Regresar

Phishing en empresas: ejemplos reales, señales de alerta y cómo blindar tu correo (guía completa)





Por qué el phishing sigue siendo el “punto de entrada” más común

En la mayoría de organizaciones, el atacante no “rompe” un firewall primero: entra por identidad. Email + credenciales robadas + suplantación (impersonation) siguen apareciendo de forma consistente en reportes de incidentes y brechas. Verizon, por ejemplo, continúa destacando el peso de credenciales robadas y de tácticas como phishing/pretexting en patrones de intrusión.

Además, el impacto económico del fraude digital crece: el FBI IC3 reportó pérdidas anuales por crimen en internet que superan los USD 16 mil millones (reporte anual más reciente).

1) Qué es phishing (y sus variantes que más afectan a empresas)

Phishing es cualquier intento de engaño para que una persona:

  • entregue credenciales (usuario/contraseña, códigos MFA),
  • realice un pago/cambio de cuenta,
  • descargue un archivo o habilite acceso,
  • o revele información sensible.

Variantes más comunes en entornos corporativos:

  1. Spearphishing: dirigido (usa nombres, cargos, proyectos, proveedores reales).
  2. BEC (Business Email Compromise): fraude con suplantación de ejecutivos/proveedores para pagos o cambio de cuenta. IC3 mantiene alertas y reportes específicos sobre BEC por su escala de pérdidas.
  3. Smishing/Vishing: SMS o llamadas con “soporte TI”, “banco”, “paquetería”.
  4. Quishing (QR phishing): QR en correos para saltar filtros y llevar a páginas falsas (muy visto contra Microsoft 365).

2) Cómo se ve el phishing “real” hoy (5 escenarios típicos)

Escenario A — “Tu Microsoft 365 caducó / actividad inusual”

  • Objetivo: robar credenciales en una pantalla de login clonada.
  • Señal: urgencia, link acortado, dominio raro, o QR.

Escenario B — “Documento compartido” (OneDrive/SharePoint falso)

  • Objetivo: credenciales + token de sesión (para evadir MFA débil).
  • Señal: “ver documento” lleva a un dominio externo.

Escenario C — “Factura / Orden de compra” (adjunto malicioso)

  • Objetivo: ejecutar malware o robar credenciales mediante HTML/ZIP/archivos con ingeniería social.
  • Señal: adjunto inesperado, extensión rara, o “habilitar contenido”.

Escenario D — Suplantación de CEO/Finanzas (BEC)

  • Objetivo: transferencia urgente, gift cards, cambio de cuenta bancaria.
  • Señal: “confidencial”, “no llames”, “hazlo hoy”, ruptura del proceso normal.

Escenario E — “Restablecer contraseña / verificación MFA”

  • Objetivo: que el usuario apruebe un prompt de MFA (fatiga MFA) o entregue un código.
  • Señal: mensajes repetidos de aprobación o “soporte” pidiendo códigos.

3) Señales de alerta: checklist operativo (en 20 segundos)

CISA recomienda enfocarse en señales simples y “higiene” de verificación antes de interactuar con enlaces o adjuntos.

Validación rápida:

  • Dominio y “Reply-To”: ¿coinciden? ¿es el dominio real?
  • Urgencia + amenaza: “último aviso”, “bloqueo”, “pago hoy”.
  • Link real: pasá el mouse (desktop) y verificá si el dominio es legítimo.
  • Adjuntos: si no lo esperabas, confirmá por otro canal.
  • Solicitud fuera de proceso: pagos, cambio de cuenta, credenciales, accesos.

Regla práctica para Finanzas/RRHH/Compras:
Si involucra dinero, datos personales o credenciales: doble validación por canal alternativo (llamada a número conocido, no al que viene en el correo).

4) Por qué los controles “clásicos” fallan (y qué cambia en 2026)

  • Los atacantes copian marcas y páginas de login casi perfectas.
  • Usa ninfraestructura desechable (dominios por horas/días).
  • Mueven el engaño al móvil (QR / links pensados para celular).
  • Apuntan a procesos (pagos, alta de proveedores, cambio de CBU/IBAN), no solo a TI.

Conclusión: necesitas defensa en capas identidad + email + proceso.

5) Cómo blindar el correo corporativo (medidas concretas y priorizadas)

Capa 1 — Identidad: evitar robo y abuso de credenciales

  1. MFA robusta (ideal: resistente a phishing, p. ej. FIDO2/Passkeys donde aplique)
  2. Acceso Condicional / Zero Trust: bloquear logins anómalos (países, riesgo, dispositivos no gestionados).
  3. Eliminar autenticación heredada (legacy auth) si existe (suele ser objetivo).

(Esto reduce el daño aunque el usuario “pique”.)

Capa 2 — Email security en Microsoft 365: anti-phishing “de verdad”

Si trabajan con Microsoft 365, la configuración correcta de políticas anti-phishing hace una diferencia material. Microsoft documenta que las políticas anti-phishing (y Defender for Office 365, si está licenciado) permiten protecciones avanzadas como impersonation protection, inteligencia de mailbox y acciones automáticas.

Qué configurar sí o sí:

  • Protección contra suplantación (impersonation) de:
    • usuarios
           clave (CEO, Finanzas, RRHH),
    • dominios
           críticos (bancos, proveedores frecuentes).
  • Acciones automáticas: cuarentena/bloqueo + alertas.
  • Políticas “preset” (Standard/Strict) donde aplique y luego ajuste fino.

Capa 3 — Autenticación del dominio: SPF, DKIM y DMARC

Esta triada ayuda a reducir spoofing directo (cuando “falsifican” tu dominio). Implementarla correctamente:

  • baja suplantación a clientes/proveedores,
  • mejora entregabilidad legítima,
  • y facilita enforcement (reject/quarantine) con DMARC.

Capa 4: Procesos (la protección que evita fraudes aunque el correo “parezca real”)

Esto es importante: muchos fraudes no ocurren porque “hackearon el sistema”, sino porque alguien recibió un correo convincente y hizo una acción (pagar, cambiar una cuenta, enviar información).

El atacante suele hacerse pasar por:

  • tu gerente / tu CEO,
  • el área de Finanzas,
  • o un proveedor real (con un correo parecido).

El objetivo casi siempre es uno de estos:

  • que pagues una factura “urgente”,
  • que cambies el número de cuenta donde se paga,
  • o que envíes información sensible.

Cómo se ve en la vida real (ejemplos)

  • “Hola, soy el proveedor. Cambiamos de banco. Te paso la nueva cuenta para los próximos pagos.”
  • “Necesito que hagas esta transferencia hoy. Es confidencial, no lo escales.”
  • “Te adjunto la factura. Por favor confirmar pago antes de las 5 pm.”

Y el problema no es el correo en sí: el problema es que, si la empresa no tiene reglas claras, alguien puede pagar con solo leer un email.

4 reglas simples que reducen muchísimo el riesgo

Estas reglas son fáciles y no requieren tecnología avanzada:

  1. Si te piden cambiar una cuenta bancaria, no se confirma por correo
    Confirmalo por llamada o mensaje a un contacto que ya tengas guardado (no el número que viene en ese correo).
  2. Pagos urgentes o montos altos: siempre doble validación
        Que lo aprueben dos personas o que exista un “ok” formal del área responsable.
  3. Si te piden “no llames” o “no lo compartas”: sospecha
    Esa es una frase típica de los fraudes: buscan que actúes rápido y en silencio.
  4. Si el pedido sale de lo normal, frena 2 minutos y verifica
        No es desconfianza: es un hábito sano. Muchas empresas evitan pérdidas enormes solo por confirmar “¿esto lo pediste vos?”.

En resumen: aunque el correo sea muy convincente, un proceso simple de verificación evita que se convierta en fraude.

Capa 5: Personas (hábitos simples que ayudan a todo el equipo)

No se trata de “cursos largos”. Se trata de instalar 3 hábitos fáciles que el equipo pueda repetir:

1) Mira el correo completo (no solo el nombre)

A veces el nombre dice “Finanzas” pero el correo real es raro o muy parecido al original.

2) Desconfía cuando te apuran

El phishing casi siempre mete presión:

  • “último aviso”
  • “hoy mismo”
  • “bloqueo inmediato”
  • “urgente”

La urgencia es parte del engaño.

3) Si algo no cierra, confirma por otro canal

Si te piden algo sensible (pagos, contraseñas, datos, accesos), confirmalo por:

  • una llamada,
  • WhatsApp a un número ya conocido,
  • o mensaje interno a la persona real.

Qué hacer si alguien hizo clic (sin pánico, pero rápido)

A veces pasa. Lo importante es actuar rápido.

Si alguien hizo clic en un link o ingresó su contraseña

  1. Avisar de inmediato a TI o al responsable (aunque dé vergüenza)
  2. Cambiar la contraseña lo antes posible
  3. Revisar si llegaron más correos similares (para avisar al resto y evitar más clics)

Si alguien descargó un archivo raro

  1. No abrirlo más
  2. Avisar a TI para que revisen el equipo

Idea clave: reportar rápido suele evitar que el incidente crezca.

8) Cómo NAS puede ayudarte (enfoque práctico)

En NAS normalmente abordamos phishing con un paquete de acciones combinadas:

  • hardening de Microsoft 365 / políticas anti-phishing (y suplantación)
  • refuerzo de identidad (MFA y control de acceso),
  • mejoras de proceso para pagos/proveedores (anti-BEC),
  • concientización breve y continua orientada a conducta.


¿Por qué elegir FactusRH?

FactusRH no es solo una herramienta de gestión, es un socio estratégico que transforma la manera en que gestionas tu capital humano. Con nuestra solución, obtendrás automatización, cumplimiento de normativas laborales, y una experiencia de usuario intuitiva. En toda América Latina, FactusRH está ayudando a empresas a mejorar la productividad, reducir costos y cuidar a su equipo. Descubre cómo FactusRH puede llevar la gestión de tu empresa al siguiente nivel. FactusRH es un software de nómina y RRHH en un cohete espacial 🚀

Acércate a nosotros


Agenda una Demo
Whitepaper
Computadora mostrando la pantalla principal de FactusRH software de nómina y Recursos Humanos
Utilizamos cookies
Preferencias de las cookies
A continuación, encontrará información sobre los propósitos para los cuales nosotros y nuestros socios utilizamos cookies y procesamos datos. Puede establecer sus preferencias para el procesamiento y/o consultar más información en los sitios web de nuestros socios.
Cookies analíticas Desactivar todo
Cookies funcionales
Otras cookies
He leído y acepto la política de privacidad. | I have read and agree to the privacy policy. Obtener más información sobre nuestra política de cookies.
Aceptar todo Rechazar todo Cambiar las preferencias
Cookies