Phishing: cómo reconocer un correo fraudulento antes de hacer clic

El phishing sigue siendo el vector de ataque número uno en empresas de cualquier tamaño. Un solo clic en el enlace equivocado puede comprometer toda la red corporativa. Saber reconocer un correo fraudulento es la primera línea de defensa.

Señales de alerta inmediatas

• Remitente sospechoso: el dominio no coincide con la empresa que dice ser (p. ej. [email protected]).
• Urgencia artificial: "Tu cuenta será bloqueada en 24 horas". Los atacantes buscan que actúes sin pensar.
• Enlace que no coincide: pasa el cursor por encima del enlace sin hacer clic — la URL real aparece en la barra de estado del navegador.
• Archivos adjuntos inesperados: facturas, contratos o documentos que nadie te anunció.
• Errores ortográficos o de formato: una empresa legítima cuida su comunicación.

Tipos más comunes en 2025

Spear phishing: ataques dirigidos a una persona concreta con información personalizada (tu nombre, tu empresa, tu jefe). Mucho más convincentes que el phishing masivo.

Business Email Compromise (BEC): el atacante se hace pasar por el CEO o un proveedor para solicitar una transferencia urgente.

Smishing: la misma técnica pero por SMS, con un enlace a una web falsa de banco o empresa de paquetería.

¿Qué hacer si recibes uno?

1. No hagas clic en ningún enlace ni descargues adjuntos.
2. Reporta el correo a tu equipo de IT o responsable de seguridad.
3. Si ya hiciste clic, desconecta el equipo de la red y avisa inmediatamente.

La concienciación es la mejor vacuna. En Blindara incluimos simulaciones de phishing en nuestro servicio para que tu equipo aprenda a identificarlos sin riesgo real.

Reconocer el phishing es el primer paso. El segundo es detectar lo que ocurre después de un clic exitoso: accesos anómalos, movimiento lateral, cambios de configuración. Blindara monitoriza esos indicadores secundarios para contener el incidente antes de que se propague.