NetGoos
Ciberseguridad 20 de marzo de 2026 · 5 min de lectura

Phishing en el correo corporativo: cómo detectarlo y qué hacer

Phishing en el correo corporativo: cómo detectarlo y qué hacer

TL;DR

  • El correo sigue siendo el vector número uno de entrada de ciberataques, no porque sea técnicamente sofisticado, sino porque llega directamente a personas que cometen errores.
  • SPF, DKIM y DMARC son las tres configuraciones que dificultan que alguien suplante tu dominio. La mayoría de pymes no las tiene correctamente configuradas.
  • El fraude del CEO y la suplantación de proveedor son los más rentables porque no necesitan malware: solo convencer al destinatario.
  • El 2FA en el correo es la medida más efectiva después de la formación: si te roban la contraseña, no basta para acceder.
  • Si ya hiciste clic en algo sospechoso, actúa en minutos, no en horas: cambia contraseña, avisa a IT, no esperes a ver si pasa algo.

El correo electrónico sigue siendo el vector de entrada número uno de los ciberataques. No porque sea el más sofisticado desde el punto de vista técnico, sino porque es el más efectivo desde el punto de vista humano: llega directamente a las personas que trabajan en tu empresa, usa el lenguaje y el formato de comunicaciones legítimas, y explota mecanismos psicológicos bien documentados como la urgencia, la autoridad y el miedo. Conocer cómo funciona el phishing y tener configuraciones técnicas correctas es la forma más eficiente y menos cara de reducir ese riesgo de forma real.

Los patrones más comunes de phishing en empresas

Suplantación del proveedor habitual

Un correo que aparenta venir de vuestra gestoría, de vuestro banco, de un proveedor habitual de material o de un servicio SaaS que usáis. El contenido pide que validéis una factura, actualicéis datos de cuenta, accedáis a un enlace para verificar algo urgente, o que descarguéis un documento adjunto. La dirección del remitente parece correcta a primera vista pero tiene un carácter cambiado (gestion-fiscal@gestoría.com en lugar de gestionfiscal@gestoria.com) o usa un dominio ligeramente diferente que es difícil de detectar en una lectura rápida.

Este tipo de phishing funciona especialmente bien porque el destinatario espera comunicaciones de ese proveedor. El contexto lo hace creíble. Los atacantes más sofisticados investigan previamente qué proveedores usa la empresa objetivo y construyen correos que encajan con el patrón de comunicación real.

El fraude del CEO: urgencia y autoridad

Alguien suplanta al director general, al gerente o al responsable financiero y envía un correo urgente al departamento de administración o a un empleado específico. El contenido puede ser una solicitud de transferencia urgente a una cuenta nueva ("estoy en una reunión importante y necesito que hagas esto ahora"), la compra de tarjetas regalo para un cliente, o el cambio urgente de los datos bancarios de un proveedor. El tono es de urgencia extrema y a menudo pide que no se comente con nadie ("es una operación confidencial").

Técnicamente, muchos de estos correos son texto plano sin malware adjunto: pasan los filtros de seguridad porque no hay nada que detectar técnicamente. El FBI registra en su IC3 pérdidas promedio superiores a 120.000 dólares por incidente de Business Email Compromise. La única defensa efectiva es un proceso claro: ninguna transferencia, cambio de datos bancarios o compra no habitual se ejecuta sin verificación telefónica directa con la persona que supuestamente la solicita. Sin excepción.

Falsas notificaciones de servicios conocidos

Correos que imitan notificaciones de Microsoft 365, DocuSign, WeTransfer, DHL, la Agencia Tributaria o el banco. El diseño es casi idéntico al original: mismo logo, mismas fuentes, mismos colores, texto similar al de los correos legítimos. El único elemento diferente es el enlace, que lleva a una página falsa diseñada para robar las credenciales de acceso. Esta técnica es especialmente efectiva porque la gente espera ese tipo de notificaciones y las procesa de forma automática sin leerlas con detenimiento.

La defensa técnica aquí son los filtros de phishing configurados correctamente en el servidor de correo (Microsoft 365 Defender, Google Workspace protección avanzada), que analizan los enlaces en tiempo real antes de que el usuario haga clic, y el marcado de correos externos (una etiqueta visible que indica que el correo viene de fuera del dominio de la empresa), que es simple pero reduce significativamente la tasa de éxito del phishing que suplanta comunicaciones internas.

Las configuraciones técnicas que reducen el riesgo estructuralmente

  • SPF, DKIM y DMARC: Las tres configuraciones DNS que dificultan la suplantación de tu dominio de correo. SPF define qué servidores pueden enviar correo en nombre de tu dominio. DKIM añade una firma criptográfica verificable a cada correo enviado. DMARC define qué hacer cuando un correo falla esas verificaciones y permite monitorizar intentos de suplantación. Sin estas tres configuraciones activas y bien configuradas, cualquiera puede enviar correo que aparente venir de tu dominio. Más del 60% de los dominios de pymes españolas no tiene DMARC configurado.
  • Filtro anti-phishing avanzado: Microsoft 365 Defender y Google Workspace tienen capacidades de análisis de correo en tiempo real que van más allá del filtro de spam básico. Incluyen análisis de reputación de enlaces, sandbox de adjuntos para ejecutarlos en entorno aislado antes de entregarlos al destinatario, y detección de suplantación de identidad. Estas capacidades hay que activarlas explícitamente: no vienen configuradas al máximo por defecto.
  • Marcado de correos externos: Una etiqueta visible ("EXTERNO" o "[EXTERNO]") al principio del asunto de cualquier correo que venga de fuera del dominio de la empresa. Es una configuración simple de cinco minutos que tiene un impacto desproporcionado: el equipo desarrolla el hábito de ser más cauto con los correos marcados como externos, especialmente cuando el remitente aparenta ser alguien interno.
  • Doble factor en el correo corporativo: Si un atacante consigue la contraseña del correo a través de phishing, el 2FA impide que pueda acceder aunque tenga las credenciales correctas. El correo comprometido es el primer escalón de casi todos los ataques posteriores: con acceso al correo, el atacante puede resetear contraseñas de todos los servicios vinculados a esa dirección.

Ejemplo con cifras: cuánto cuesta un incidente de phishing en una pyme

Una empresa de distribución de Zaragoza con 11 empleados sufrió en 2023 un fraude del CEO: alguien suplantó al gerente y convenció a la administrativa de hacer una transferencia de 14.200 euros a "un proveedor con el que se acababa de cerrar una operación urgente". La transferencia se hizo sin verificación telefónica porque la urgencia del correo parecía real y la empleada no quería retrasar una operación importante. El dinero nunca se recuperó. El coste adicional incluyó la auditoría del correo para determinar si había más accesos comprometidos (1.800 euros), el tiempo del equipo directivo gestionando el incidente y la comunicación con el banco, y el coste emocional sobre la empleada afectada. Total: más de 17.000 euros.

La solución habría sido un proceso claro establecido de antemano: ninguna transferencia de más de 2.000 euros sin verificación telefónica directa con quien la solicita. No es tecnología, no tiene coste, y habría evitado el incidente completo. La formación en ciberseguridad que ofrecemos como parte del servicio incluye exactamente este tipo de procedimientos operativos, no solo teoría sobre cómo detectar phishing.

Qué hacer si recibes un correo sospechoso: protocolo básico

Si recibes un correo que te genera dudas:

  • No hagas clic en ningún enlace ni descargues adjuntos sin verificar primero quién lo envía y por qué.
  • Si parece venir de un proveedor, banco o compañero real, verifica por teléfono (usando el número de siempre, no el que aparece en el correo) antes de actuar.
  • Pasa el cursor por el enlace sin hacer clic para ver la URL real en la barra de estado del navegador o cliente de correo.
  • Márcalo como phishing en tu cliente de correo (en Microsoft 365 y Gmail hay un botón específico) para que el filtro aprenda y proteja al resto del equipo.
  • Avisa a tu responsable IT si crees que es un intento de ataque dirigido, especialmente si suplanta a alguien de la empresa.

Si ya has hecho clic y crees que has introducido credenciales en una página falsa o descargado algo que no debías, actúa en minutos: cambia inmediatamente la contraseña del servicio comprometido desde otro dispositivo, activa el 2FA si no lo tenías, y avisa a tu proveedor IT. El tiempo de respuesta en los primeros minutos determina el alcance del daño. Consulta también el artículo sobre el checklist de ciberseguridad para pymes para complementar estas medidas con una revisión completa del estado de seguridad.

Tabla: tipos de phishing más comunes y cómo detectarlos

Tipo Señal de alerta Defensa principal
Suplantación de proveedor Dominio del remitente ligeramente diferente al habitual Verificación telefónica antes de cualquier acción
Fraude del CEO Urgencia extrema + petición de confidencialidad + dirección no habitual del remitente Proceso fijo: ninguna transferencia sin verificación telefónica
Notificación falsa de servicio URL del enlace diferente al dominio oficial del servicio Filtro anti-phishing + pasar cursor por el enlace antes de clicar
Adjunto malicioso Formato inusual (.iso, .img, .docm) o adjunto no esperado de contacto conocido Sandbox de adjuntos en Microsoft 365 Defender + no abrir sin verificar
Phishing de credenciales Microsoft/Google Página de inicio de sesión con URL diferente a microsoft.com o google.com 2FA activo + revisar URL antes de introducir credenciales

Por dónde empezar mañana

  1. Comprueba si tu dominio tiene SPF, DKIM y DMARC configurados. Puedes usar herramientas gratuitas como MXToolbox para verificarlo en menos de dos minutos. Si falta alguno, es la primera tarea técnica prioritaria.
  2. Activa el doble factor en el correo corporativo. Para todo el equipo, no solo para el administrador. Microsoft 365 y Google Workspace lo incluyen sin coste adicional. El 2FA en el correo elimina el riesgo de que una contraseña robada sea suficiente para comprometer toda la cuenta.
  3. Establece el proceso de verificación para transferencias. Ponlo por escrito, comunícalo al equipo y aplícalo sin excepción: ninguna transferencia o cambio de datos bancarios sin llamada telefónica de verificación al número habitual de la persona o empresa que lo solicita.
  4. Haz un recordatorio de phishing al equipo esta semana. No hace falta una formación de dos horas. Basta con 15 minutos repasando los tres tipos de correo fraudulento más comunes y qué hacer si se recibe uno. El impacto de esa conversación supera con creces el de cualquier configuración técnica.

Preguntas frecuentes

¿Cómo puedo saber si un correo es phishing antes de abrirlo?

Revisa el dominio del remitente completo, no solo el nombre. Desconfía de la urgencia extrema. Pasa el cursor por los enlaces para ver la URL real. Si involucra dinero o credenciales, verifica siempre por teléfono.

¿Qué son SPF, DKIM y DMARC y por qué importan?

Son configuraciones DNS que dificultan la falsificación de tu dominio de correo. Sin las tres activas, cualquiera puede enviar correo que parezca venir de tu empresa. Más del 60% de los dominios de pymes españolas no tiene DMARC configurado.

¿Qué hago si creo que he hecho clic en un enlace de phishing?

Actúa de inmediato: cambia la contraseña del servicio posiblemente comprometido desde otro dispositivo, activa el 2FA si no lo tenías, y avisa a IT. No esperes a ver si pasa algo. Los primeros minutos determinan el alcance del daño.

¿El filtro de spam de Microsoft 365 o Gmail protege del phishing?

Parcialmente. Captura la mayoría de ataques masivos conocidos, pero el spear phishing dirigido tiene alta tasa de éxito porque parece correo legítimo. La protección avanzada en Microsoft 365 Defender requiere configuración explícita.

¿Qué es el Business Email Compromise (BEC)?

El fraude donde el atacante suplanta al CEO o un proveedor para solicitar una transferencia urgente. El FBI registra pérdidas promedio de más de 120.000 dólares por caso. La verificación telefónica de cualquier solicitud de transferencia es la única defensa efectiva.

¿Con qué frecuencia debería formarse el equipo en phishing?

La formación anual es el mínimo pero no es suficiente. Los simulacros trimestrales con correos de phishing ficticios enviados al equipo, seguidos de formación inmediata para quienes hicieron clic, tienen mucho más impacto que la formación teórica.