Saltar al contenido principal
Volver a guías
Correo

Buen uso del correo electrónico

El correo sigue siendo el principal vector de ataque (Verizon DBIR 2024). Cinco hábitos que filtran el 90 % de los problemas y un par de cosas que tu organización debería tener configuradas.

Para: Todo el equipo

Contenido

Antes de leer un correo, un segundo de contexto

  • ¿Esperabas este correo? Si no, baja un punto la guardia y otro la urgencia.
  • ¿El remitente coincide con el dominio? Mira el dominio completo, no el nombre que muestra el cliente.
  • ¿El tono es el habitual del remitente real? Un BEC suele tener un tono distinto.

Cinco hábitos

1. Mira el destino real del enlace antes de hacer clic

En escritorio: pasa el cursor por encima, mira la barra inferior. En móvil: pulsación larga.

Compara el dominio visible con el destino. portal-seguro-empleados.es-cliente.work no es tu portal de empleados.

2. No descargues adjuntos no esperados

Ni PDFs, ni Excels, ni ZIPs. Si el contexto no encaja, no abras. Si lo necesitas, escribe a la persona por otro canal y pídelo de nuevo.

Atención especial a:

  • Archivos con doble extensión (.pdf.exe, .doc.html).
  • ZIP con contraseña enviados por email (el típico patrón de Emotet).
  • Macros en Office ("habilitar contenido"). Office bloquea las macros descargadas de internet por defecto desde 2022; si te lo desbloquea pidiendo permiso, no lo concedas.

3. Verifica peticiones de dinero o datos por otro canal

Si tu jefe te pide una transferencia urgente por email, llama al teléfono que ya tienes registrado. No al que aparece en el correo.

Si un proveedor te pide cambiar el IBAN, lo mismo. Es el patrón clásico de BEC.

4. Cuidado con "Estimado/a usuario/a"

Un saludo impersonal en un correo que dice venir de un servicio donde estás registrado con tu nombre es una bandera roja. RRHH legítimo te llama por tu nombre.

5. Cuando dudes, reporta y borra (o márcalo y avisa)

  • Si tu cliente de correo tiene un botón Reportar phishing, úsalo.
  • Si no, reenvía con cabeceras a seguridad@empresa.tld (o el contacto que tengáis).
  • No borres el original hasta que el equipo lo haya analizado.

Lo que tu organización debe tener configurado

  • SPF, DKIM, DMARC en modo reject sobre el dominio corporativo: hace mucho más difícil que alguien suplante el dominio.
  • Etiqueta visible para correos externos ("[EXTERNO]" en el asunto). Te ayuda a detectar BEC.
  • Filtros antiphishing en Microsoft 365 / Google Workspace activos al máximo.
  • Cuarentena revisada: si vuestro filtro pone correos en cuarentena, alguien debe revisarla.

Una nota sobre el correo personal en el ordenador del trabajo

Evítalo si es posible. Mezclar contextos (Hotmail / Gmail personal con apertura de adjuntos) es un vector frecuente para colar malware en equipos corporativos. Si lo usas, no abras adjuntos ahí dentro.