Qué es el phishing y por qué afecta especialmente a las pymes

El phishing es una técnica de ingeniería social que consiste en suplantar la identidad de una entidad de confianza —un banco, un proveedor, una administración pública o incluso un compañero de trabajo— para engañar al destinatario y obtener credenciales de acceso, datos bancarios o la instalación de software malicioso.

Las pequeñas empresas presentan una exposición particular por varias razones: los empleados suelen tener acceso a múltiples sistemas sin separación de privilegios, los procesos de verificación de identidad son menos formales que en grandes organizaciones, y la formación específica en ciberseguridad es menos habitual.

El INCIBE gestiona anualmente decenas de miles de incidentes de seguridad relacionados con phishing notificados por empresas y ciudadanos en España, lo que lo convierte en la amenaza con mayor volumen de casos activos en el país.

Tipos de phishing más frecuentes en entornos empresariales

Phishing por correo electrónico

La variante más extendida. El atacante envía un correo aparentemente legítimo que imita la identidad visual de un banco, Correos, la Agencia Tributaria, un proveedor conocido o un servicio en la nube como Microsoft 365 o Google Workspace. El objetivo es habitualmente que el receptor haga clic en un enlace y escriba sus credenciales en una página fraudulenta, o que abra un archivo adjunto que instala software malicioso.

Spear phishing

Variante personalizada dirigida a un individuo o empresa concretos. El atacante investiga previamente a la víctima —a través de LinkedIn, la web corporativa o redes sociales— para incluir detalles específicos que hacen más creíble el mensaje. Un ejemplo habitual: un correo que simula ser del responsable de la empresa solicitando una transferencia urgente a una cuenta nueva.

Smishing y vishing

El smishing utiliza SMS o mensajes de WhatsApp; el vishing, llamadas telefónicas. En el entorno empresarial, son frecuentes las llamadas que simulan ser del soporte técnico de un proveedor, solicitando acceso remoto al equipo o la verificación de credenciales.

Señales de alerta en correos electrónicos

Ninguna señal por sí sola es definitiva, pero la combinación de varias de las siguientes debe activar una verificación adicional antes de actuar:

  • Remitente con dominio incorrecto o similar: un correo de soporte@microsoft-365-ayuda.com no proviene de Microsoft. Los dominios muy similares al original pero con pequeñas diferencias (una letra cambiada, un guion añadido, una extensión distinta) son una señal habitual de suplantación.
  • Urgencia artificial: mensajes que exigen acción inmediata —"su cuenta será suspendida en 24 horas", "pago pendiente que vence hoy"— buscan reducir el tiempo de reflexión del receptor.
  • Solicitud de credenciales o datos bancarios: ninguna entidad legítima solicita contraseñas o datos de tarjeta por correo electrónico.
  • Archivo adjunto no esperado: especialmente en formatos ejecutables (.exe, .bat) o documentos Office con macros habilitadas.
  • Enlace cuya URL no coincide con el texto: al pasar el cursor sobre un enlace sin hacer clic, la barra de estado del navegador o cliente de correo muestra la URL real de destino.
  • Errores ortográficos o gramaticales inusuales: aunque los mensajes de phishing son cada vez más cuidados, los errores en el idioma siguen siendo un indicador frecuente.

Una práctica útil es verificar los enlaces copiando la URL y pegándola en un servicio como VirusTotal antes de acceder, especialmente si el mensaje genera cualquier duda.

Cómo verificar la autenticidad de un mensaje

Cuando un correo solicita una acción con impacto económico o de acceso —una transferencia, el cambio de una cuenta bancaria de proveedor, el acceso a un sistema interno— la verificación debe hacerse por un canal independiente del propio correo:

  • Llamar directamente al remitente al número de teléfono conocido de antemano (no al número que aparece en el correo sospechoso).
  • Acceder al servicio que supuestamente envió el mensaje a través de la URL habitual, no a través del enlace del correo.
  • Consultar con otro compañero o con el responsable antes de ejecutar una transferencia o proporcionar credenciales.

El protocolo de verificación de cambios de cuenta bancaria de proveedores merece especial atención: la suplantación del proveedor para redirigir pagos a una cuenta del atacante es una de las variantes más rentables para los delincuentes y una de las que causan mayores pérdidas en pymes.

Medidas técnicas de reducción de riesgo

Además de la formación del equipo, existen configuraciones técnicas que reducen la probabilidad de recibir correos de suplantación:

  • Registros SPF, DKIM y DMARC: estas configuraciones del dominio corporativo dificultan que terceros envíen correos utilizando el dominio de la empresa. También permiten que los servidores de los destinatarios detecten y descarten correos que suplantan el dominio propio.
  • Filtros antispam actualizados: los proveedores de correo como Microsoft 365, Google Workspace o servicios equivalentes incluyen filtros que bloquean automáticamente una parte de los mensajes fraudulentos.
  • Autenticación en dos factores en el correo corporativo: limita el daño en caso de que las credenciales queden expuestas.

Qué hacer si un empleado cae en un phishing

La rapidez de respuesta es determinante para limitar el daño. Si hay indicios de que un empleado ha introducido credenciales en un sitio fraudulento o ha abierto un archivo malicioso, los pasos inmediatos son:

  1. Cambiar de inmediato la contraseña de la cuenta comprometida desde un dispositivo no afectado.
  2. Cerrar todas las sesiones activas en el servicio afectado.
  3. Revisar los accesos recientes y los cambios de configuración realizados en la cuenta.
  4. Desconectar de la red el dispositivo que abrió el archivo sospechoso y contactar con soporte técnico antes de volver a usarlo.
  5. Notificar el incidente al INCIBE a través de su línea de ayuda (incibe.es/empresas/ayuda-empresas) o al número 017, disponible para empresas.

Si el incidente implica datos personales de clientes o empleados, la AEPD establece la obligación de notificar la brecha de seguridad en un plazo de 72 horas cuando exista riesgo para los derechos de los afectados.

Formación básica del equipo

La formación no necesita ser un programa extenso. Una sesión breve anual o semestral en la que se muestran ejemplos reales de correos fraudulentos, se explican las señales de alerta y se establece el procedimiento interno de notificación puede reducir significativamente el riesgo humano.

El INCIBE ofrece materiales de formación gratuitos para empresas, incluyendo guías adaptadas a pymes y kits de concienciación descargables desde su web.

Los contenidos de este artículo tienen carácter informativo general. Para una evaluación de los riesgos específicos de cada empresa o para gestionar un incidente activo, se recomienda contactar con el INCIBE (017) o con un profesional de ciberseguridad.