lo suficientemente rápidas ni lo suficientemente cercanas a las personas reales.

Necesitamos herramientas que puedan proteger a las empresas.

Pero también necesitamos herramientas que puedan proteger a padres, hijos, personas mayores, estudiantes, propietarios de pequeños negocios y cualquier persona que use internet.

Necesitamos validación más rápida.

Necesitamos mejor detección.

Necesitamos menos ruido.

Necesitamos protección contra phishing que funcione en la vida real.

Este blog será mi lugar para escribir sobre eso.

Compartiré lo que veo desde la investigación, desde la industria, desde ejemplos reales de phishing y desde la construcción de PhiShark.

El phishing es un problema grande.

Pero creo que podemos construir mejores herramientas contra él.

Mantente seguro.

Descarga PhiShark.

Y si me envías un mensaje directamente en LinkedIn, te daré 3 meses de acceso profesional. :D

Saludos, Furkan.