Preparación contra el phishing: ¿Qué recomienda un gestor de riesgos?

¿Cómo detectar un ataque de phishing y qué hacer ante uno?

Michael Semer
Michael Semer Mayo 6, 2020 5 minutos de lectura
Decorative image

Carly Franks, analista sénior de riesgos de seguridad informática y cumplimiento de Mitratech, tiene más consejos útiles que ofrecer sobre el phishing, para que sus empleados puedan detener a los estafadores que intentan robar datos personales.

El caballero de la imagen de arriba acaba de darse cuenta de que había algo que no era del todo correcto en el correo electrónico que acababa de abrir, supuestamente de su propio director general, o director financiero, o de alguien que decía ser un corresponsal de confianza. Durante la pandemia, estos chicos malos tuvieron menos vergüenza que nunca y aumentaron la frecuencia y el ingenio de sus ataques.

Según la definición del Oxford English Dictionary, el phishing...

sustantivo; práctica fraudulenta de enviar correos electrónicos que simulan proceder de empresas de renombre con el fin de inducir a las personas a revelar información personal, como contraseñas y números de tarjetas de crédito; "un correo electrónico que probablemente sea una estafa de phishing".

Hay demasiadas subespecies de phishing como para entrar en ellas. Para eso está Wikipedia o una conversación aleccionadora con un responsable de cumplimiento o un administrador de correo electrónico. Nos gustaría centrarnos en cómo detectar un ataque de phishing y las medidas que debe tomar un empleado para verificar la autenticidad de un correo electrónico sospechoso.

Carly tiene un magnífico ejemplo que compartir: Un intento de phishing que se llevó a cabo utilizando el nombre de nuestro propio CEO en Mitratech, Mike Williams, como cebo.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

Infografía: Directrices para la incorporación eficaz de proveedores

Mitigar los riesgos al tiempo que se establecen sólidas relaciones con los proveedores.

Descargar ahora

Estar en guardia contra los nombres "familiares

En este caso, Carly señala los indicadores de phishing de algunos de los correos electrónicos que supuestamente procedían de Mike Williams. Fíjate en que en los dos ejemplos siguientes el correo electrónico del remitente es el primer indicio claro de que no procede de Mike.


A modo de recordatorio, he aquí cinco claves para reconocer y protegerse de los correos electrónicos de phishing:

1 - Mira la dirección de correo electrónico real del remitente, no sólo el nombre para mostrar, así como la marca de tiempo de cuando se envió el correo electrónico. Asegúrese de que la dirección de correo electrónico es la correcta y de que la hora coincide con el comportamiento del remitente. Si recibes un correo electrónico a la 1:30 de la madrugada de un remitente que nunca trabaja fuera del horario normal, sospecha.

2 - Ser consciente de los errores ortográficos y gramaticales. Comprenda que hay una diferencia entre las barreras lingüísticas y los errores ortográficos y gramaticales. En no descarte algo porque el inglés no sea la lengua materna del remitente. Pero si el remitente no suele cometer errores, conviértalo en su primera señal de alarma. Por ejemplo:

  • Uso de signos de puntuación o ausencia total de signos de puntuación. ¿Utiliza el remitente habitualmente signos de puntuación adecuados?
  • Falta de uso adecuado del caso.
  • Palabras mal escritas. ¿El remitente suele escribir mal palabras comunes? ¿Coincide la ortografía de las palabras con el idioma del remitente?

A continuación se muestra un ejemplo de correo electrónico de phishing que afirma proceder de Microsoft Skype, pero que contiene algunas pistas reveladoras de que se trata de una falsificación.


3 - Nunca abras o descargues un archivo adjunto desconocido. Si no esperas un correo electrónico, y mucho menos un archivo adjunto, asume que se trata de un correo de phishing hasta que lo hayas verificado con el remitente.

4 - Nunca hagas clic en los enlaces de los correos electrónicos. Todos los que trabajamos en empresas recibimos continuamente correos electrónicos internos con enlaces a recursos internos; sin embargo, acostúmbrese a no hacer nunca clic en los enlaces. En su lugar, haga clic con el botón derecho del ratón en el enlace (correo electrónico, opción de darse de baja, hipervínculo, etc.), seleccione copiar (copiar dirección de correo electrónico, copiar dirección de enlace, etc.) y, a continuación, péguelo en el campo correspondiente (nuevo correo electrónico, navegador web, etc.). Así evitarás que te redirijan a un sitio malicioso y pongan en peligro tu nombre de usuario y contraseña o información confidencial.

5 - Esté alerta a la urgencia. Si recibe un correo electrónico que requiere una acción urgente, ¡deténgase! Evalúelo, busque los elementos identificados anteriormente, determine si la urgencia está justificada y, a continuación, tome las medidas oportunas. La urgencia es uno de los métodos más utilizados para conseguir que el destinatario baje la guardia. A menudo, el horario de los correos electrónicos de phishing (por ejemplo, a última hora de la tarde) y la urgencia que exigen son señales de alarma clave.

¿Cómo verificar un correo electrónico?

Nunca verifique la legitimidad de un correo electrónico o su contenido respondiendo al remitente original. Tampoco lo verifique utilizando la información de contacto proporcionada en el correo electrónico. En su lugar, haga lo siguiente:

  • Llame al remitente para verificar el correo electrónico y su contenido.
  • Envíe un correo electrónico por separado a la dirección de correo electrónico conocida del remitente para verificar la legitimidad del correo electrónico sospechoso antes de tomar ninguna medida al respecto.
  • Si el remitente es un compañero de trabajo y utiliza una herramienta de chat común como Slack o Teams, envíale un mensaje utilizando esa herramienta para verificar que te ha enviado el correo electrónico.

Como nos dice el práctico acrónimo, S.I.T. en el correo electrónico hasta que esté seguro de que es digno de confianza. Detente, identifica si alguno de los indicadores de phishing está presente y actúa verificando el correo electrónico y eliminando los que no sean legítimos.

¿Otras medidas para recordar?

  • Si crees que has sido engañado por un correo electrónico de phishing, asegúrate de informar inmediatamente a tu equipo de TI y/o de seguridad de datos.
  • ¿No está seguro de que se trate de un ataque de phishing? Consulte con esos equipos. O es posible que su empresa tenga una guía o un canal donde pueda obtener información, incluidas actualizaciones sobre las estafas más recientes.

Desgraciadamente, hoy en día nunca se es demasiado precavido. O como Carly Franks nos dice,

No tengo problemas de confianza; sólo necesito validarla primero.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.