Cada día se envían más de 3,400 millones de correos fraudulentos en el mundo. Aprende a identificarlos, proteger tu bandeja de entrada y blindar la seguridad digital de tu empresa.
El término phishing viene de la palabra inglesa "fishing" (pescar), y la analogía es perfecta: los ciberdelincuentes lanzan un "anzuelo" disfrazado de comunicación legítima —un banco, una plataforma de pago, tu proveedor de software— esperando que alguien muerda.
El objetivo es siempre el mismo: obtener información sensible. Contraseñas, datos bancarios, acceso a correos corporativos, credenciales de servicios en la nube. Una vez que lo consiguen, el daño puede ser enorme, desde pérdidas económicas directas hasta comprometer toda la infraestructura digital de una empresa.
Lo que hace especialmente peligroso al phishing es que no explota vulnerabilidades técnicas, sino vulnerabilidades humanas: la urgencia, la confianza, el miedo. Por eso ningún antivirus es suficiente por sí solo.
Dirección de remitente sospechosa
El nombre puede decir "Banco BBVA" pero la dirección real termina en @bbva-soporte.net o algo similar. Siempre haz clic en el nombre del remitente para ver el dominio completo.
Urgencia exagerada
"Tu cuenta será suspendida en 24 horas", "Acción requerida inmediatamente". La presión de tiempo es una táctica clásica para impedir que pienses con calma antes de actuar.
Pasa el cursor sobre el link antes de hacer clic. Si la URL real no corresponde a la empresa que dice ser, es una señal clara.
Busca dominios con errores sutiles:
Paypał.com,
¿Notaste los errores???
Archivos adjuntos inesperados
Facturas, contratos o recibos que no esperabas. Especialmente peligrosos en formatos .exe, .zip, .docm o .xlsm que pueden contener macros maliciosas.
Errores de redacción
Aunque cada vez menos frecuentes gracias a la IA, traducciones extrañas, ortografía deficiente o frases incoherentes siguen siendo una señal de alerta válida.
Solicitud de datos sensibles
Ninguna empresa legítima te pedirá contraseñas, números de tarjeta completos o códigos de verificación por correo electrónico. Ninguna. Jamás.
Correos simulando ser del SAT con asunto "Notificación de auditoría fiscal" o "Factura pendiente de validación", con archivos adjuntos .xml o .pdf que en realidad instalan malware al abrirse.
Anatomía de un correo de phishing
A continuación, un ejemplo típico de un correo fraudulento que intenta suplantar a una institución bancaria. Cada señal marcada en naranja es una bandera roja que debería detenerte.
Este correo parece creíble a primera vista, pero tiene cuatro señales de alarma evidentes. Un banco real nunca te pedirá verificar tu cuenta por email con un plazo de horas.
La tecnología ayuda, pero la primera línea de defensa siempre eres tú y tu equipo. Aquí las medidas concretas, ordenadas por impacto, que marcan la verdadera diferencia.
✓ Activa la autenticación en dos pasos (2FA) en todas tus cuentas críticas: correo, banca en línea, accesos a servidores y paneles de administración. Es la medida individual con mejor relación esfuerzo-protección que existe.
✓ Usa contraseñas únicas para cada servicio. Un gestor de contraseñas como Bitwarden (gratuito y de código abierto) o 1Password elimina la excusa de "no puedo memorizar tantas contraseñas diferentes".
✓ Verifica siempre el dominio del remitente, no solo el nombre visible que aparece en la bandeja. Haz clic en el nombre del remitente para expandir y ver la dirección de correo completa antes de responder o hacer clic en cualquier enlace.
✓ Configura registros SPF, DKIM y DMARC en el dominio de tu empresa. Estos protocolos de autenticación de correo dificultan significativamente que terceros envíen correos haciéndose pasar por tu organización.
✓ Capacita a tu equipo de manera regular. El eslabón más débil en ciberseguridad siempre es humano. Un taller o ejercicio de simulación al año puede reducir drásticamente la probabilidad de un incidente real.
✓ Activa los filtros antiphishing avanzados en tu cliente de correo corporativo. Google Workspace, Microsoft 365 y la mayoría de proveedores empresariales tienen opciones de seguridad avanzada que vale la pena revisar y activar.
✓Establece un protocolo para transferencias bancarias. Cualquier pago o transferencia solicitada por correo debe verificarse por teléfono con la persona que la solicita antes de ejecutarse, sin excepciones, sin importar el cargo del remitente.
Las herramientas técnicas fallan si el factor humano no está actualizado. Súmate a la cultura de la prevención digital con los análisis y recomendaciones que compartimos en el blog de LunAvalos.
