Un correo “urgente” llega justo antes de cerrar el día: pide actualizar una contraseña, validar una factura o confirmar acceso a una cuenta corporativa. Parece legítimo. El remitente usa el logo correcto. El enlace también parece confiable. La pregunta es: ¿qué detalle mínimo revela que podría ser phishing?
¿Qué es el phishing?
El phishing es una técnica de fraude digital basada en ingeniería social. Su objetivo es engañar a una persona para que haga clic en un enlace malicioso, descargue un archivo peligroso o entregue credenciales, datos bancarios o información sensible. NIST lo define como una estafa que usa correos, mensajes de texto o redes sociales para inducir acciones inseguras.
¿Cómo funciona un ataque?
Un ataque suele comenzar con un mensaje que imita a una marca, proveedor, banco, servicio cloud o área interna de la empresa. El atacante intenta que el usuario actúe rápido, sin validar. Una regla práctica para equipos de trabajo es: “si el correo exige actuar ahora, primero se verifica por otro canal”.
Los pasos más comunes son:
- El usuario recibe un correo, SMS, WhatsApp o mensaje en redes.
- El mensaje incluye presión: bloqueo de cuenta, pago pendiente, multa o acceso suspendido.
- El enlace lleva a una página falsa o a un formulario de captura.
- La víctima entrega usuario, contraseña, token, datos personales o descarga malware.
- El atacante usa esa información para ingresar a cuentas, robar datos o moverse dentro de la red.
Google Safe Browsing permite reportar sitios de phishing y advierte a usuarios antes de acceder a páginas peligrosas en productos compatibles.
¿Qué tipos de phishing existen?
El phishing no ocurre solo por correo. Hoy puede aparecer en distintos canales y con distintos niveles de personalización.
| Tipo | Canal habitual | Riesgo principal |
|---|---|---|
| Phishing por correo | Email corporativo | Robo de credenciales |
| Smishing | SMS o mensajería | Enlaces falsos desde móvil |
| Vishing | Llamadas | Suplantación de soporte o banco |
| Spear phishing | Email dirigido | Ataque personalizado a ejecutivos |
| QR phishing | Códigos QR | Redirección a sitios fraudulentos |
Lo clave es que el canal cambia, pero la lógica se mantiene: el atacante quiere que el usuario confíe y actúe sin revisar.
Te podría interesar: Spear phishing: cómo prevenir que roben tus datos
¿Cómo reconocer un correo de phishing?
Un mensaje sospechoso no siempre tiene mala redacción. Los ataques actuales pueden ser limpios, personalizados y visualmente creíbles. Microsoft indica que analiza miles de millones de correos al día para proteger contra malware y phishing, lo que muestra la escala del problema en entornos corporativos.
Antes de hacer clic, revise:
- Remitente real, no solo el nombre visible.
- Dominio del enlace al pasar el cursor, sin abrirlo.
- Archivos adjuntos inesperados.
- Solicitudes de contraseña, códigos MFA o datos bancarios.
- Mensajes con urgencia excesiva o amenazas.
- Errores sutiles en dominios, logos o firmas.
¿Qué debe hacer una empresa para prevenir?
La prevención efectiva combina personas, procesos y tecnología. Capacitar ayuda, pero no basta si el correo corporativo, el hosting, los respaldos y los accesos no tienen controles adecuados.
Medidas recomendadas:
- Activar autenticación multifactor.
- Usar filtros antispam y antiphishing.
- Configurar SPF, DKIM y DMARC en dominios corporativos.
- Mantener sistemas, CMS y plugins actualizados.
- Revisar permisos de usuarios y cuentas administrativas.
- Respaldar información crítica.
- Crear un canal interno para reportar correos sospechosos.
En resumen, la defensa no debe depender de que cada usuario detecte todos los engaños.
¿Cuándo pedir apoyo especializado?
Si su empresa recibe correos sospechosos, usa cuentas corporativas críticas o gestiona datos de clientes, conviene revisar su postura de seguridad antes de un incidente. Tecnoinver y HostingLatam pueden apoyar la conversación técnica sobre ciberseguridad, correo, hosting y continuidad digital, ayudando a reducir exposición frente a phishing y ataques asociados.
Un diagnóstico oportuno puede evitar interrupciones, pérdida de información y daño reputacional.
Referencias
Google. (s. f.). Google Safe Browsing. Recuperado el 25 de junio de 2026. https://safebrowsing.google.com/
Google. (s. f.). Report phishing page. Recuperado el 25 de junio de 2026. https://safebrowsing.google.com/safebrowsing/report_phish/
Microsoft. (2025). Microsoft Digital Defense Report 2025. https://www.microsoft.com/en-us/corporate-responsibility/cybersecurity/microsoft-digital-defense-report-2025/
National Institute of Standards and Technology. (s. f.). Phishing. Recuperado el 25 de junio de 2026. https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/phishing/
