Saltar al contenido principal
Volver a la biblioteca
Riesgo altoIngeniería social· Nivel basico

Phishing por correo electrónico

Suplantación de identidad por email para robar credenciales, datos o ejecutar fraude. Sigue siendo el vector inicial nº1 en brechas de datos (Verizon DBIR 2024).

Qué es

Qué es

Un correo que aparenta venir de una entidad de confianza (banco, proveedor, plataforma SaaS) con el objetivo de que hagas clic en un enlace, descargues un adjunto o respondas con información sensible.

Por qué funciona

Los atacantes explotan tres palancas: autoridad (un email del "banco" o de "IT"), urgencia (24h o pierdes acceso) y familiaridad (un logo y un tono creíbles). No es un fallo técnico, es un fallo de atención.

Señales típicas

  • Dominio engañoso: microsft-account.com en lugar de microsoft.com (typosquatting), o subdominios largos que ocultan el dominio real (secure-login.malicio.so).
  • Saludo impersonal: "Estimado usuario/cliente" cuando deberían tener tu nombre.
  • Urgencia artificial: plazos cortos con amenazas ("24h o suspendemos tu cuenta").
  • Errores sutiles: ortografía, formato roto, firma genérica.
  • Enlaces que no coinciden: pasa el cursor sobre el enlace y compara texto visible con destino real.
  • Adjuntos inesperados: facturas que no esperabas, ZIPs, ejecutables disfrazados (.pdf.exe).

Variantes

  • Spear phishing: dirigido a una persona concreta usando datos públicos (LinkedIn, web corporativa).
  • Whaling: spear phishing a directivos (suelen ser quienes pueden autorizar transferencias).
  • BEC (Business Email Compromise): suplantación del CEO/CFO pidiendo transferencias urgentes.
  • Smishing: mismo patrón por SMS.
  • Vishing: por llamada telefónica.

Impacto típico

Robo de credenciales corporativas, instalación de malware o ransomware, fraude por transferencia bancaria. Una credencial M365 robada da acceso a correo, OneDrive, Teams y SharePoint, y permite al atacante moverse lateralmente.

Prevención

Hábitos diarios

  1. Antes de hacer clic, mira el destino real del enlace (cursor encima, o pulsación larga en móvil).
  2. Verifica el dominio, no la apariencia. bbva-corporativo.com.es-secure.io no es BBVA.
  3. Si dudas, no respondas: verifica por otro canal. Llama a la persona directamente o entra a la web oficial escribiendo la URL a mano.
  4. Nunca descargues adjuntos no esperados, sobre todo ZIP o archivos con doble extensión.
  5. Activa MFA (2FA) en todas las cuentas críticas: aunque te roben la contraseña, el atacante no entrará sin el segundo factor.

A nivel organización

  • DMARC/DKIM/SPF correctamente configurados en el dominio corporativo.
  • Filtros antiphishing en el servidor de correo (Microsoft Defender, Google Workspace).
  • Etiqueta visible para correos externos ("[EXTERNO]" en el asunto).
  • Botón de "Reportar phishing" en el cliente de correo.
  • Simulaciones periódicas (este simulador es un ejemplo) — los equipos que practican mensualmente reducen su tasa de clic hasta un 70 % en 12 meses (KnowBe4, 2024).
Si ocurre

Si has hecho clic o introducido credenciales

  1. Cambia inmediatamente la contraseña de la cuenta afectada y de cualquier otra donde uses la misma.
  2. Cierra todas las sesiones activas desde la configuración de la cuenta.
  3. Avisa a tu equipo de seguridad / IT sin esperar a ver qué pasa. La rapidez determina el impacto.
  4. Revisa los movimientos de la cuenta (correos enviados, reglas de reenvío automático, accesos nuevos).
  5. Si era una cuenta bancaria o introdujiste tarjeta: avisa al banco y bloquea la tarjeta.

No borres el correo original — el equipo de seguridad lo necesita para analizar la campaña.

Práctica recomendada

Pon a prueba lo que has leído en estos escenarios del simulador: