Cómo detectar phishing antes de que un empleado pique

Por qué el phishing sigue funcionando 20 años después

Porque ya no es el príncipe nigeriano. El phishing moderno es quirúrgico. Sabe tu nombre, el de tu jefe, a qué banco vas, qué proveedor de facturación usás. Un atacante con 30 minutos en LinkedIn y una búsqueda en Google puede armar un correo que parece más legítimo que los correos reales de tu equipo.

En 2025 vimos un caso donde un atacante se hizo pasar por el proveedor de nómina de una PyME, mandó un correo a la contadora con el logo correcto, el nombre de su contacto habitual, y una solicitud de cambio de cuenta bancaria para el siguiente pago. La contadora lo reenvió a la dueña: «¿autorizás?». La dueña autorizó. Perdieron 180 mil pesos. El correo tenía un dominio que era proveedor-nomina.com en vez de proveedornomina.com. Un guión de diferencia.

Las 5 señales que todo empleado debería revisar antes de hacer clic

1. El remitente real, no el nombre que se muestra. El nombre dice «Banorte Empresarial», pero si hacés clic en el nombre, el correo real es [email protected]. Ese dominio no es de Banorte. Enseñele a su equipo a revisar el correo real, no el nombre visible. Toma 3 segundos.
2. Urgencia falsa. «Su cuenta será suspendida en 24 horas», «El pago no se ha procesado — conteste ya», «El director necesita esto para hoy». El phishing se alimenta del apuro. Cualquier correo que intente hacerlo actuar sin pensar debería disparar una alarma. Enseñe la regla de los 5 minutos: si el correo pide algo urgente, espere 5 minutos y revíselo con calma.
3. Archivos adjuntos que no pidió. «Factura pendiente», «Estado de cuenta», «Demanda laboral» en PDF. El PDF malicioso sigue siendo el vector número uno en México. Abrir un PDF de un remitente desconocido puede comprometer toda la red. Si no esperaba ese archivo, no lo abra. Llame al remitente por teléfono para confirmar.
4. URLs disfrazadas. Pase el mouse sobre el enlace (sin hacer clic). Si dice https://www.banorte.com/empresarial/login pero la URL real que aparece abajo es http://bit.ly/3xK9mP2, es phishing. Los acortadores de URL no son malos per se, pero un banco, el SAT o un proveedor serio jamás los usa para comunicaciones oficiales.
5. Errores sutiles de idioma o diseño. «Estimado cliente, su cuenta ha sido comprometida. Por favor ingresar sus credenciales.» En México, los bancos no usan el infinitivo con ese tono, no dicen «ingresar sus credenciales» sin más contexto, y rara vez escriben «Estimado cliente» sin su nombre. Son detalles mínimos, pero consistentes.

Entrenar no es mandar un correo diciendo «cuidado con el phishing»

Una empresa nos contrató porque un empleado descargó un ransomware desde un PDF de phishing. Cuando preguntamos qué entrenamiento habían recibido, el gerente mostró un correo que había mandado él mismo seis meses antes. Decía: «Equipo, cuidado con correos sospechosos. No abran archivos de desconocidos. Gracias.» Eso no es entrenamiento. Eso es cubrirse las espaldas.

El entrenamiento efectivo es:

• Simulaciones reales. Contrate un servicio de simulación de phishing (KnowBe4, Hoxhunt, o hágalo manual con GoPhish que es open-source). Mande un correo falso a su equipo cada dos meses. Mida quién picó. No castigue — eduque.
• Feedback inmediato. El empleado que hizo clic en el enlace de simulación debe recibir una micro-capacitación en ese momento: «Esto era un simulacro. Mirá estas 3 señales que pasaste por alto.» Cinco minutos. Sin humillación. Sin lista negra.
• Ejemplos reales del sector. Si es una constructora, use ejemplos de phishing contra constructoras. Si es un despacho contable, use phishing contra contadores. Los ataques genéricos no convencen. Los ataques que parecen escritos por alguien que conoce su industria, sí.

Qué hacer cuando alguien ya picó

1. Que reporte inmediatamente. Sin miedo. Si el empleado tiene miedo de reportar porque cree que lo van a correr, va a esconder el incidente y va a ser mucho peor. La cultura de «reportá sin culpa» es la diferencia entre contener un incidente en 10 minutos o descubrirlo 3 semanas después.
2. Cambiar contraseñas de las cuentas potencialmente comprometidas desde otro equipo limpio. Todas. Incluyendo las que parecen no tener nada que ver.
3. Revisar reglas de correo. Un truco común: el atacante crea una regla en Outlook para borrar o desviar correos del banco o de clientes. Así opera sin ser detectado durante semanas.
4. Avisar al banco si hubo transferencia. Las primeras 4 horas son críticas para revertir una transferencia no autorizada en México. Después de 24 horas, las probabilidades de recuperación caen drásticamente.