Cómo proteger el correo electrónico de los ataques de phishing

¿Qué es el phishing?

El phishing es una forma de ciberataque en la que el atacante intenta engañar a la víctima para que revele información sensible, como contraseñas, números de tarjeta de crédito o datos personales. El atacante se hace pasar por una organización o persona de confianza mediante correo electrónico, SMS o una página web falsa.

Según los informes, el phishing está detrás de más del 90 % de todos los ciberataques. En España son especialmente frecuentes los ataques que suplantan a bancos, a la Agencia Tributaria, a empresas de mensajería y a servicios online populares. Cualquier empresa, sea cual sea su tamaño, puede ser un objetivo de phishing. Una cuenta de correo profesional con la autenticación adecuada es la primera línea de defensa.

Tipos de ataques de phishing

Phishing por correo electrónico

La forma más habitual de phishing. El atacante envía correos masivos que aparentan proceder de una organización legítima. El correo suele contener un enlace a una página web falsa idéntica a la real, o un archivo adjunto infectado.

Spear phishing

Un ataque dirigido a una persona u organización concreta. El atacante investiga a la víctima a través de las redes sociales y de datos públicos, y después elabora un correo personalizado que resulta muy convincente. Es mucho más peligroso que el phishing masivo porque es más difícil de detectar.

Whaling

Un subtipo de spear phishing dirigido a directivos de alto nivel (CEO, CFO, directores). Los correos a menudo suplantan documentos legales, declaraciones fiscales o solicitudes urgentes de transferencia de dinero.

Business Email Compromise (BEC)

El atacante compromete o suplanta el correo de un empleado (normalmente de un directivo) y envía a otros empleados solicitudes de transferencias de dinero o de datos sensibles. Los ataques BEC son extremadamente rentables para los atacantes: el daño medio supera los 100.000 $ por ataque.

Smishing y vishing

El smishing utiliza mensajes SMS y el vishing utiliza llamadas telefónicas para engañar. En España son habituales los mensajes SMS que suplantan a empresas de mensajería y exigen el pago de «gastos de entrega adicionales».

Cómo reconocer un correo de phishing

Varias señales indican que un correo puede ser un intento de phishing. Presta atención a lo siguiente antes de hacer clic en cualquier enlace o de abrir un adjunto.

• Dirección del remitente sospechosa: comprueba la dirección de correo exacta, no solo el nombre del remitente. Los atacantes usan direcciones como «soporte@banco-de-espana.com» en lugar del dominio real del banco.
• Urgencia y amenazas: «Tu cuenta se bloqueará en 24 horas» o «Confirma tus datos con urgencia» son tácticas clásicas de phishing.
• Errores gramaticales: las organizaciones profesionales cuentan con correctores. Numerosos errores gramaticales y frases extrañas son señales de alarma.
• Saludo genérico: «Estimado cliente» en lugar de tu nombre; las organizaciones legítimas suelen dirigirse a ti por tu nombre.
• Enlaces sospechosos: pasa el ratón por encima del enlace (¡sin hacer clic!) para ver la URL real. Si difiere de lo que esperas, no hagas clic.
• Adjuntos inesperados: nunca abras adjuntos que no esperabas, especialmente archivos .exe, .zip o .doc con macros.
• Solicitud de datos sensibles: ninguna organización legítima te pedirá una contraseña, un PIN o un número de tarjeta por correo electrónico.

Protección técnica: SPF, DKIM y DMARC

SPF, DKIM y DMARC son tres protocolos complementarios que, en conjunto, ofrecen una protección sólida frente a la suplantación de correo (email spoofing), la técnica que usan los atacantes para enviar correos con una dirección de remitente falsa.

SPF (Sender Policy Framework)

SPF permite al propietario del dominio definir qué servidores están autorizados a enviar correos en nombre de ese dominio. El servidor receptor comprueba el registro SPF en el DNS y rechaza los correos procedentes de servidores no autorizados.

Un registro SPF en el DNS tiene este aspecto: v=spf1 include:_spf.google.com include:mail.beohosting.com -all. Este registro indica que solo los servidores de correo de Google y de BeoHosting están autorizados a enviar correos desde tu dominio. La etiqueta «-all» del final significa que todos los demás deben rechazarse.

DKIM (DomainKeys Identified Mail)

DKIM añade una firma digital a cada correo que envías. El servidor receptor utiliza la clave pública publicada en el DNS para verificar que el correo no se ha modificado en tránsito y que realmente procede de tu dominio.

DKIM emplea criptografía asimétrica: una clave privada en tu servidor de correo firma cada mensaje, y la clave pública del DNS permite la verificación. Sin una firma válida, el correo se marcará como sospechoso.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC es una mejora sobre SPF y DKIM que indica al servidor receptor qué hacer con los correos que no superan las comprobaciones de SPF/DKIM. DMARC también proporciona informes sobre los intentos de abuso de tu dominio.

• p=none: solo monitorización; no afecta a la entrega, pero envía informes. Úsalo al principio para ver qué está ocurriendo.
• p=quarantine: los correos que no superan las comprobaciones van a la carpeta de spam. El nivel recomendado para la mayoría de los sitios.
• p=reject: los correos que no superan las comprobaciones se rechazan por completo. El ajuste más estricto para una protección máxima.

La recomendación es empezar con p=none, monitorizar los informes durante un mes y, después, pasar a p=quarantine y, finalmente, a p=reject. Así evitarás bloquear correos legítimos por accidente.

Formación de los empleados

La protección técnica es solo una cara de la moneda. El factor humano sigue siendo el eslabón más débil de la cadena de seguridad. La formación periódica de los empleados es clave para protegerse del phishing.

Elementos de un programa de formación

• Pruebas de phishing simuladas: envía periódicamente correos de phishing de prueba a los empleados y haz seguimiento de quién hace clic. Herramientas como KnowBe4 o Gophish automatizan este proceso.
• Talleres periódicos: talleres trimestrales con ejemplos de ataques de phishing actuales. Muestra ejemplos reales de ataques dirigidos a tu sector.
• Procedimientos claros: define el procedimiento para notificar correos sospechosos. Los empleados deben saber a quién dirigirse y qué hacer.
• Autenticación de dos factores: 2FA obligatorio para todas las cuentas profesionales. Aunque un atacante consiga la contraseña, no podrá acceder a la cuenta sin el segundo factor.
• Gestor de contraseñas: usa gestores de contraseñas como Bitwarden o 1Password para crear contraseñas únicas y robustas para cada cuenta.

Qué hacer si eres víctima de phishing

• Cambia las contraseñas de inmediato: la de la cuenta comprometida y la de todas las demás cuentas en las que uses la misma contraseña.
• Avisa al equipo de TI: notifica el incidente de inmediato; el tiempo es crítico para limitar los daños.
• Revisa las transacciones bancarias: si introdujiste datos financieros, contacta con el banco y bloquea la tarjeta.
• Analiza tu ordenador: ejecuta un análisis completo con el antivirus si abriste un adjunto sospechoso.
• Documenta el incidente: guarda el correo de phishing, las capturas de pantalla y todos los detalles relevantes para una investigación posterior.
• Denuncia el ataque: informa del intento de phishing al INCIBE-CERT (incibe.es) y al proveedor de hosting del sitio falso.

Conclusión

Los ataques de phishing son cada vez más sofisticados y difíciles de reconocer. La combinación de protección técnica (SPF, DKIM, DMARC), formación de los empleados y procedimientos claros es el único enfoque eficaz. Configura SPF, DKIM y DMARC para tu dominio mediante la configuración de los registros DNS, forma a los empleados para que reconozcan los correos sospechosos y construye una cultura de seguridad en la que todos sean responsables de proteger la empresa frente a las ciberamenazas.