¿Qué es un correo electrónico de phishing? Mantente alerta e identifica los correos electrónicos de phishing

Un correo electrónico de phishing es como un impostor camuflado en tu bandeja de entrada. Se hace pasar por una fuente fiable con el objetivo de engañarte y manipularte para que reveles información confidencial o realices acciones perjudiciales. El phishing por correo electrónico ha evolucionado a lo largo de los años, pasando de ser simples bromas —como las que sufrieron los primeros usuarios de AOL a mediados de los años 90 con generadores aleatorios de números de tarjetas de crédito— a convertirse en actividades sofisticadas y muy lucrativas para hackers de todo el mundo que utilizan tácticas avanzadas de suplantación de identidad. Se trata de un estafador digital que se aprovecha de las vulnerabilidades y la credulidad humanas.

Pueden tener consecuencias devastadoras, como el robo de identidad, pérdidas financieras o el acceso no autorizado a tus cuentas. Según el Informe de Verizon sobre Investigación de Fallas de Datos 2019, aproximadamente el 32% de las fallas de datos experimentadas ese año involucraron phishing por correo electrónico e ingeniería social. Mantente cauteloso y escéptico, ya que el único propósito del correo electrónico de phishing es engañarte y explotarte.

¿Qué es un correo electrónico de phishing?

Un correo electrónico de phishing es un mensaje fraudulento diseñado para engañar a los destinatarios y que estos revelen información confidencial, hagan clic en enlaces maliciosos, descarguen malware o aprueben acciones no autorizadas.

Estos correos electrónicos suelen suplantar la identidad de fuentes de confianza, como bancos, compañeros de trabajo, equipos de TI, empresas de mensajería o directivos. Los atacantes utilizan marcas conocidas, un lenguaje que transmite urgencia y un formato realista para que el mensaje parezca legítimo.

Los correos electrónicos de phishing actuales son cada vez más difíciles de detectar, ya que están personalizados, tienen en cuenta el contexto y están diseñados para imitar la comunicación empresarial real.

¡Simplifique la seguridad contra el phishing con PowerDMARC!

¿Cómo funcionan los correos electrónicos de phishing?

Las tácticas de los correos electrónicos de phishing no son ningún secreto. Están bien documentadas, se han estudiado a fondo y se imparte formación constante para combatirlas, pero siguen funcionando porque no se aprovechan de fallos en el software. Se aprovechan de la forma en que las personas procesan la información cuando están bajo presión.

1. El atacante se hace pasar por un remitente de confianza

Todos los correos electrónicos de phishing comienzan con una suplantación de identidad. El nombre del remitente parece correcto y el dominio pasa la prueba a simple vista (la mayoría de la gente nunca comprueba la dirección completa, y mucho menos revisa los encabezados; los atacantes basan campañas enteras en esa suposición). El formato, el tono y el logotipo están diseñados para resultar lo suficientemente familiares como para que no te detengas a cuestionarlos.

2. El mensaje transmite un sentido de urgencia

Los correos electrónicos de phishing crean una sensación de urgencia, utilizando el miedo como táctica. Puede tratarse de un pago fallido o de la suspensión del acceso a una cuenta importante. La presión está diseñada para que te saltes los pasos de verificación y actúes de inmediato. 

A veces funciona incluso con profesionales de la seguridad con formación, con personas que han asistido a cursos de sensibilización sobre el phishing. La respuesta de ansiedad es más rápida que la de escepticismo, y los atacantes saben exactamente cómo provocarla.

3. La ingeniería social es la que hace el trabajo pesado

El phishing elude por completo la infraestructura técnica al centrarse en algo que no se puede solucionar con parches: la forma en que las personas reaccionan ante la presión, la autoridad y la sensación de que se les acaba el tiempo.

Los atacantes utilizan tu nombre, el de tu empresa y, a veces, el nombre de tu jefe, obtenido de LinkedIn. Se hacen pasar por tu director general o por un proveedor con el que realmente trabajas. Te dan un plazo para actuar en la próxima hora o perderás el acceso; si no confirmas ahora, el pago fracasará. El FOMO es artificial, pero la ansiedad que provoca es real.

4. Los enlaces o archivos adjuntos engañosos son los que causan el daño

Los archivos adjuntos y las URL están diseñados para parecer idénticos a los auténticos. Si haces clic en ellos, te redirigen a una página de inicio de sesión falsa que imita el sitio legítimo con tal precisión que puede engañar a alguien que no preste mucha atención. Al introducir tus credenciales, estas son capturadas de inmediato, en tiempo real, antes de que te des cuenta de que algo ha salido mal.

5. Se recopilan datos confidenciales

A menudo buscan tus nombres de usuario, contraseñas, datos de tarjetas de crédito, números de la Seguridad Social o cualquier dato con valor de reventa o utilidad de acceso directo. Parte de esta información se utiliza de inmediato para apropiarse de cuentas o cometer fraudes financieros, mientras que el resto se vende. En cualquier caso, un solo correo electrónico de phishing que tenga éxito puede alimentar ataques que se prolonguen durante meses.

6. Esos datos robados se ponen a trabajar

Una vez que los atacantes tienen tus credenciales, pasan a la acción. El acceso a la cuenta se produce en cuestión de horas, o a veces de minutos. Fraude financiero, reventa masiva de credenciales en mercados de la dark web y campañas posteriores de spear-phishing utilizando los datos personales que acaban de obtener de tu bandeja de entrada. 

El spear-phishing de seguimiento es, básicamente, un ataque de seguimiento en el que los atacantes utilizan los datos de un correo electrónico de phishing que ha tenido éxito y los reutilizan en el siguiente ataque, aún más específico. 

Señales de alerta de los correos electrónicos de phishing y cómo identificarlas

Los correos electrónicos de phishing se han perfeccionado tanto que llegan a engañar incluso a quienes saben perfectamente en qué fijarse. Lo que puedes hacer es tomarte tu tiempo y comprobar la autenticidad de un correo electrónico antes de abrirlo o de hacer clic en los enlaces.

1. Lo primero que hay que mirar es la dirección del remitente. 
2. Comprueba el dominio real. 
3. Fíjate en el asunto y el cuerpo del mensaje para detectar expresiones que no cuajen del todo, como errores gramaticales, construcciones poco naturales o frases que casi suenan bien, pero que no terminan de cuajar. 
4. Presta atención a los correos electrónicos que transmiten una sensación de urgencia tal que te empujan a actuar antes de que se te ocurra comprobar la información, como harías normalmente.

Lista de verificación de señales de alerta críticas

Algunas de ellas son obvias, mientras que otras vale la pena conocerlas

• Incoherencias en el diseño: versión del logotipo que no coincide, tipografías ligeramente desajustadas, colores que no se corresponden con los que utiliza la marca real 
• Solicitudes de pago inesperadas: facturas urgentes o notificaciones de cobro, sobre todo con nuevos datos bancarios
• Suplantación de identidad de directivos: solicitudes de transferencias bancarias o de datos confidenciales que parecen proceder de altos cargos 
• Códigos QR: Los códigos QR inesperados eluden la mayoría de los filtros de seguridad del correo electrónico porque la URL de destino no es visible para los escáneres automáticos. Tu teléfono sigue el enlace sin someterse a la misma inspección que aplica un navegador 
• Deepfake/fraude por vídeo: Las solicitudes con voz o vídeo sintéticos se utilizan con frecuencia; en un ataque de 2020 se utilizó una llamada de voz clonada para autorizar una transferencia de 35 millones de dólares 
• Ataque MFA por bombardeo de solicitudes: Envío repetido de solicitudes de autenticación con la esperanza de que apruebes una para que dejen de enviarlas. 
• Alertas de actividad: Notificaciones de inicio de sesión sospechosas que te piden que hagas clic para «proteger tu cuenta»  

• Saludos genéricos

Ejemplos: «Estimado cliente». «Estimado usuario». Cualquier empresa que tenga tu cuenta sabe cómo te llamas. Los saludos genéricos indican que este correo electrónico no se ha escrito pensando en ti, sino que se ha redactado para una lista genérica. 

• Solicitudes de información personal

Los bancos nunca te piden la contraseña por correo electrónico. Los departamentos de informática tampoco te piden que «confirmes tus credenciales» a través de un enlace. Si una solicitud suele tramitarse mediante un proceso seguro y alguien te pide que te saltes ese proceso por correo electrónico, ahí está la clave. 

• Dirección de correo electrónico del remitente inusual

Cualquiera puede poner el nombre que quiera en el campo «Nombre para mostrar». Lo que realmente importa es el dominio; compáralo con lo que cabría esperar de las comunicaciones oficiales de esa organización. Un solo carácter cambiado de sitio, un guión, un dominio de nivel superior diferente. Es fácil pasarlo por alto cuando se lee deprisa, que es precisamente cuando suelen llegar estos correos electrónicos. 

• Archivos adjuntos o descargas inesperadas

Sobre todo de personas que conoces. Un archivo adjunto malicioso enviado desde una cuenta comprometida es más peligroso que uno de un desconocido, porque es menos probable que lo pongas en duda. Si no esperabas recibir un archivo, comprueba su origen antes de abrirlo. Las alertas en tiempo real de PowerDMARC avisan cuando remitentes no autorizados intentan utilizar tu dominio, detectando los intentos de suplantación de identidad antes de que lleguen a las bandejas de entrada. 

Tipos de ataques de phishing (con ejemplos de correos electrónicos)

Spoofing, spear phishing, whaling, pharming y BEC son algunos tipos comunes de correos electrónicos de phishing. Aunque su perfil de víctima o modus operandi puede diferir ligeramente, es probable que causen daños a organizaciones y particulares.

Tabla comparativa: Tipos de ataques de phishing

1. Suplantación del correo electrónico

En septiembre de 2019, Toyota perdió 37 millones de dólares porque un atacante falsificó una dirección de correo electrónico. Bastó con un empleado y un correo electrónico convincente. El remitente parecía de fiar, la solicitud parecía plausible y nadie llamó para verificarla antes de que se realizara la transferencia.

En la suplantación de identidad por correo electrónico, se falsifica la dirección del remitente para que parezca que procede de un banco, un organismo público o, en ocasiones, un directivo de la propia empresa, es decir, de quienquiera que sea el destinatario más propenso a actuar sin plantearse preguntas. El correo electrónico no tiene por qué ser perfecto; solo tiene que resultar lo suficientemente convincente como para que una persona ocupada, un martes por la tarde, no se pare a comprobar el dominio completo del remitente.

La aplicación de DMARC lo impide a nivel de protocolo. Cuando un dominio tiene DMARC con p=reject, los correos electrónicos no autenticados que afirman proceder de ese dominio son rechazados antes de llegar a la bandeja de entrada. PowerDMARC se encarga de esa aplicación y te ofrece visibilidad de todo lo que se envía en nombre de tu dominio.

2. Spear Phishing

El phishing convencional tiene un gran alcance. El spear phishing es lo contrario: tiene un único objetivo, investigado de antemano, y un correo electrónico diseñado específicamente para él.

Los atacantes recogen tu nombre, tu cargo, el nombre de tu jefe y algún proyecto con el que se te asocie públicamente a través de LinkedIn, la página web de tu empresa o comunicados de prensa, es decir, cualquier información que puedan encontrar. A continuación, elaboran un mensaje que incluye suficientes referencias reales como para que parezca que proviene de tu propio entorno. No es un «Estimado cliente», sino tu nombre real, el nombre de tu empresa y, a veces, el nombre de un compañero en el que confiarías sin dudarlo.

Esa personalización es lo que hace que sea difícil formar a los usuarios para que se defiendan de los correos electrónicos de spear phishing. La formación genérica en materia de concienciación enseña a las personas a detectar ataques genéricos. El spear phishing no parece genérico, sino que se presenta como un correo electrónico normal enviado por alguien que te conoce, razón por la cual supera sistemáticamente a las campañas generales de phishing en cuanto a tasas de clics.

3. Ataques balleneros

Nikkei Inc. perdió 29 millones de dólares cuando un empleado de su oficina estadounidense transfirió fondos siguiendo las instrucciones de alguien que se hacía pasar por un directivo. No hubo malware ni se vio comprometido el sistema. Solo un correo electrónico que parecía provenir de la persona adecuada, en el que se solicitaba algo que parecía estar dentro de los parámetros operativos normales.

El «whaling» es un tipo de spear phishing dirigido a ejecutivos o a empleados con autoridad financiera o acceso a datos confidenciales. La selección de objetivos es deliberada. Los atacantes dedican más tiempo a estos casos porque la recompensa lo justifica. Un correo electrónico bien elaborado que se haga pasar por un director financiero, un miembro del consejo de administración o un contacto de confianza de un proveedor puede autorizar transacciones que, de otro modo, requerirían múltiples niveles de aprobación.

El «Vendor Email Compromise» (VEC) sigue el mismo patrón, pero desde un enfoque diferente: los atacantes se hacen pasar por empleados de una empresa proveedora y aprovechan esa relación comercial ya existente para que las solicitudes de pago fraudulentas parezcan algo habitual. 

4. Pharming

Pharming es el tipo de ataque en el que, aunque hagas todo bien, acabas en una página falsa.

Los atacantes aprovechan vulnerabilidades del DNS o modifican la configuración del DNS mediante software malicioso, de modo que incluso una URL escrita correctamente redirige a un destino falsificado. La barra de direcciones del navegador puede parecer normal. No hay ningún enlace sospechoso sobre el que pasar el cursor, ni ningún indicio evidente en el correo electrónico, ya que en algunos casos ni siquiera hay correo electrónico. Simplemente accedes a un sitio web que has visitado decenas de veces y acabas en un lugar al que no pretendías ir.

El pharming es más difícil de detectar que un enlace falsificado, y aún más difícil de combatir mediante la formación

5. Compromiso del correo electrónico empresarial (BEC)

Una localidad de Colorado perdió más de un millón de dólares después de que un atacante enviara una solicitud fraudulenta de actualización de datos de pago para una empresa constructora local. Un empleado actualizó los datos de pago y los fondos fueron desviados. Para cuando alguien se dio cuenta, el dinero ya había desaparecido.

El BEC consiste en una cuenta de correo electrónico legítima que ha sido comprometida o en una suplantación de identidad lo suficientemente convincente como para autorizar transacciones, desviar pagos u obtener datos confidenciales. El Informe sobre Delitos en Internet de 2019 del FBI situó las pérdidas por BEC en más de 1.700 millones de dólares ese año, lo que supuso más de la mitad de todas las pérdidas por delitos cibernéticos denunciadas, y las cifras no han hecho más que aumentar desde entonces.

Lo que hace que el BEC sea eficaz es que la solicitud llega a través de un canal en el que la gente ya confía, como una dirección de correo electrónico conocida, una relación comercial ya existente o un nombre que reconocen. La aprobación se produce antes de que a nadie se le ocurra verificar la información a través de un canal independiente.

La aplicación de DMARC elimina el vector de suplantación directa: un atacante no puede enviar correos electrónicos que superen la autenticación como si procedieran de tu dominio sin tener acceso a tus claves de firma. La detecta los fallos de autenticación y los patrones de envío inusuales antes de que se conviertan en incidentes.

A diferencia de las soluciones tradicionales, PowerDMARC está diseñado específicamente tanto para empresas como para proveedores de servicios gestionados (MSP), y ofrece: informes avanzados, gestión automatizada de SPF y paneles de control multitenant. Descubre por qué nuestros clientes nos sitúan en el primer puesto en G2.

Descubre cómo ayudamos a Digital Infinity IT Group a detener los ataques de phishing

Lista exhaustiva de tipos de ataques de phishing

Aunque el correo electrónico suele ser el que más atención acapara, no es el único canal de ataque. 

Phishing basado en la comunicación

• Vishing (phishing por voz): El vishing es una técnica que se lleva a cabo por teléfono: un atacante llama, se hace pasar por un banco, un servicio de asistencia informática o un organismo público, y te guía paso a paso para que le facilites tus credenciales verbalmente. No hay ningún enlace sobre el que pasar el cursor ni ninguna dirección de remitente que comprobar. Solo una voz y una historia verosímil.
• Smishing (phishing por SMS): El smishing es la versión por SMS del vishing, y consiste en un mensaje breve, con un tono de urgencia y un enlace malicioso. Funciona especialmente bien con los usuarios de móviles, ya que la gente suele hacer clic en los enlaces de los mensajes de texto más rápidamente y sin tanto cuidado que en el correo electrónico, y la mayoría de los teléfonos no muestran la URL completa antes de pulsar sobre ella.
• Phishing por clonación: El phishing por clonación es el que engaña a quienes creen que están siendo prudentes. Un atacante toma un correo electrónico auténtico que ya has recibido, lo reproduce exactamente, sustituye los enlaces o archivos adjuntos por versiones maliciosas y lo reenvía como un mensaje de seguimiento. 

Phishing a través de Internet

• Phishing HTTPS: sitios web falsos con certificados SSL válidos. El candado indica que la conexión está cifrada. No dice nada sobre si el sitio web al que se conecta es legítimo. 
• Phishing mediante ventanas emergentes: ventanas emergentes del navegador que se hacen pasar por avisos de seguridad o alertas del sistema y te piden que inicies sesión o descargues algo
• «Gemelo malicioso»: una red wifi falsa con el mismo nombre que la legítima, instalada en una cafetería, un aeropuerto o el vestíbulo de un hotel. Te conectas sin comprobarlo. Tu tráfico acaba en un lugar donde no debería.
• Ataques de tipo «watering hole»: en lugar de dirigirse directamente a las víctimas, los atacantes comprometen sitios web que los empleados de la organización objetivo visitan habitualmente. La infección proviene de un sitio en el que ya confías. No hace falta ningún correo electrónico sospechoso, y eso es precisamente lo que hace que sea más difícil de detectar.

Técnicas avanzadas de phishing

• Suplantación de dominios: los atacantes registran dominios que parecen casi idénticos a los legítimos, cambiando rn por m, 1 por l, añadiendo un guion, cambiando el TLD. Por ejemplo, paypa1.com. arnazon.com. Visualmente lo suficientemente parecido como para pasar desapercibido a simple vista, especialmente en un navegador móvil donde la URL completa apenas cabe en la pantalla. 
• Phishing mediante imágenes: contenido malicioso incrustado en imágenes en lugar de en texto, de modo que los filtros automáticos que buscan palabras clave o enlaces sospechosos no detectan nada. 
• Phishing en motores de búsqueda: sitios web falsos creados para posicionarse en los resultados de búsqueda de términos que la gente utiliza cuando necesita ayuda rápidamente. «Página de inicio de sesión del banco», «portal de pagos de Hacienda», «descarga de software». La gente confía en los resultados de búsqueda de una forma en la que se le ha enseñado a no confiar en los correos electrónicos. 
• «Hombre en el medio»: el atacante se sitúa entre tú y un sitio web legítimo, interceptando la sesión en tiempo real. Crees que estás en la página auténtica —y, técnicamente, así es—, pero todo lo que introduces llega primero a otra persona. 

Plantillas habituales de correos electrónicos de phishing

Estas plantillas siguen circulando porque siguen funcionando. Seguro que la mayoría de la gente ha visto alguna versión de todas ellas. 

Ejemplos prácticos ampliados: Los siguientes ejemplos incluyen plantillas habituales de phishing y señalan señales de alerta específicas a las que hay que prestar atención en cada caso.

1. «Tu cuenta ha sido marcada»

El asunto del correo indica que hay algún problema, como un intento de acceso no autorizado o un inicio de sesión sospechoso desde un dispositivo desconocido. «Tu cuenta quedará suspendida en 24 horas a menos que la verifiques de inmediato».

Haces clic antes de haber terminado de leer. Para cuando llegas a la página de inicio de sesión, ya no hay vuelta atrás. El enlace te lleva a una página que parece totalmente legítima. Introduces tus datos de acceso y el atacante consigue acceder a tu cuenta. 

Presta atención a lo siguiente: que no haya datos específicos de la cuenta en el cuerpo del mensaje (las alertas auténticas suelen incluir tu nombre de usuario o los cuatro últimos dígitos de algún dato), que el dominio del remitente sea similar pero no coincida exactamente, y que la página de inicio de sesión te pida más datos de los que normalmente introducirías.

Plantillas adicionales de phishing habituales

Algunas plantillas que se repiten constantemente en todos los sectores: 

• Estafas con facturas falsas: una factura de un proveedor que te suena un poco, o que podría parecer legítima, en la que se solicita el pago a unos nuevos datos bancarios. Los equipos de contabilidad reciben este tipo de facturas con frecuencia. El importe suele estar dentro de un rango que no requiere una aprobación adicional. 
• Estafas relacionadas con la actualización de cuentas: una oferta para actualizar un servicio que utilizas, en la que se solicitan datos de pago para completarla. A veces se hace pasar por una herramienta a la que tu empresa está suscrita. 
• Estafas relacionadas con los recursos humanos: correos electrónicos falsos sobre nóminas o prestaciones en los que se te pide que actualices tus datos bancarios o que confirmes tus datos personales. Estos mensajes suelen enviarse coincidiendo con los periodos de incorporación o los plazos de inscripción anual, cuando es habitual recibir solicitudes similares y la gente tiende a no cuestionarlas. 
• Estafas relacionadas con el almacenamiento en la nube: «Alguien ha compartido un documento contigo». El enlace lleva a una página de inicio de sesión falsificada de Google Drive, OneDrive o Dropbox. Introduces tus credenciales para ver el archivo, pero este nunca ha existido. 

2. «Has ganado la lotería»

Estos correos electrónicos llegan a los buzones de correo electrónico anunciando un premio, a veces una cantidad de dinero en efectivo, una tarjeta regalo o «ganancias» poco claras, y solicitan datos personales para tramitar la reclamación. Nombre, dirección, fecha de nacimiento y, en ocasiones, datos bancarios para ingresar los fondos. El dominio del remitente no corresponde a ninguna organización real y la gramática suele ser incorrecta. A menudo se incluye un número de contacto en el extranjero o una dirección de correo electrónico genérica para el seguimiento.

Es una de las plantillas de phishing más antiguas que existen, pero sigue funcionando; no con la mayoría de la gente, pero sí con suficientes personas como para que no haya dejado de utilizarse. La estrategia se basa en el volumen: basta con enviarla a suficientes direcciones para que alguien responda.

Ten cuidado con: premios a los que nunca te has presentado, solicitud de datos personales por adelantado antes de que se «entreguen», presión para reclamarlos antes de una fecha límite, datos de contacto que no coinciden con ninguna organización verificable.

3. «Se requiere un parche de seguridad crítico»

El correo electrónico parece proceder de un proveedor de software que realmente utilizas, con un asunto que hace referencia a un número CVE o a una vaga «vulnerabilidad crítica». Incluye un enlace de descarga y una fecha límite, junto con un mensaje que dice: «Aplica el parche ahora antes de que tu sistema quede expuesto». 

La gente está acostumbrada a actualizar el software rápidamente. Y eso es precisamente lo que aprovecha este ataque. El enlace no lleva a un parche, sino a un archivo que instala malware y, dependiendo de su contenido, el atacante obtiene distintos niveles de acceso al equipo en el que se ejecute.

Presta atención a lo siguiente: no se menciona ninguna versión concreta del producto, la descarga se aloja en un sitio distinto al dominio real del proveedor y se utiliza un tono de urgencia que disuade de leer con atención antes de hacer clic.

4. "Solicitud urgente de transferencia bancaria"

Los correos electrónicos breves suelen parecer que provienen de un alto directivo, como un director financiero o un director general, o a veces de un superior directo, con un mensaje del tipo: «Se necesita una transferencia bancaria urgente. Ahora mismo no puedo seguir los canales habituales. Ocúpate de ello y lo comentaremos más tarde». 

La autoridad y la urgencia son artificiales. Ambas están pensadas para que actúes antes de verificar la información por otra vía, que es el único paso que permitiría detectar el engaño en todos los casos.

Presta atención a: dominios de remitente que sean similares pero no idénticos, solicitudes para eludir el proceso de aprobación habitual y cualquier instrucción financiera que vaya acompañada de una justificación por la que no debas confirmarla primero.

5. "Información confidencial de adquisición"

Correos electrónicos con mensajes del tipo: «Ha sido seleccionado para recibir información confidencial sobre una próxima adquisición. Haga clic aquí para acceder al documento».

Este ataque se centra en la curiosidad y en la sensación de formar parte de algo importante, como los detalles de una fusión, la inteligencia competitiva o información privilegiada. Los destinatarios suelen ser equipos financieros, asistentes ejecutivos y cualquier persona cuyo trabajo implique manejar información empresarial confidencial y que considere plausible ese correo electrónico.

El documento no existe. El enlace instala malware. Para cuando te des cuenta de que algo va mal, ya se está ejecutando.

Presta atención a lo siguiente: no hay ninguna relación previa ni contexto que explique por qué has recibido esto; es necesario descargar algo para poder ver el contenido; el remitente no se puede verificar a través de ningún otro canal.

Cómo se dirigen los ataques de phishing a las empresas

Para los particulares, un ataque de phishing exitoso supone el robo de credenciales o el fraude de identidad. Para las empresas, los daños se extienden en varias direcciones a la vez, y el coste total de un ataque de phishing contra una organización casi siempre supera la pérdida económica inicial.

Repercusiones económicas del phishing en las empresas

• Pérdidas económicas directas: el suplantación de identidad en el correo electrónico empresarial (BEC) da lugar a fraudes en transferencias bancarias, desviación de pagos y transacciones no autorizadas; entre los vectores más comunes se encuentran las facturas falsas, las estafas de suplantación del director general y la redirección de pagos a proveedores.
• Sanciones normativas: Una filtración de datos relacionada con el phishing puede acarrear multas en virtud del RGPD de hasta el 4 % de la facturación anual. El incumplimiento de la HIPAA y la norma PCI DSS conlleva, además, sanciones específicas.
• Costes de recuperación: La respuesta ante incidentes, la investigación forense y la reparación de los sistemas suponen un gasto que se acumula rápidamente. Las organizaciones que han sufrido un incidente de phishing describen los costes de recuperación como la cifra que más les ha sorprendido.

Interrupciones operativas provocadas por el phishing

• Interrupción de la actividad: Tiempo de inactividad del sistema mientras el departamento de TI contiene la brecha de seguridad. Pérdida de productividad en los equipos que no pueden acceder a la infraestructura afectada. Interrupciones del servicio que los clientes perciben antes de que la empresa haya completado su respuesta interna.
• Fugas de datos: información de clientes expuesta, propiedad intelectual o ambas, cada una con sus propias obligaciones de notificación de la fuga y sus correspondientes riesgos legales.
• Daño a la reputación: más difícil de cuantificar, pero también más difícil de superar. La confianza de los clientes tras una filtración relacionada con el phishing no se recupera en el mismo plazo que los sistemas.

Cómo protege PowerDMARC a las empresas contra el phishing por correo electrónico

La suplantación de dominios de correo electrónico es el punto de entrada de la mayoría de los ataques de BEC. La mayoría de las organizaciones o bien no han implementado DMARC o bien se han quedado estancadas en p=none (modo de solo supervisión), lo que ofrece visibilidad pero no bloquea nada. PowerDMARC lleva a las organizaciones a la aplicación de DMARC en p=reject, donde los correos electrónicos suplantados se bloquean antes de su entrega, sin interrumpir los flujos de correo electrónico legítimos. Así es como funciona:

• Implementación guiada de la aplicación de DMARC: una ruta de migración estructurada de p=none a p=quarantine y a p=reject, mediante una escalada de políticas basada en porcentajes para que la aplicación se endurezca gradualmente. Publicación de DNS publicación de DNS y registros DMARC alojados permiten a los equipos actualizar las políticas directamente desde el panel de control sin necesidad de realizar modificaciones manuales en el DNS.
• Inteligencia sobre amenazas basada en IA: el motor de IA procesa millones de puntos de datos de los informes DMARC agregados (RUA) y forenses (RUF) para clasificar automáticamente las direcciones IP de envío desconocidas, distinguiendo un CRM o una plataforma de marketing mal configurados de un intento malicioso de suplantación de identidad. El tiempo de detección se reduce de días de análisis manual de XML a minutos.
• Cobertura completa de protocolos de autenticación de correo electrónico: más allá de DMARC, SPF y DKIM, PowerDMARC gestiona MTA-STS (que aplica el cifrado TLS al correo entrante para evitar su interceptación), TLS-RPT (informes de seguridad de la capa de transporte) y BIMI (que muestra el logotipo verificado de su marca en las bandejas de entrada de los destinatarios). Los seis protocolos desde un único panel de control.
• PowerSPF para entornos de envío complejos: las organizaciones que utilizan varios servicios de envío de correo electrónico suelen alcanzar el límite de 10 consultas DNS de SPF, lo que provoca que los correos electrónicos legítimos no superen la autenticación. La función de aplanamiento de SPF alojada de PowerDMARC resuelve este problema sin necesidad de un mantenimiento manual continuo.
• Informes que sirven para todos los equipos: datos XML sin procesar convertidos en paneles visuales con mapas geográficos, identificación de la fuente (indicando el servicio asociado a cada dirección IP) y análisis de tendencias. Exportación a PDF con un solo clic para auditorías de cumplimiento y presentación de informes a la dirección.

Para MSP y MSSP: la plataforma multitenant de PowerDMARC te permite gestionar y proteger de forma centralizada todos los dominios de tus clientes desde un único panel de control, con compatibilidad total con la marca blanca y certificaciones de cumplimiento de SOC 2 Tipo 2, ISO 27001 y el RGPD. Cuenta con la confianza de más de 2.000 organizaciones y organismos gubernamentales en más de 100 países.

En general, automatiza la parte más difícil: llegar a la fase de rechazo de forma segura, de modo que la protección esté activa antes de que la próxima factura falsificada o el próximo intento de suplantación de identidad del director general llegue a la bandeja de entrada.

Vea cómo funciona PowerDMARC

Reserva una demostración personalizada para ver cómo PowerDMARC lleva tus dominios a una aplicación completa de DMARC sin afectar al correo electrónico legítimo.

Reserva una demostración gratuita

Nuevas técnicas de phishing que utilizan la inteligencia artificial y la tecnología

Durante años, los correos electrónicos mal redactados, las expresiones torpes, los errores evidentes y las frases que casi tenían sentido eran una señal inequívoca. A continuación te explicamos cómo los atacantes están utilizando las nuevas tecnologías para diseñar correos electrónicos de phishing cada vez más sofisticados: 

Phishing impulsado por IA

• Correos electrónicos generados por IA: Los correos electrónicos de phishing generados por IA ya no presentan esos indicios, ya que son gramaticalmente correctos, contextualmente verosímiles y pueden personalizarse a gran escala utilizando datos de dominio público. 
• Audio y vídeo deepfake: El audio deepfake está más avanzado de lo que la mayoría de la gente cree, y no requiere el uso del correo electrónico. Basta con una voz que suene convincente y una solicitud que parezca ajustarse a los parámetros normales de funcionamiento. El vídeo sintético sigue la misma trayectoria (aunque actualmente es menos habitual en los ataques, la tecnología existe y está mejorando). 
• Spear phishing automatizado: antes, el spear phishing requería una investigación manual y horas de trabajo por cada objetivo. La IA reduce ese tiempo a unos segundos. Los ataques que antes se reservaban para objetivos de alto valor ahora son económicamente viables contra cualquier persona. 

Técnicas avanzadas

• Elusión del aprendizaje automático: Los filtros de seguridad recurren cada vez más al aprendizaje automático para detectar patrones sospechosos. Los atacantes diseñan ahora campañas de phishing específicamente pensadas para sondear y eludir esos filtros, probando diferentes variantes frente a los sistemas de detección antes de lanzarlas a gran escala. 
• IA adversaria: uso de la IA para poner a prueba y mejorar la eficacia de los ataques contra los sistemas de seguridad
• Generación dinámica de contenido: creación en tiempo real de contenido de phishing basado en el comportamiento de la víctima

Nuevas señales de alerta a las que hay que prestar atención

• Gramática perfecta: correos electrónicos demasiado bien redactados y demasiado específicos. 
• Hiperpersonalización: una personalización que va más allá de lo que una lista de correo estándar podría saber. 
• Solicitudes de voz o vídeo: llamadas de voz o videollamadas inesperadas en las que se solicita algún tipo de acción o autorización. Solicitudes de autenticación multifactorial (MFA) que no has iniciado tú. Contenido que parece adaptarse o hacer referencia a algo reciente de una forma que resulta un poco inquietante.
• Contenido de IA sensible al tiempo: contenido de phishing que cambia rápidamente o se adapta

Las viejas señales de alerta no han desaparecido: anomalías en la dirección del remitente, tono de urgencia, solicitudes inusuales. Simplemente se han sumado otras nuevas que apuntan en la dirección opuesta: pulidas, personalizadas y inquietantemente precisas.

La inteligencia sobre amenazas basada en IA de PowerDMARC analiza continuamente los patrones de ataque en todos los dominios, detectando anomalías en la autenticación e intentos de suplantación de identidad en tiempo real, antes de que las campañas generadas por IA lleguen a las bandejas de entrada.

Protéjase de los correos electrónicos de phishing

El phishing se utiliza en demasiados canales, se adapta con demasiada rapidez y se aprovecha de los errores de juicio que cometemos bajo presión, algo que no se puede solucionar con un simple parche. A continuación te explicamos cómo protegerte de los correos electrónicos de phishing: 

Buenas prácticas organizativas

• Formación de los empleados: Empieza por formar a los empleados y mantén esa formación de forma continua. No se trata de un simple vídeo que se vea una sola vez, sino de simulaciones reales, con correos electrónicos de phishing falsos enviados al personal, cuyo uso se supervisa, y con un seguimiento específico para cualquiera que haga clic. El objetivo no es pillar a la gente en falta, sino crear el reflejo de detenerse antes de hacer clic, y ese reflejo solo se desarrolla mediante la repetición. Las sesiones anuales de concienciación sobre seguridad no lo logran.
• Respuesta ante incidentes: cuando se produce una brecha de seguridad —y es algo que acabará ocurriendo—, la mayoría de las personas no la notifican de inmediato por vergüenza, por incertidumbre o porque no saben a quién acudir. El proceso de notificación debe ser sencillo, con un solo botón, una sola dirección, algo que se pueda hacer en diez segundos. El lapso de tiempo que transcurre entre el momento en que se detecta el incidente y el momento en que se contiene es más importante de lo que la mayoría de los equipos creen hasta que se ven en esa situación.
• Medidas técnicas: El filtrado de correo electrónico y la protección de los dispositivos finales detectan las amenazas conocidas. Un ataque de spear phishing bien elaborado procedente de un dominio registrado ayer no aparecerá en ninguna lista de bloqueo. Sin embargo, esto no significa que el filtrado sea inútil, pero no es suficiente por sí solo.
• Procedimientos de notificación: vías de escalamiento y protocolos de comunicación bien definidos.
• Autenticación de correo electrónico (DMARC, SPF, DKIM): El control específico al que hay que dar prioridad. Cuando se aplica, DMARC impide que cualquiera envíe correos electrónicos que superen la autenticación como si fueran de tu dominio. La mayoría de las organizaciones han oído hablar de DMARC, pero solo unas pocas han pasado de p=none a la aplicación completa. PowerDMARC automatiza esa transición; consulta el desglose detallado en la sección anterior.

Consejos para prevenir el phishing a nivel individual

• Sé prudente: Comprueba la dirección real del remitente, no el nombre que aparece en pantalla. Pasa el cursor por encima de los enlaces antes de hacer clic en ellos.
• No hagas clic en enlaces sospechosos: Si un correo electrónico te pide credenciales, datos bancarios o cualquier información confidencial, y esa solicitud normalmente se tramitaría por un proceso diferente, esa discrepancia es una señal de alerta.
• Evita compartir información confidencial: Ningún banco le envía un formulario para que introduzca su contraseña, ni ningún departamento de TI le pide que «verifique su inicio de sesión» haciendo clic en un enlace.
• Verifica las solicitudes inusuales a través de un canal diferente: si recibes un correo electrónico en el que se te solicita una transferencia bancaria, una actualización de pago o datos confidenciales, llama directamente al remitente utilizando un número que ya tengas registrado, no el que figure en el propio correo electrónico.
• Mantén el software actualizado: Actualice periódicamente su sistema operativo, su software antivirus y su navegador web para corregir las vulnerabilidades de seguridad.
• Implementar la autenticación del correo electrónico: Implementar SPF, DKIMy DMARC en tu dominio. Juntos, verifican las fuentes de envío y rechazan los correos electrónicos no autenticados antes de que lleguen a cualquier bandeja de entrada. PowerDMARC simplifica este proceso en múltiples dominios con la unificación automatizada de SPF, DKIM alojado y paneles de informes fáciles de leer.

Informar sobre correos electrónicos de phishing

Si sospecha que ha recibido un correo electrónico de phishing, debe hacerlo:

1. Avisa a tu proveedor de correo electrónico: la mayoría de los servicios de correo electrónico cuentan con mecanismos para denunciar los mensajes de phishing. Busca las opciones para marcar los mensajes como spam o denunciarlos como phishing.
2. Denuncia a las organizaciones contra el phishing: Organizaciones como el Grupo de Trabajo contra el Phishing (APWG) o el Centro de Denuncias de Delitos en Internet (IC3) pueden ayudar a tomar medidas contra los ciberdelincuentes.
3. Informa a la entidad suplantada: si recibes un correo electrónico de phishing que se hace pasar por una organización de confianza, avísales para que puedan tomar las medidas adecuadas para proteger a sus clientes.

Por último, utilice una plataforma que ofrezca la visibilidad, la automatización y el soporte especializado necesarios para proteger a su organización frente a las amenazas de phishing en constante evolución.

Póngase en contacto con nosotros hoy mismo para obtener una protección avanzada contra el phishing y otras amenazas similares por correo electrónico, y déjenos diseñar una estrategia para usted que le ofrezca resultados reales.

Preguntas frecuentes sobre el phishing

¿Cuáles son los ejemplos más comunes de correos electrónicos de phishing?

Los correos electrónicos de phishing más habituales incluyen solicitudes urgentes de verificación de cuentas, notificaciones falsas sobre loterías, estafas relacionadas con actualizaciones de seguridad, solicitudes de transferencias bancarias y ofertas de información confidencial. Estos correos suelen recurrir a la urgencia, el miedo o la codicia para manipular a los destinatarios y que revelen información confidencial o hagan clic en enlaces maliciosos.

¿Puede un estafador acceder a tu cuenta bancaria con tu número de teléfono?

Aunque un número de teléfono por sí solo no permite acceder directamente a tu cuenta bancaria, los estafadores pueden utilizarlo para llevar a cabo ataques de suplantación de SIM, ingeniería social o como parte de intentos de eludir la autenticación multifactorial. También pueden utilizar tu número de teléfono para recabar información personal adicional mediante llamadas de vishing (phishing por voz) con el fin de acabar accediendo a tus cuentas.

¿Cómo pueden las organizaciones protegerse contra el fraude por suplantación de identidad en el correo electrónico empresarial (BEC)?

Las organizaciones pueden protegerse contra el BEC mediante protocolos de autenticación de correo electrónico (DMARC, SPF, DKIM), la formación de los empleados, procedimientos de verificación de las transacciones financieras y sistemas avanzados de detección de amenazas. PowerDMARC ofrece una protección integral contra el BEC mediante la supervisión en tiempo real y la respuesta automatizada ante amenazas.

¿Qué debo hacer si he hecho clic en un enlace de phishing?

Si has hecho clic en un enlace de phishing, desconéctate inmediatamente de Internet, ejecuta un análisis antivirus completo, cambia las contraseñas de todas tus cuentas importantes, vigila tus cuentas bancarias para detectar cualquier actividad sospechosa y denuncia el incidente a tu departamento de TI o a las autoridades competentes. Considera la posibilidad de activar medidas de seguridad adicionales, como la autenticación de dos factores.

¿En qué se diferencian los ataques de phishing basados en la inteligencia artificial de los tradicionales?

Los ataques de phishing basados en la inteligencia artificial son más sofisticados, ya que se caracterizan por una gramática impecable, una hiperpersonalización basada en datos de las redes sociales y la capacidad de adaptarse en tiempo real. Pueden incluir elementos de audio o vídeo «deepfake» y están diseñados para eludir los filtros de seguridad tradicionales mediante técnicas de evasión basadas en el aprendizaje automático.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Política antiphishing de Office 365: cómo configurarla - 3 de junio de 2026
• Seguridad de los agentes de IA: riesgos, buenas prácticas y autenticación del correo electrónico - 2 de junio de 2026
• PowerDMARC ya se integra con HaloPSA - 1 de junio de 2026