Por qué el phishing sigue siendo la amenaza #1

Según el informe IBM Cost of a Data Breach 2025, el phishing representa el punto de entrada en el 36% de todas las brechas de datos corporativas y tiene un coste medio de resolución superior a 180.000 euros por incidente. Para una PYME, eso equivale con frecuencia al cierre del negocio.

Lo que hace tan efectivo al phishing es su capacidad de adaptación. Los atacantes no necesitan explotar vulnerabilidades técnicas complejas: basta con que un empleado haga clic en el enlace equivocado. Y con las herramientas de IA generativa actuales, los correos fraudulentos son cada vez más difíciles de distinguir de los legítimos.

Los tipos que más afectan a empresas

No todos los ataques de phishing son iguales. Conocer la diferencia permite ajustar las defensas:

• circle
  Phishing masivo: envíos a miles de destinatarios con mensajes genéricos. Menor tasa de éxito por objetivo, pero enorme volumen.
• circle
  Spear phishing: correos personalizados dirigidos a un empleado concreto, con referencias a su nombre, cargo, compañeros o proyectos reales. Alta efectividad.
• circle
  Whaling: spear phishing dirigido a directivos (CEO, CFO). El objetivo suele ser autorizar transferencias bancarias o filtrar credenciales de alto privilegio.
• circle
  Vishing y smishing: el mismo engaño por llamada telefónica o SMS. Útil cuando el correo electrónico está bien filtrado.

8 señales que delatan un email sospechoso

No existe un detector infalible, pero estos indicadores aparecen en la gran mayoría de los intentos de phishing:

1. 1
   Urgencia artificial: mensajes como "actúa en las próximas 24 horas" o "tu cuenta será suspendida" buscan que el receptor tome decisiones sin reflexionar. La presión temporal es la señal más frecuente.
2. 2
   Dominio del remitente sospechoso: el nombre visible puede ser legítimo, pero la dirección real revela el engaño. Un correo de "[email protected]" o "[email protected]" no proviene de quien dice.
3. 3
   URLs que no coinciden: antes de hacer clic en cualquier enlace, pasa el cursor por encima. Si el destino visible y la URL real no coinciden, es una señal inequívoca de fraude.
4. 4
   Adjuntos no solicitados: ejecutables (.exe, .bat), archivos Office con macros o PDFs inesperados son vectores clásicos de entrega de malware. No existe ningún motivo legítimo para que un proveedor te envíe un archivo que no pediste.
5. 5
   Solicitudes fuera de proceso: ningún banco, proveedor de servicios cloud ni departamento interno pide contraseñas, tokens MFA o datos bancarios por correo electrónico. Si lo ves, es un ataque.
6. 6
   Errores lingüísticos: la IA ha reducido los errores gramaticales evidentes, pero frases torpes, puntuación incorrecta o vocabulario inapropiado para el contexto siguen siendo señales útiles.
7. 7
   Saludos genéricos: "Estimado cliente" o "Hola usuario" en un correo supuestamente personalizado indican un envío masivo no segmentado.
8. 8
   Dirección de respuesta diferente: el campo Reply-To distinto del remitente original es una técnica habitual para capturar respuestas sin revelar el dominio real del atacante.

Qué hacer si sospechas de un email

El protocolo de respuesta es tan importante como la detección. Tener estos pasos internalizados reduce significativamente el daño cuando el intento llega:

1. 1
   No hacer clic ni responder. Si tienes dudas, detente. El coste de verificar es siempre menor que el de remediar un incidente.
2. 2
   Notificar al responsable de seguridad o al punto de contacto designado. Cada empresa debe tener un canal claro para reportar correos sospechosos. Si no existe, ese es el primer problema a resolver.
3. 3
   Si ya hiciste clic: desconecta el equipo de la red inmediatamente y notifica el incidente. Cada minuto cuenta cuando hay un posible dropper o credential harvester en ejecución.
4. 4
   Cambiar contraseñas afectadas desde un dispositivo diferente, después de aislar el comprometido. Nunca desde la misma máquina.

Medidas de protección que realmente funcionan

Capa técnica

Las medidas técnicas reducen la superficie de ataque, pero no eliminan el riesgo humano. Son necesarias, no suficientes:

• check_circleSPF, DKIM y DMARC: protocolos de autenticación de correo que impiden que atacantes suplanten tu dominio y los dominios de tus proveedores.
• check_circleFiltros antispam con análisis de URL en tiempo real: soluciones como Microsoft Defender for Office 365 o Google Workspace Advanced Protection analizan los enlaces en el momento del clic, no del envío.
• check_circleAutenticación multifactor (MFA): incluso si una credencial queda comprometida, el MFA bloquea el acceso en la mayoría de los casos. Es la medida con mejor ratio de eficacia/coste disponible hoy.
• check_circleSegmentación de red: limitar el movimiento lateral después de un compromiso inicial reduce el alcance máximo del daño.

Capa humana

La formación es la única contramedida que actúa exactamente donde empieza el ataque:

• check_circleSimulacros de phishing trimestrales: permiten medir la tasa de clic real de la organización y ajustar la formación. Sin métricas, no hay mejora.
• check_circleProtocolo de reporte claro: si los empleados no saben cómo reportar un email sospechoso, simplemente no lo harán. El canal debe ser fácil y sin consecuencias negativas para quien reporta de buena fe.
• check_circlePrincipio de mínimo privilegio: reducir los permisos de cada cuenta al mínimo necesario limita el impacto cuando un empleado cae en la trampa.