Se han identificado correos fraudulentos dirigidos a empleados. Todo el equipo debe conocer los métodos usados por los atacantes y cómo protegerse.

Aviso urgente: En los últimos días se han registrado varios intentos de phishing dirigidos a cuentas corporativas. Los correos imitan comunicaciones internas y de proveedores conocidos. Por favor, extrema la precaución antes de hacer clic en cualquier enlace o abrir adjuntos.

¿Qué es el phishing y por qué nos afecta?

El phishing es una técnica de ingeniería social en la que los atacantes suplantan identidades legítimas —compañeros, directivos, bancos o proveedores— para engañar a la víctima y lograr que entregue credenciales, datos sensibles o ejecute acciones perjudiciales para la organización. Las empresas son objetivos habituales porque un solo acceso comprometido puede derivar en filtraciones de datos, fraude económico o ataques de ransomware.

Principales modalidades de phishing

Phishing masivo

• Correos en masa sin personalización. Redes amplias, baja tasa de éxito pero alto volumen.

Spear phishing

• Ataque dirigido a una persona específica, con datos reales para parecer legítimo.

Whaling

• Phishing enfocado en directivos (CEO, CFO). Alto impacto económico y reputacional.

Business Email Compromise

• Suplantación del correo de un directivo para ordenar transferencias o cambios urgentes.

Smishing / Vishing

• Phishing por SMS (smishing) o por llamada telefónica (vishing), a menudo complementario al correo.

Pharming

• Redirige al usuario a una web falsa aunque escriba la URL correcta, mediante envenenamiento DNS.

Métodos de engaño usados en el email

Mail spoofing: El atacante falsifica el campo "De:" del correo para que parezca provenir de una dirección legítima (ej. rrhh@empresa.com). El servidor real de envío es diferente pero muchos clientes solo muestran el nombre visible.

Homoglyph: Se registran dominios con caracteres visualmente similares: "rn" en lugar de "m", o "0" (cero) en lugar de "o". El correo llega desde empresa-rn.com en lugar de empresa-m.com y pasa desapercibido.

Reply-chain hijack: El atacante inserta un mensaje malicioso dentro de un hilo de correo real ya existente, aprovechando la confianza que genera ver una conversación anterior legítima.

HTML smuggling: El malware se oculta dentro del propio código HTML del correo y se ensambla en el navegador o cliente de correo de la víctima, evadiendo los filtros de adjuntos.

QR phishing: El enlace malicioso se presenta como un código QR dentro del correo para eludir los filtros que analizan URLs en texto plano. El móvil del usuario es el vector final.

Typosquatting: Dominios con pequeños errores tipográficos (emrpesa.com, empres4.com) esperan que el usuario no repare en el detalle al revisar el remitente.

Cómo reconocer un correo sospechoso

Red flags más frecuentes:

🚩 Urgencia artificial: "Actúa en las próximas 2 horas o se bloqueará tu cuenta".

🚩 Remitente con dominio diferente al oficial de la empresa o proveedor.

🚩 Errores ortográficos o gramaticales en un correo que debería ser profesional.

🚩 Solicitud de credenciales, contraseñas o datos bancarios por correo.

🚩 Enlace cuya URL real (hover) no coincide con el texto mostrado.

🚩 Adjuntos inesperados, especialmente .zip, .exe, .docm o .xlsm.

🚩 Petición de transferencia urgente o cambio de datos bancarios de un proveedor.

🚩 Solicitar contactar por vias no oficiales.

Qué hacer (y qué no hacer)

✅ Verifica siempre al remitente mirando la dirección completa, no solo el nombre visible.

✅ Antes de hacer clic, pasa el cursor sobre el enlace y comprueba la URL real en la barra de estado.

✅ Ante cualquier petición urgente de un directivo, confirma por teléfono o en persona antes de actuar.

✅ Usa el autenticador MFA (segundo factor) en todas tus cuentas corporativas. Una contraseña robada sola no basta para el atacante.

✅ No abras adjuntos inesperados. Si un compañero te envía algo sin previo aviso, escríbele directamente para confirmarlo.

✅ Reporta de inmediato cualquier correo sospechoso al equipo de IT usando el botón "Reportar phishing" del cliente de correo.

✅ Si crees que has hecho clic en algo sospechoso, cambia tu contraseña al instante y avisa a IT sin esperar.

✅ Mantén el sistema operativo y el antivirus actualizados; muchos exploits aprovechan vulnerabilidades parcheadas.

La seguridad es responsabilidad de todos.

Ante la duda, no hagas clic. Un segundo de precaución puede evitar semanas de trabajo de recuperación.