Preparación ante el phishing: ¿qué recomienda un gestor de riesgos?

¿Cómo se detecta un ataque de phishing y qué se debe hacer al respecto?

Michael Semer
Michael Semer 6 de mayo de 2020 5 minutos de lectura
Decorative image

Carly Franks, analista sénior de riesgos y cumplimiento normativo en materia de seguridad informática en Mitratech, ofrece más consejos útiles sobre el tema del phishing, para que sus empleados puedan frustrar los intentos de los estafadores de robar datos personales.

El caballero de la imagen superior acaba de darse cuenta de que había algo sospechoso en ese correo electrónico que acaba de abrir, supuestamente enviado por su propio director general, director financiero o alguien más que afirmaba ser un corresponsal de confianza. Durante la pandemia, estos delincuentes se han vuelto más descarados que nunca y han aumentado la frecuencia y el ingenio de sus ataques.

Según la definición del Oxford English Dictionary, el phishing es...

sustantivo; práctica fraudulenta que consiste en enviar correos electrónicos que parecen proceder de empresas de renombre con el fin de inducir a las personas a revelar información personal, como contraseñas y números de tarjetas de crédito; «un correo electrónico que probablemente sea una estafa de phishing».

Hay demasiadas subespecies diferentes de phishing como para entrar en detalles aquí. Para eso está Wikipedia o una conversación seria con un responsable de cumplimiento normativo o un administrador de correo electrónico. Nos gustaría centrarnos en cómo detectar un ataque de phishing y las medidas que debe tomar un empleado para verificar la autenticidad de un correo electrónico sospechoso.

Carly tiene un ejemplo fantástico que compartir: un intento de phishing que se llevó a cabo utilizando el nombre de nuestro propio director ejecutivo en Mitratech, Mike Williams, como cebo.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

Infografía: Directrices para la incorporación eficaz de proveedores

Mitigar los riesgos al tiempo que se establecen sólidas relaciones con los proveedores.

Descargar ahora

Estar alerta ante nombres «familiares»

En este caso, Carly señala los indicadores de phishing de algunos de los correos electrónicos que supuestamente procedían de Mike Williams. Observe en los dos ejemplos siguientes cómo el correo electrónico del remitente es el primer indicio claro de que no procede de Mike.


A modo de recordatorio, aquí tienes cinco claves para reconocer y protegerte de los correos electrónicos de phishing:

1 • Fíjese en la dirección de correo electrónico real del remitente, no solo en el nombre que aparece, así como en la fecha y hora en que se envió el correo electrónico. Asegúrese de que la dirección de correo electrónico es la correcta y que la fecha y hora coinciden con el comportamiento habitual del remitente. Si recibe un correo electrónico a la 1:30 de la madrugada de un remitente que nunca trabaja fuera del horario habitual, desconfíe.

2 • Presta atención a los errores ortográficos y gramaticales. Ten en cuenta que hay una diferencia entre las barreras lingüísticas y los errores ortográficos y gramaticales. No No desestime algo debido a que el inglés no es la lengua materna del remitente. Pero si el remitente no suele cometer errores, considérelo como una primera señal de alerta. Estos pueden incluir:

  • Uso de signos de puntuación, o ausencia total de los mismos. ¿El remitente suele utilizar signos de puntuación adecuados?
  • Falta de uso adecuado de mayúsculas.
  • Palabras mal escritas. ¿El remitente suele escribir mal palabras comunes? ¿La ortografía de las palabras coincide con el idioma del remitente?

A continuación se muestra un ejemplo de un correo electrónico de phishing que afirma provenir de Microsoft Skype, pero que contiene algunas pistas reveladoras de que es falso.


3 • Nunca abras ni descargues un archivo adjunto desconocido. Si no estás esperando un correo electrónico, y mucho menos un archivo adjunto, asume que se trata de un correo electrónico de phishing hasta que lo hayas verificado con el remitente.

4 • Nunca haga clic en los enlaces de los correos electrónicos. Todos los que trabajamos en empresas recibimos constantemente correos electrónicos internos con enlaces a recursos internos; sin embargo, acostúmbrese a no hacer clic nunca en los enlaces. En su lugar, haga clic con el botón derecho del ratón en el enlace (correo electrónico, opción para darse de baja, hipervínculo, etc.), seleccione copiar (copiar dirección de correo electrónico, copiar dirección del enlace, etc.) y, a continuación, péguelo en el campo correspondiente (nuevo correo electrónico, navegador web, etc.). Esto le ayudará a evitar que le redirijan a un sitio malicioso y comprometa su nombre de usuario y contraseña o información confidencial.

5 • Esté atento a la urgencia. Si recibe un correo electrónico que requiere una acción urgente, ¡deténgase! Evalúelo, busque cualquiera de los elementos identificados anteriormente, determine si la urgencia está justificada y, a continuación, tome las medidas adecuadas. La urgencia es uno de los principales métodos utilizados para que el destinatario baje la guardia. A menudo, el momento en que se envían los correos electrónicos de phishing (por ejemplo, a última hora de la tarde) y la urgencia que exigen son señales de alerta clave.

¿Cómo verificar un correo electrónico?

Nunca verifique la legitimidad de un correo electrónico o su contenido respondiendo al remitente original. Tampoco lo verifique utilizando la información de contacto proporcionada en el correo electrónico. En su lugar, haga lo siguiente:

  • Llame al remitente para verificar el correo electrónico y su contenido.
  • Envíe un correo electrónico por separado a la dirección de correo electrónico conocida del remitente para verificar la legitimidad del correo electrónico sospechoso antes de tomar cualquier medida al respecto.
  • Si el remitente es un compañero de trabajo y utiliza una herramienta de chat común como Slack o Teams, envíale un mensaje a través de esa herramienta para verificar que te ha enviado el correo electrónico.

Como nos indica el práctico acrónimo, S.I.T. en el correo electrónico hasta que estés seguro de que es fiable. Detente, identifica si hay algún indicador de phishing y toma medidas verificando el correo electrónico y eliminando cualquier uno que no sea legítimo.

¿Otras medidas que hay que recordar?

  • Si cree que ha sido víctima de un correo electrónico de phishing, asegúrese de informar inmediatamente a su equipo de TI y/o de seguridad de datos.
  • ¿No estás seguro de si se trata de un ataque de phishing? Consulta con esos equipos. O quizá tu empresa tenga una guía o un canal publicado donde puedas obtener información, incluidas actualizaciones sobre las estafas más recientes.

Hoy en día, por desgracia, nunca se es demasiado precavido. O, como nos dice Carly Franks:

No tengo problemas de confianza; solo necesito validarla primero.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.