Cómo proteger tu empresa ante ataques de phishing

Qué es el phishing y por qué tu empresa es un objetivo

El phishing es la suplantación de identidad para robar credenciales, datos o dinero. Los atacantes usan correo, SMS, apps de mensajería y llamadas (vishing) para engañar a empleados y socios. Las pymes y grandes corporaciones son objetivo por igual: atacan donde hay procesos de pago, acceso a datos o confianza entre equipos.

Variantes frecuentes: spear phishing (dirigido), whaling (a directivos), BEC o compromiso de correo empresarial (fraude de transferencias), y enlaces o adjuntos con malware. La protección efectiva requiere tres capas: personas, procesos y tecnología.

Señales para detectar correos y mensajes de phishing

• Remitente sospechoso o dominio casi idéntico al legítimo (ej.: pag0s-empresa.com vs pagos-empresa.com).
• Urgencia artificial: “último aviso”, “tu cuenta se cerrará hoy”, “pago detenido”.
• Enlaces enmascarados o acortados; URL que no coincide con el sitio oficial.
• Adjuntos inesperados (ZIP, HTML, XLSM) que piden habilitar macros o introducir credenciales.
• Solicitudes de romper proceso: cambio de cuenta bancaria, tarjetas regalo, confidencialidad inusual.
• Errores gramaticales o tono diferente al habitual del remitente real.
• Solicitudes de MFA aprobadas que no iniciaste (fatiga de MFA).

Controles técnicos imprescindibles contra phishing

Refuerza tu superficie de correo y acceso con controles probados. Prioriza lo siguiente:

• Autenticación multifactor (MFA/FIDO2): aplica MFA resistente al phishing (llaves de seguridad, passkeys) en correo, VPN, ERP, CRM y paneles de administración.
• SPF, DKIM y DMARC: configura y monitoriza DMARC en modo “reject” progresivo para impedir suplantación de tu dominio y mejorar reputación de correo.
• Secure Email Gateway (SEG) o filtrado nativo: bloqueo de malware, análisis de URL en tiempo real y desarme de adjuntos (Content Disarm & Reconstruction).
• Reescritura y sandboxing de enlaces: apertura segura en entornos aislados antes de entregar al usuario.
• Filtrado DNS/WEB: bloquea dominios recién creados y categorías maliciosas; aplica aislamiento del navegador para sitios de riesgo.
• Limitación de privilegios y segmentación: minimiza el impacto si una cuenta se ve comprometida.
• Gestor de contraseñas y políticas: longitudes mínimas, no reutilización, rotación basada en riesgo y detección de credenciales expuestas.
• Actualizaciones y parches: reduce exploits en clientes de correo, navegadores y plugins.
• EDR/XDR y detección de comportamiento: visibilidad y respuesta ante payloads y movimientos laterales.
• Protección de identidad: detección de inicios anómalos, imposible travel, y políticas de acceso condicional (Zero Trust).

Cultura y capacitación: programa continuo

La formación es eficaz cuando es práctica, frecuente y medible.

• Onboarding y refuerzo trimestral: microcápsulas de 5–10 minutos sobre señales de phishing y reporte.
• Simulaciones de phishing: campañas mensuales con niveles de dificultad y temas actuales (paquetería, nóminas, IT).
• Canal de reporte en un clic: botón en el cliente de correo que envíe a Seguridad; premia el reporte, no castigues el error.
• Sesiones específicas para finanzas y directivos: BEC, validación de cambios de pago y verificación por doble canal.
• Cartelería y recordatorios: mensajes claros sobre no compartir códigos MFA ni aprobar solicitudes que no iniciaron.

Procedimiento de respuesta ante incidentes

1. Contención inmediata: desconectar equipo de la red si hubo clic/descarga; revocar sesiones y tokens del usuario.
2. Reseteo forzado de credenciales y bloqueo de MFA comprometido; emitir nuevas llaves FIDO2 si aplica.
3. Higiene del buzón: búsqueda y retiro del correo malicioso en toda la organización; bloqueo de dominio/URL.
4. Análisis forense: revisar logs de autenticación, EDR, proxy y correo para determinar alcance.
5. Notificación y gestión de riesgos: alertar a finanzas si hay potencial fraude; evaluar obligaciones regulatorias.
6. Lecciones aprendidas: ajustar reglas, actualizar detecciones y reforzar capacitación sobre el vector usado.

Políticas y gobierno: qué documentar

• Política de verificación de pagos (BEC): doble validación por canal independiente para cambios de cuenta bancaria y transferencias.
• Política de acceso y MFA: qué métodos están permitidos (preferir FIDO2/passkeys), excepciones y revisiones periódicas.
• Estándares de email: requisitos de SPF/DKIM/DMARC, subdominios, proveedores autorizados y monitorización.
• Gestión de terceros: evaluación de seguridad de proveedores con acceso a datos o identidad corporativa.
• Plan de respuesta a incidentes: roles, contactos, tiempos objetivo (MTTD/MTTR) y plantillas de comunicación.

Métricas y KPIs para demostrar eficacia

• Tasa de reporte vs. clic en simulaciones (objetivo: más reportes que clics).
• Porcentaje de usuarios con MFA resistente al phishing habilitado.
• Porcentaje de correo autenticado con DMARC “reject/quarantine”.
• Tiempo medio de detección (MTTD) y respuesta (MTTR) ante campañas reales.
• Número de cambios de cuenta bancaria validados por doble canal.
• Incidentes por unidad de correo recibido y tendencia mensual.

Casos comunes de phishing en empresas y cómo neutralizarlos

• Factura falsa de proveedor: exige verificación por teléfono al contacto oficial del proveedor antes de cambiar cuentas.
• Reinicio de contraseña “IT Soporte”: centraliza cambios de contraseña solo en el portal oficial con SSO y bloquea páginas clonadas con filtrado DNS.
• Paquetería y logística: informa a recepción y almacén; limita macros y ejecutables adjuntos.
• Spear phishing al CEO (whaling): asistentes y finanzas deben validar por doble canal cualquier solicitud fuera de proceso.
• Fatiga de MFA: educa para denegar solicitudes no iniciadas y requiere MFA resistente al phishing.

Lista de comprobación rápida

• MFA resistente al phishing habilitado en sistemas críticos.
• DMARC en “quarantine/reject” con monitoreo activo de SPF y DKIM.
• Filtrado de correo, sandboxing de enlaces y CDR de adjuntos activos.
• Botón de reporte de phishing y playbook de respuesta probado.
• Simulaciones y formación trimestrales con métricas de mejora.
• Política de verificación de pagos con doble canal implantada.
• EDR/XDR desplegado y alertas de logins anómalos configuradas.

Preguntas frecuentes

¿Qué diferencia hay entre phishing y BEC?

El phishing busca robar credenciales o instalar malware. El BEC (Business Email Compromise) aprovecha confianza y procesos de pago para desviar transferencias, a veces sin malware, solo con ingeniería social.

¿MFA siempre me protege del phishing?

El MFA reduce mucho el riesgo, pero algunos métodos (códigos SMS o notificaciones push) pueden ser vulnerables a ataques de intermediario. Prioriza FIDO2/passkeys y evita aprobar solicitudes que no iniciaste.

¿Por qué necesito DMARC si ya tengo antivirus?

DMARC evita que tu dominio sea suplantado en correos. El antivirus no impide la falsificación del remitente. Ambos controles se complementan.

¿Cada cuánto debo hacer simulaciones de phishing?

Mensualmente para toda la plantilla y con campañas específicas para áreas de alto riesgo (finanzas, compras, RR. HH.).

¿Qué hago si un empleado hizo clic?

Activa el playbook: contención, reseteo de credenciales, análisis de alcance, retirada del correo y lecciones aprendidas. No culpabilices: aprovecha para mejorar.

Conclusión

Proteger a tu empresa ante el phishing no es un proyecto puntual, sino un programa continuo. Con MFA resistente al phishing, DMARC bien configurado, formación recurrente, procesos de verificación y una respuesta ágil, reducirás de forma drástica el riesgo operativo y financiero. Empieza hoy por el checklist y fija KPIs trimestrales para mantener el progreso.