El phishing es un tipo de fraude cuyo objetivo es obtener datos confidenciales de usuarios o empresas.
El phishing dirigido es un ataque planificado contra empleados clave de una empresa para robar datos corporativos, acceder a sistemas internos o interrumpir operaciones de infraestructura.
Tácticas de los estafadores:
- Investigación previa: analizan redes sociales, estructura organizacional y estilos de comunicación de la empresa.
- Suplantación de identidad: usan dominios similares para falsificar correos. Por ejemplo, lopez@companny.com en vez de lopez@company.com.
- Mensajes en chats: se hacen pasar por empleados usando fotos reales y mensajes de voz generados por IA.
- Archivos maliciosos: envían documentos infectados solicitando, por ejemplo, "actualizar un software".
- Páginas de inicio de sesión falsas: crean sitios web clonados para robar credenciales.
Phishing: qué es y cómo proteger a la empresa
Evalúa tu capacidad para detectar phishing. Responde estas 10 preguntas.
Pregunta 1. En una empresa con dominio @mycompany.com, recibes este correo. ¿Es phishing?
De: CEO@MYC0MPANY.COM
Para: Todos
Asunto: IMPORTANTE. URGENTE. Sobre bonificaciones
Hola equipo:
Como parte del nuevo sistema de bonificaciones, deben completar esta encuesta antes de hoy a las 11:00: HTTPS://ENCUESTA.MYC0MPANY.COM.
Saludos,
CEO de "My Company"
Respuesta
Es phishing. Indicadores:
- Remitente genérico sin detalles específicos.
- Dominio alterado (MYC0MPANY con cero en lugar de la letra "O").
- Enlace a un sitio web fraudulento.
Pregunta 2. Recibiste este correo. ¿Es phishing?
Hola,
En respuesta a tu presupuesto para electrodomésticos, completa el formulario de contratista (documento adjunto: card.pdf.exe) y envíalo por correo para continuar con nuestra colaboración.
Saludos,
"Nombre de la empresa"
Respuesta
Es phishing. Indicadores:
- Remitente genérico sin detalles específicos.
- Archivo adjunto con doble extensión (.pdf.exe). Extensiones como exe, scr, bat y vbs son potencialmente peligrosas.
Pregunta 3. Recibiste este correo. ¿Es phishing?
Hola,
Para nuestro evento corporativo, vota por el lugar. Otras empresas ya están reservando, completa la votación hoy mismo.
Enlace para votar: https://evento.miempresa.som
Respuesta
Es phishing. El dominio termina en ".som" en lugar del habitual ".com".
Pregunta 4. Recibiste este correo. ¿Es phishing?
De: helpdesk@helpdesk.com
Asunto: Actualización urgente de CRM
Hola equipo,
Error crítico en el CRM podría causar pérdida de datos. Descarga y ejecuta urgentemente la actualización (adjunto: update.exe).
Saludos,
Alejandra García
Especialista Líder de TI
garcia@mycompany.com
"My Company"
Respuesta
Es phishing. La dirección del remitente (@helpdesk.com) no coincide con el dominio corporativo (@mycompany.com).
Pregunta 5. ¿Qué correo es apropiado para comunicación laboral?
- @gmail.com
- Solo servicios corporativos
- Cualquier servicio, siempre que conozcas al destinatario
Respuesta
Para asuntos laborales, utiliza únicamente cuentas corporativas. Esto previene riesgos de seguridad y protege la información confidencial de la empresa.
Pregunta 6. Selecciona las señales de un correo fraudulento:
- Urgencia excesiva para realizar una acción
- Saludo impersonal sin datos específicos
- Enlaces con caracteres sustituidos, como "0" en lugar de "O",
- Archivos adjuntos con extensión .exe
Respuesta
Todas estas características son indicios claros de un intento de phishing.
Pregunta 7. ¿Es legítima esta dirección web: https://googlediscover.com.xyz?
Respuesta
No es legítima. El dominio adicional ".xyz" después de ".com" es sospechoso. Verifica siempre la autenticidad de los sitios web usando servicios WHOIS:
https://www.nic.com/whois/
https://who.is/
https://www.whois.com/
Pregunta 8. ¿Es segura esta dirección web: http://205.0.112.45?
Respuesta
Esta dirección presenta riesgos porque:
- Usa una dirección IP directa en lugar de un dominio legítimo.
- Carece de cifrado SSL (falta la 's' en http).
Pregunta 9. Recibiste este mensaje urgente
Hola, no logro contactar a tu gerente Juan. Es prioritario pagar la factura por los equipos. Adjunto: invoice.pdf.
Saludos,
Alejandra García
garcia@mycompany.com
+1234567890
CEO de "My Company"
¿Cómo debes proceder?
- Contactar directamente a tu gerente para verificar. No actuar hasta confirmación. Reportar al Departamento de Seguridad si es phishing.
- Las urgencias de gerencia deben atenderse inmediatamente; la verificación de phishing es responsabilidad del Departamento de Seguridad.
- Cumplir las instrucciones pero informar simultáneamente a tu gerente.
Respuesta
La opción 1 es la adecuada. Ante correos sospechosos:
- No cedas ante la urgencia - es una táctica común.
- Verifica identidad del remitente: dominio, nombre y estilo del correo.
- Consulta con colegas o superiores si algo parece sospechoso.
La seguridad corporativa es responsabilidad de todos.
Pregunta 10. Un amigo te envió un archivo personal a tu laptop de trabajo. Tú:
- Lo llamaste para confirmar
- Verificaste la extensión del archivo
- Lo escaneaste con antivirus
- Finalmente lo abriste
¿Fue el procedimiento correcto?
Respuesta
No es correcto. Aunque tomaste precauciones:
- Los dispositivos laborales deben usarse solo para trabajo.
- Evita mezclar archivos personales con equipos corporativos.
Para proteger los datos de la empresa:
- Usa dispositivos personales para contenido personal.
- Mantén separados los ámbitos laboral y personal.