Com prevenir atacs de phishing dirigits a usuaris de carteres digitals

De Esteban Sardanyés el 30.4.2026

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Com prevenir atacs de phishing dirigits a usuaris de carteres digitals</span>

El 2025, el phishing ja no és un problema aïllat de ciberseguretat, sinó un risc directe sobre la continuïtat del negoci a les empreses de carteres digitals. Amb més d’1,13 milions d’atacs trimestrals i un cost mitjà de 4,48 milions de dòlars per bretxa, el veritable impacte no és l’atac en si, sinó el que provoca: la pèrdua de control sobre la seguretat dels usuaris i la confiança en la plataforma.

Quan un usuari és compromès, l’impacte no es limita al seu compte. L’empresa assumeix el frau, el dany reputacional i, en molts casos, la responsabilitat legal.

Models d’atac de phishing en carteres digitals

El phishing ha deixat de ser un atac casual per convertir-se en una operativa criminal organitzada. Per a una cartera digital, enfrontar-se als ciberatacs actuals, cada cop més sofisticats a causa de l’avenç de la tecnologia, implica combatre múltiples models de negoci il·lícit:

Phishing-as-a-Service (PhaaS): Infraestructures llogades que permeten llançar atacs massius i automatitzats sense coneixements tècnics.
Fraud-as-a-Service (FaaS): Models que cobreixen tot el cicle delictiu, des del robatori de credencials fins al blanqueig de capitals (cash-out).
IA generativa i deepfakes: L’ús de veus clonades i missatges hiperpersonalitzats ha elevat la taxa d’èxit dels atacs fins a un 40%, esquivant filtres tradicionals.
Atacs multicanal: Coordinació de SMS (smishing) i trucades (vishing) en temps real per interceptar codis MFA i saltar-se la seguretat de doble factor.

Això no és una evolució de l’atac. És la industrialització del risc sobre els usuaris de la plataforma.

Conseqüències del phishing en carteres digitals i la pèrdua de control de l’usuari

El phishing actual no busca robar únicament credencials. Busca comprometre un dels punts més crítics del negoci: la confiança entre l’empresa i el seu usuari.

Això es manifesta a través de diferents tipus d’atac que comprometen directament la confiança i l’operativa del servei:

Suplantació d’identitat del servei cap al client
Robatori de comptes d’usuaris mitjançant enginyeria social multicanal
Abús dels processos d’autenticació per prendre control de sessions actives

El resultat és clar: l’empresa passa a ser responsable de l’impacte que pateix l’usuari.

Com impacta el phishing directament en negocis de carteres digitals

L’efecte del phishing en carteres digitals no és puntual, és estructural i sostingut en el temps, afectant directament l’operativa del servei i l’estabilitat del negoci.

Pèrdues econòmiques directes: frau associat a accessos no autoritzats i transaccions il·legítimes
Impacte reputacional: pèrdua de confiança de l’usuari i abandonament del servei
Risc legal i normatiu: notificació obligatòria en 72 hores i possibles sancions si no hi ha mesures preventives

Senyals que els teus clients estan sent atacats

La detecció primerenca de campanyes de phishing en carteres digitals comença pel control d’accessos. Pics d’inicis de sessió des d’ubicacions inusuals o dispositius no reconeguts solen ser una de les primeres senyals de robatori de credencials.

Un altre indicador clau és l’activitat reportada pels usuaris. Missatges sospitosos per SMS, correus o trucades que suplanten la identitat del servei solen precedir una campanya activa.

Finalment, la monitorització de transaccions i canvis en comptes és essencial. Moviments de fons inusuals o canvis massius de credencials poden indicar una campanya en curs. Detectar-ho a temps marca la diferència entre un intent de frau i una bretxa crítica.

Detectar aquests patrons permet reaccionar a temps, però la reducció real del risc arriba quan la seguretat evita que l’atac arribi a l’usuari.

Consells de ciberseguretat per protegir els teus clients

Per mitigar aquests riscos, és necessari passar de la reacció a una ciberseguretat proactiva.

1. Autenticació resistent al phishing (FIDO2 i passkeys)

Eliminar contrasenyes redueix de forma directa els atacs de robatori de credencials. L’accés queda lligat al dispositiu de l’usuari, dificultant que un atacant pugui reutilitzar informació robada en campanyes de phishing.

2. Xifratge d’extrem a extrem

Les dades es mantenen protegides fins i tot si són interceptades. Sense claus de desxifrat, la informació perd valor per a l’atacant i no pot ser explotada. Això redueix l’impacte de bretxes i accessos indeguts en entorns crítics.

3. Model Zero Trust aplicat als accessos de clients

Cada accés es valida de forma independent, sense assumir confiança prèvia. Això limita l’impacte de credencials compromeses i redueix el moviment d’un atacant dins del sistema. A més, permet detectar comportaments anòmals en temps real.

4. IA defensiva i SOC orientat al frau

El comportament de l’usuari i dels accessos s’analitza en temps real per detectar patrons anòmals. Això permet bloquejar intents de frau abans que es materialitzin en l’usuari. També ajuda a anticipar campanyes coordinades de phishing en fases primerenques.

5. Simulacions de phishing i conscienciació de l’usuari

Exposar usuaris i empleats a atacs simulats permet identificar el seu nivell real d’exposició. Això redueix errors humans en atacs reals basats en enginyeria social. A més, ajuda a reforçar hàbits de detecció en situacions crítiques.

6. Solucions antiphishing

L’anàlisi prèvia del correu abans de la seva entrega bloqueja intents de suplantació i missatges maliciosos. Això evita que l’usuari arribi a interactuar amb l’atac. També redueix la superfície d’entrada de campanyes massives automatitzades.

ESED: la ciberseguretat proactiva que necessites

Comptar amb un enfocament preventiu permet reduir incidents, controlar costos i evitar impactes legals, reputacionals i financers inesperats. El phishing industrialitzat és un risc crític que exigeix estratègies avançades per garantir la resiliència de l’empresa.

A ESED, ajudem les organitzacions a protegir les seves dades mitjançant un model de tarifa fixa mensual que inclou serveis proactius i monitorització contínua. Aquest sistema permet a les empreses anticipar-se als incidents sense dependre d’actuacions reactives o costos variables imprevistos.

Article anterior

← Disaster Recovery Plan per al sector retail

Solucions de ciberseguretat

Hacking ètic: ESED Attack

Antiphishing

Antivirus: Endpoint XDR/MDR

Simulació de phishing

Còpies de seguretat (Backups)

Contrasenyes segures

Tallafocs (Firewall)

Compliment normatiu

Adecuació a l'ENS

Compliment Directiva NIS2

Certificació ISO 27001

Històries de clients

Eignapharma

La puta suegra

Excelium

Petam: Escàner de vulnerabilitats

ANAR A PETAM

WWatcher: Preveu la fuga de dades

ANAR A WWATCHER

Calculadora: Cost d'un ciberatac

CALCULAR COST

ESED Academy: Recursos

Blog