Amenazas

Phishing: Cómo Identificar Correos Fraudulentos y Proteger tu Empresa

Equip CiberPIME · · 8 min de lectura
Phishing: Cómo Identificar Correos Fraudulentos y Proteger tu Empresa
Llegeix aquest article en catala

El phishing es, con diferencia, el vector de ataque más utilizado contra las empresas españolas. Según el INCIBE, el 94% de los ciberataques comienzan con un correo electrónico malicioso. En 2023, España fue el tercer país europeo con más intentos de phishing, y las PYMEs representan el colectivo más afectado. Un solo empleado que hace clic en un enlace fraudulento puede comprometer toda la red de la empresa, provocar una fuga de datos o desencadenar un ataque de ransomware.

Entender cómo funciona el phishing y cómo reconocerlo es la defensa más eficaz y económica que existe.

Qué es el phishing y cómo ha evolucionado

El phishing es una técnica de ingeniería social en la que el atacante se hace pasar por una entidad de confianza (un banco, un proveedor, la Agencia Tributaria, un colega de trabajo) para engañar a la víctima y conseguir que revele información confidencial, haga clic en un enlace malicioso o transfiera dinero.

En sus inicios, los correos de phishing eran fácilmente reconocibles: faltas de ortografía, traducciones automáticas deficientes, remitentes obviamente falsos. Hoy en día, con el uso de inteligencia artificial, los atacantes generan correos prácticamente indistinguibles de los legítimos, personalizados con datos reales obtenidos de LinkedIn, la web de la empresa o redes sociales.

Tipos principales de phishing que afectan a las PYMEs

Phishing masivo (bulk phishing): Se envía el mismo correo a millones de destinatarios esperando que un pequeño porcentaje caiga. Suelen suplantar a entidades conocidas: Correos, la Agencia Tributaria, bancos, Netflix, PayPal.

Spear phishing: Ataque dirigido a una persona o empresa concreta. El correo está personalizado con información real sobre la víctima. Es mucho más peligroso porque resulta más difícil de detectar. Ejemplo: un correo que parece venir de tu banco, menciona tu número de cuenta parcial y te pide verificar una transacción.

Business Email Compromise (BEC) o fraude del CEO: El atacante suplanta al director general u otro alto directivo y envía un correo urgente al departamento financiero ordenando una transferencia. Es el tipo de phishing más lucrativo: en 2023, el FBI estimó pérdidas globales superiores a 2.900 millones de dólares por esta modalidad.

Smishing: Phishing por SMS. Muy común con mensajes que suplantan a Correos, bancos o la Seguridad Social.

Vishing: Phishing por llamada de voz. El atacante llama haciéndose pasar por soporte técnico, el banco o incluso la policía.

Quishing: Phishing mediante códigos QR. Cada vez más frecuente en entornos físicos (restaurantes, aparcamientos) y también en correos electrónicos.

Las 10 señales de alerta de un correo de phishing

Aunque los ataques modernos son más sofisticados, la mayoría comparte patrones reconocibles:

  1. Urgencia artificial: “Su cuenta será cancelada en 24 horas”, “Acción inmediata requerida”. El objetivo es que actúes sin pensar.
  2. Remitente sospechoso: La dirección de correo no coincide con el dominio oficial. Ejemplo: soporte@microsoft-ayuda.com en lugar de soporte@microsoft.com. Fíjate siempre en el dominio completo, no solo en el nombre que aparece.
  3. Enlace que no coincide con el texto: Pasa el cursor por encima del enlace (sin hacer clic) y comprueba que la URL que aparece abajo corresponde al sitio legítimo.
  4. Archivos adjuntos inesperados: Una factura que nadie te ha pedido, un albarán de un proveedor desconocido, un documento de Word que “necesita habilitar macros”.
  5. Solicitudes inusuales: Tu banco nunca te pedirá la contraseña completa por correo. La Agencia Tributaria nunca te pide que hagas una transferencia urgente.
  6. Errores gramaticales o de formato: Aunque cada vez menos frecuentes, los errores en el idioma, los logotipos pixelados o el formato inconsistente son señales de alerta.
  7. Dominio muy similar al legítimo: Técnica conocida como typosquatting. Ejemplos: arnazon.com en lugar de amazon.com, paypa1.com en lugar de paypal.com, renta.agencia-tributaria.es (dominio falso) en lugar de agenciatributaria.gob.es.
  8. Solicitud de credenciales en un formulario web: Los servicios legítimos casi nunca te piden que “confirmes tu contraseña” haciendo clic en un enlace del correo.
  9. Remitente conocido con comportamiento inusual: Si recibes un correo extraño de un contacto real (un proveedor, un colega), puede que su cuenta haya sido comprometida. Llama por teléfono para verificar.
  10. Correos que llevan a páginas sin HTTPS: Aunque HTTPS ya no garantiza que un sitio sea legítimo, la ausencia de HTTPS es una señal de alarma clara.

El fraude del CEO: cómo funciona y cómo prevenirlo

El Business Email Compromise merece atención especial porque puede causar pérdidas de decenas o cientos de miles de euros en una sola transacción. El esquema típico es:

  1. El atacante investiga la empresa en LinkedIn, la web y redes sociales para identificar al CEO, al responsable financiero y a los empleados del departamento de pagos.
  2. Espera un momento estratégico: el CEO está de viaje, es viernes por la tarde, hay una adquisición en marcha.
  3. Envía un correo que parece venir del CEO al responsable financiero, con un lenguaje similar al que usa realmente el directivo, pidiendo una transferencia urgente y confidencial.
  4. Presiona para que se haga rápido y en secreto, invocando una oportunidad de negocio, una multa o una situación delicada.

Cómo prevenirlo:

  • Establece un protocolo de verificación por doble canal para cualquier transferencia superior a un importe acordado (por ejemplo, 1.000€). Si la orden llega por correo, se confirma siempre por teléfono o en persona.
  • Nunca ejecutes una transferencia urgente y confidencial sin verificar por teléfono.
  • Forma al equipo financiero específicamente sobre esta amenaza.
  • Configura reglas en el servidor de correo para marcar los correos externos que suplantan dominios internos.

Medidas técnicas para proteger el correo corporativo

La formación es imprescindible, pero no suficiente. Estas medidas técnicas crean capas de protección adicionales:

Registros SPF, DKIM y DMARC

Estos tres registros DNS son la base de la autenticación del correo electrónico. Evitan que terceros envíen correos usando tu dominio (suplantación de identidad):

  • SPF (Sender Policy Framework): Define qué servidores están autorizados a enviar correo en nombre de tu dominio.
  • DKIM (DomainKeys Identified Mail): Firma criptográficamente los correos salientes para garantizar su integridad.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): Define qué debe hacerse con los correos que no superen las comprobaciones SPF o DKIM, y envía informes.

Si usas Google Workspace o Microsoft 365, ambas plataformas tienen guías paso a paso para configurar estos registros. Puedes comprobar su estado en herramientas gratuitas como MXToolbox (mxtoolbox.com).

Filtrado avanzado de correo

  • Google Workspace: Incluye protección avanzada contra phishing y malware. Activa las opciones de “Protección avanzada de phishing y malware” en la consola de administración.
  • Microsoft 365: El plan Business Premium incluye Microsoft Defender for Office 365, con protección avanzada contra phishing, enlaces y adjuntos maliciosos (Safe Links, Safe Attachments).
  • Filtros de terceros: Proofpoint Essentials, Mimecast o Barracuda Email Security son opciones consolidadas para PYMEs con mayor exigencia.

Autenticación multifactor (MFA)

Aunque un empleado revele sus credenciales en una página de phishing, el MFA impide que el atacante acceda a la cuenta sin el segundo factor. Es la medida más eficaz para limitar el daño de un ataque de phishing exitoso. Actívalo en todas las cuentas corporativas.

Formación y simulaciones de phishing

Las plataformas de concienciación en seguridad permiten enviar correos de phishing simulados a los empleados para evaluar su reacción y formar a los que caen:

HerramientaPlan para PYMEsPrecio aproximado
KnowBe4Silver (hasta 25 usuarios)~25€/usuario/año
Proofpoint Security AwarenessPyme~20€/usuario/año
HoxhuntStarter~15€/usuario/año
PhishedStarter~12€/usuario/año
GoPhishOpen sourceGratuito (autohospedado)

Una simulación trimestral de phishing, combinada con formación inmediata para los empleados que caen, reduce la tasa de clics en un 60-70% en el primer año.

Qué hacer si recibes un correo sospechoso

Protocolo básico para los empleados:

  1. No hagas clic en ningún enlace ni abras ningún adjunto.
  2. No respondas al correo ni reenvíes información.
  3. Reporta el correo a IT o al responsable de seguridad de tu empresa.
  4. Si usas Gmail: Usa el botón “Informar de phishing” en el menú de tres puntos.
  5. Si usas Outlook: Usa el complemento “Phish Alert Button” o “Informar como correo no deseado”.
  6. Si has hecho clic accidentalmente: Informa inmediatamente a IT, cambia las contraseñas de las cuentas potencialmente comprometidas y activa el MFA si no lo estaba.

Qué hacer si has sido víctima de phishing

Si un empleado ha revelado credenciales o se ha producido una transferencia fraudulenta:

  1. Cambia inmediatamente las contraseñas de todas las cuentas afectadas.
  2. Cierra todas las sesiones activas en las plataformas afectadas.
  3. Contacta con tu banco si hubo una transferencia. En muchos casos, si se actúa en las primeras horas, es posible revertirla.
  4. Denuncia ante las Fuerzas de Seguridad: Policía Nacional (Brigada de Investigación Tecnológica) o Guardia Civil (Grupo de Delitos Telemáticos).
  5. Reporta al INCIBE: Teléfono 017 o en incibe.es. Pueden ayudarte a gestionar el incidente.
  6. Notifica a la AEPD si hubo exposición de datos personales de clientes o empleados (obligatorio en un máximo de 72 horas según el RGPD).

Conclusión

El phishing es un problema de personas, no solo de tecnología. La combinación más efectiva es: medidas técnicas (SPF/DKIM/DMARC, filtrado avanzado, MFA) más formación continua de los empleados. Ninguna de las dos por separado es suficiente.

En una PYME, donde no suele haber un equipo de seguridad dedicado, la cultura de la desconfianza sana es la mejor defensa: antes de hacer clic, pensar. Antes de transferir, verificar. Antes de abrir, comprobar.

Este artículo es de carácter educativo y no constituye un servicio profesional de ciberseguridad. Consulte a un especialista certificado para soluciones específicas a su empresa.

Aviso importante: CiberPIME publica contenido educativo sobre ciberseguridad. No ofrecemos servicios profesionales de seguridad informatica ni asesoramiento personalizado. Para decisiones criticas de seguridad, consulte un profesional certificado.