Cómo crear un informe de phishing: herramientas y mejores prácticas

Un informe de phishing moderno ofrece una visión consolidada del riesgo de phishing en todo el ecosistema de correo electrónico y seguridad de una organización. En lugar de funcionar como un único documento exportado, un informe de phishing eficaz sintetiza los datos de DMARC y sistemas de autenticación de correo electrónico , las puertas de enlace de correo electrónico seguro, los mensajes notificados por los empleados, las plataformas SIEM y las herramientas de inteligencia sobre amenazas. 

Esta visibilidad centralizada permite comprender a quiénes atacan los piratas informáticos, qué técnicas de ataque tienen éxito y dónde es necesario mejorar los controles técnicos o humanos. Como resultado, los informes sobre phishing contribuyen a reducir las amenazas de forma proactiva, mejoran el cumplimiento normativo y dan lugar a mejoras cuantificables en la postura de seguridad de una organización.

¿Qué suele incluir un informe de phishing?

Un informe de phishing procesable va más allá del simple recuento de «correos electrónicos maliciosos». Para aportar un valor real a la visibilidad de la seguridad y al el cumplimiento normativo, debe agregar los siguientes puntos de datos:

Métricas de volumen: Total de correos electrónicos de phishing detectados y bloqueados durante un período específico (diario, semanal, mensual).

Fallos de autenticación: Datos sobre DMARC, SPF y DKIM , que indican suplantación de dominio o remitentes no autorizados.

Datos comunicados por los usuarios: El número de correos electrónicos sospechosos señalados por los empleados frente al número de «verdaderos positivos» (amenazas reales).

Estado de entrega: Comparación entre los correos electrónicos bloqueados en la puerta de enlace y los que llegaron a la bandeja de entrada del usuario.

Atribución de fuentes: Análisis de los dominios, direcciones IP y fuentes geográficas más frecuentes en los ataques.

Indicadores de riesgo: Tendencias en los tipos de ataques, como Compromiso del correo electrónico empresarial (BEC), la recopilación de credenciales o la distribución de malware.

Herramientas principales utilizadas para crear informes de phishing

Un informe completo sobre phishing es el resultado de un ecosistema colaborativo. Ninguna herramienta por sí sola ofrece una visión completa; más bien, los datos fluyen a través de diferentes capas de su infraestructura.

1. DMARC y plataformas de autenticación de correo electrónico

Estas plataformas actúan como su primera línea de defensa, supervisando quién envía correos electrónicos en nombre de su dominio. Son esenciales para impedir la suplantación de identidad de la marca.

• Cómo ayudan: Traducen informes XML complejos y sin procesar de los ISP a paneles de control legibles.
• Herramientas clave: PowerDMARC, Valimail, Mimecast DMARC Analyzer y EasyDMARC.
• Métricas clave: Volúmenes agregados de aprobados/suspendidos y detección de «Shadow IT» (servicios no autorizados que envían correo electrónico en nombre de su empresa).

PowerDMARC

Ideal para: Pymes, equipos empresariales centrados en la seguridad, organismos gubernamentales y MSP.

PowerDMARC va más allá de los informes básicos al ofrecer un conjunto completo de protocolos que muchas otras herramientas tratan como complementos o que carecen por completo. Está diseñado para aquellos que desean un «centro de mando» centralizado para todo lo relacionado con la autenticación del correo electrónico.

Características destacadas: 

• PowerSPF: Uno de los mayores quebraderos de cabeza en DMARC es el «límite de 10 búsquedas DNS» para los registros SPF. PowerDMARC utiliza una optimización avanzada de macros SPF para mantener su SPF dentro de los límites DNS permitidos sin añadir complejidad, independientemente del número de remitentes externos (como Mailchimp o Salesforce) que utilice.
• Análisis DKIM: Los análisis DKIM alojados en PowerDMARC incluyen una descripción general de la longitud de la clave DKIM y capacidades de supervisión granular para realizar un seguimiento de sus selectores, claves y rendimiento DKIM en tiempo real. 
• Fuentes de inteligencia avanzada sobre amenazas: ¡PowerDMARC integra la inteligencia de amenazas de IA en la autenticación como ningún otro! Con fuentes de inteligencia avanzada sobre amenazas que se pueden integrar perfectamente en su SIEM/SOAR. 

Valimail

Ideal para: Grandes empresas y organizaciones con estrictas normas de cumplimiento (como organismos gubernamentales o financieros) que desean una automatización sin intervención.

Valimail suele citarse como pionera del «DMARC automatizado». Su filosofía se centra en aplicación, no solo en la supervisión. Son el único proveedor de DMARC que cuenta con la certificado por FedRAMP, lo que los convierte en la mejor opción para entornos de alta seguridad.

• Característica destacada: Inteligencia de remitentes de precisión. En lugar de mostrarle una lista de direcciones IP confusas, Valimail identifica más de 5500 servicios de envío por su nombre. Esto hace que sea increíblemente fácil ver que el «Servicio X» es solo la nueva herramienta de su equipo de marketing, en lugar de un hacker misterioso.
• No se requiere acceso a DNS: A diferencia de la mayoría de las herramientas que requieren editar manualmente los registros DNS cada vez que se añade un remitente, Valimail utiliza un enfoque «alojado». Una vez que se les indica el registro, se pueden gestionar todos los remitentes autorizados dentro de su panel de control sin tener que volver a tocar el DNS.
• Respuesta ante el phishing: Su producto Enforce utiliza un modo «piloto automático» que le lleva a una política de rechazo (bloqueando todo el correo no autorizado) de la forma más segura y rápida posible.

Analizador DMARC (Mimecast)

Ideal para: Organizaciones que ya utilizan Mimecast para la seguridad del correo electrónico o aquellas que necesitan datos forenses detallados.

Mimecast adquirió DMARC Analyzer para ofrecer una visión completa de las amenazas por correo electrónico. Es una opción muy eficaz si desea que sus datos DMARC convivan con los datos de Secure Email Gateway (SEG).

• Característica destacada: análisis forense profundo. Mientras que muchas herramientas se centran en informes agregados de alto nivel, Mimecast destaca por sus informes forenses (RUF). Esto permite a los analistas de seguridad ver los encabezados específicos y, en algunos casos, el contenido real de los correos electrónicos que no superaron la autenticación, lo cual es vital para identificar la intención detrás de una campaña de phishing.
• Respuesta ante el phishing: Se integra directamente con Mimecast's Protección contra amenazas específicas. Si se identifica un dominio no autorizado a través de DMARC, se puede incluir inmediatamente en la lista negra en toda la puerta de enlace, protegiendo así a todos los usuarios al instante.
• Implementación: Ofrecen servicios de «implementación gestionada», lo que resulta útil para empresas que cuentan con una compleja red de servidores de correo electrónico heredados y temen bloquear accidentalmente correos legítimos.

EasyDMARC

Ideal para: Pymes y proveedores de servicios gestionados (MSP) que valoran una interfaz de usuario limpia y una configuración sencilla.

EasyDMARC es considerada por muchos como la plataforma más fácil de usar del mercado. Está diseñada para equipos que no cuentan con un «responsable de seguridad del correo electrónico» dedicado y necesitan una herramienta que les facilite el trabajo.

• Característica destacada: supervisión de la reputación. EasyDMARC no solo analiza DMARC, sino que supervisa continuamente su dominio y sus direcciones IP en relación con las listas negras globales. Si su dominio es marcado por comportamiento «spam» en cualquier otro lugar de la web, recibirá una alerta antes de que disminuya su capacidad de entrega.
• Respuesta al phishing: SPF y BIMI gestionados. Ofrecen una herramienta «Smart SPF» que le guía a través del proceso de limpieza de sus registros. Su interfaz de usuario está diseñada como una lista de verificación, que muestra exactamente los pasos que quedan por seguir para llegar a una política de «Rechazo», lo que la hace muy popular entre los equipos de TI más pequeños.
• Compatible conMSP: Cuenta con un panel de control multitenant y precios de «pago por uso», lo que resulta ideal para los proveedores de servicios que gestionan docenas de clientes diferentes desde una sola pantalla.

2. Pasarelas de correo electrónico seguras (SEG)

El SEG es el filtro principal que limpia el correo entrante en busca de amenazas conocidas antes de que lleguen al destinatario.

• Cómo ayudan: Proporcionan grandes volúmenes de datos sobre campañas bloqueadas y firmas de malware.
• Herramientas clave: Microsoft Defender para Office 365, Proofpoint, Mimecast y Google Workspace Security.
• Métricas clave: Usuarios más atacados (Very Attacked People o VAP) y categorización de amenazas (phishing frente a spam).

3. Herramientas de notificación para empleados (complementos para la bandeja de entrada)

Dado que algunos ataques sofisticados siempre eludirán los filtros técnicos, sus empleados actúan como «sensores humanos».

• Cómo ayudan: Los complementos de un solo clic permiten a los usuarios denunciar correos electrónicos al instante sin perder metadatos críticos (como los encabezados completos de los correos electrónicos) necesarios para el análisis forense.
• Herramientas clave: Microsoft Report Message, Proofpoint PhishAlarm y Cofense Reporter.
• Métricas clave: Tasa de informes de los usuarios y tasas de «falsos positivos» (con qué frecuencia los usuarios marcan correos legítimos).

4. Plataformas SIEM y SOC

Las herramientas de gestión de información y eventos de seguridad (SIEM) actúan como el «cerebro», agregando datos de las herramientas mencionadas anteriormente.

• Cómo ayudan: Correlacionan un correo electrónico de phishing denunciado con otras actividades sospechosas, como un inicio de sesión simultáneo desde una IP extranjera.
• Herramientas clave: Splunk, IBM QRadar y Microsoft Sentinel.
• Métricas clave: Tiempo medio de detección (MTTD) y tiempo medio de reparación (MTTR).

5. Herramientas de inteligencia y análisis de amenazas

Una vez que se marca un correo electrónico, estas herramientas ayudan a determinar exactamente cuán peligroso es.

• Cómo ayudan: Comprueban las URL y los archivos adjuntos con bases de datos globales de infraestructuras maliciosas conocidas.
• Herramientas clave: VirusTotal, AbuseIPDB y Recorded Future.
• Métricas clave: Puntuaciones de reputación de los indicadores de compromiso (IOC) y atribución de campañas.

Elegir las herramientas adecuadas para su organización

La complejidad del proceso de notificación de phishing debe ajustarse al tamaño y al perfil de riesgo de su organización.

El flujo de trabajo de notificación de phishing: cómo funciona

Para crear un informe interno sobre phishing, siga este flujo narrativo de datos:

1. Detección

Las herramientas DMARC registran los intentos de suplantación de su dominio, mientras que SEG bloquea miles de amenazas conocidas.

2. Capa humana

Un sofisticado correo electrónico BEC (Business Email Compromise) elude el SEG. Un empleado formado se da cuenta de la solicitud inusual y hace clic en su complemento «Informar».

3. Agregación

Este informe se envía automáticamente al SOC o al SIEM, donde se combina con los registros de la puerta de enlace para comprobar si otros empleados recibieron el mismo mensaje.

4. Enriquecimiento

El equipo de seguridad utiliza herramientas de inteligencia sobre amenazas para analizar los enlaces del correo electrónico y confirmar que conducen a un sitio web dedicado a la recopilación de credenciales.

5. Informe final

El responsable de seguridad genera un informe consolidado que muestra que el ataque fue detenido, qué cuentas fueron atacadas y con qué rapidez se neutralizó la amenaza.

El proceso interno de notificación de phishing (SOP)

Un procedimiento operativo estándar (SOP) garantiza que todas las amenazas se gestionen de forma coherente.

Paso 1: Presentación (admisión)

Fomentar el uso de complementos de denuncia con un solo clic. Aunque un buzón de correo dedicado «[email protected]» funciona, los complementos son superiores porque empaquetan automáticamente los encabezados de los correos electrónicos, la «huella digital» del remitente, que a menudo se pierde cuando se reenvía un correo electrónico.

Paso 2: Clasificación y priorización

No todos los informes son una crisis. Utilice herramientas automatizadas para filtrar el «ruido» (como boletines informativos o spam). Asigne una puntuación de gravedad basada en el objetivo (por ejemplo, un ejecutivo de alto nivel frente a un alias general) y la intención (por ejemplo, fraude por transferencia bancaria frente a un enlace genérico).

Paso 3: Análisis e investigación

El equipo de seguridad inspecciona los encabezados en busca de suplantación de identidad, somete a «sandbox» cualquier archivo adjunto para comprobar si ejecuta código malicioso y verifica la reputación de la dirección IP del remitente.

Paso 4: Remediación

Si se confirma una amenaza, el equipo debe:

• Realizar una «Búsqueda y purga» para eliminar el correo electrónico de las bandejas de entrada de todos los demás empleados.
• Restablecer las credenciales si un usuario ha hecho clic en un enlace.
• Actualiza la lista de bloqueados de SEG para evitar futuros intentos de ese remitente.

Paso 5: Bucle de retroalimentación

Cierre el ciclo notificando al empleado que denunció el correo electrónico. Un simple mensaje de «Gracias, se trataba de una amenaza real» refuerza una cultura de seguridad positiva y fomenta futuras denuncias.

Resumen

Al fin y al cabo, crear un proceso de denuncia de phishing no consiste solo en marcar una casilla o comprar un software sofisticado. Se trata de asegurarse de que su tecnología y su personal formen realmente un mismo equipo. Cuando se combinan filtros inteligentes con un equipo capaz de detectar un correo electrónico «sospechoso» en cuanto lo ve, se deja de ser un blanco fácil y se empieza a ser un muro infranqueable. La verdadera seguridad se basa en la visibilidad; si no puedes ver venir el ataque, no puedes detenerlo.

Si los informes sobre phishing parecen fragmentados o excesivamente técnicos, es hora de replantearse el enfoque. Centralizar los datos de autenticación de correo electrónico, los registros de la puerta de enlace y los informes de los empleados en un marco de informes coherente ayuda a los equipos de seguridad a responder con mayor rapidez y a los directivos a comprender claramente los riesgos.

Un buen informe de phishing no se basa en más datos, sino en los datos adecuados, presentados de forma que impulsen la acción. Para empezar a crear un informe de phishing para tu dominio, solicita una prueba gratuita de 15 días y obtenga una visibilidad total de la seguridad de su dominio.

Preguntas frecuentes

¿Por qué utilizar un complemento en lugar de simplemente reenviar los correos electrónicos al departamento de TI? 

El reenvío a menudo elimina los «encabezados de correo electrónico», el ADN digital necesario para rastrear al atacante. Los complementos empaquetan todos esos datos técnicos a la perfección con un solo clic.

¿Con qué frecuencia debemos generar un informe completo? 

Tu equipo de seguridad supervisa las alertas en tiempo real, pero suele ser mejor proporcionar un resumen general a la dirección una vez al mes.

¿Qué es una «buena» tasa de notificación de los empleados? 

Objetivo: entre el 8 % y el 15 %. No es conveniente que la gente informe de cada boletín, pero sí que los «sensores humanos» estén lo suficientemente activos como para detectar las amenazas reales.

¿Podemos automatizar las partes aburridas de la clasificación? 

Por supuesto. La mayoría de las herramientas modernas pueden escanear automáticamente enlaces y archivos en bases de datos globales para cerrar los tickets «seguros», de modo que tu equipo solo se centre en los que son realmente peligrosos.

¿Cómo consigo que mi equipo utilice realmente la herramienta de informes? 

¡Cierra el círculo! Cuando alguien informe de una amenaza, envíale rápidamente una nota diciendo «¡Buena captura!». Las personas están mucho más dispuestas a ayudar cuando saben que su esfuerzo realmente ha servido para algo.

• Acerca de
• Últimas publicaciones

Milena Baghdasaryan

Especialista en contenidos de PowerDMARC

Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.

Últimos mensajes de Milena Baghdasaryan (ver todos)

• Cómo configurar la autenticación de correo electrónico para un dominio recién registrado - 2 de junio de 2026
• ¿Qué es un enlace de phishing? - 19 de mayo de 2026
• ¿Qué son los ataques hacktivistas y cómo funcionan? - 12 de mayo de 2026