defensiva
phishing
concienciación
MFA

Cómo evitar el phishing: guía práctica 2026 para empresas

Cómo evitar el phishing en 2026: señales para reconocerlo, medidas técnicas (MFA, DMARC, filtro de correo) y plan de respuesta si has caído en uno.

Secra16 de mayo de 202613 min de lectura

El phishing sigue siendo en 2026 la puerta de entrada más usada en incidentes de ciberseguridad. El Verizon Data Breach Investigations Report 2024 lo sitúa como vector inicial en una proporción muy alta de las brechas con elemento humano (en torno al 68-74% según el corte considerado). Saber cómo evitar el phishing combina tres planos: señales que reconocer, medidas técnicas que el equipo de seguridad despliega y procesos que la organización entrena. Esta guía recoge lo que de verdad funciona: las señales operativas para identificar un correo sospechoso, las defensas técnicas (MFA, DMARC, filtros de correo con sandboxing, EDR), el plan de respuesta si alguien ha caído y los errores que vuelven inefectiva una campaña de concienciación. Está pensada para usuarios y para responsables de seguridad en PYME y midmarket.

Si buscas el panorama completo de variantes (spear phishing, whaling, smishing, vishing, BEC), está en tipos de phishing. Aquí entramos directos al cómo evitarlo.

Qué es el phishing en 30 segundos

El phishing es un ataque de ingeniería social en el que un atacante se hace pasar por una entidad legítima (banco, proveedor, jefe, plataforma) para que la víctima revele credenciales, ejecute un archivo malicioso, autorice una operación o haga clic en un enlace que da al atacante lo que necesita. Llega típicamente por correo, pero también por SMS (smishing), llamadas (vishing), mensajería (WhatsApp, Teams, Slack) y redes sociales.

El objetivo del atacante no es siempre el dinero directo: muy a menudo busca una cuenta corporativa válida para usarla como pivote hacia ataques mayores (ransomware, fraude del CEO, exfiltración).

10 señales para reconocer un correo de phishing

Las señales que aparecen en cualquier training serio no son trucos absolutos, pero acertando en la mitad ya se eliminan casi todos los falsos positivos.

  1. Remitente inesperado o disonante. Un proveedor con el que no trabajas, un banco que no es el tuyo, un servicio que nunca te escribe.
  2. Dirección de remite distinta del nombre mostrado. El nombre dice "Soporte Microsoft", la dirección real es soporte@account-microsoft-secure.com. Mira siempre la dirección, no el nombre.
  3. Dominios parecidos pero no idénticos. m1crosoft.com, paypa1.com, secra.es.security-update.net. El truco del dominio sustituyendo letras o usando subdominios largos es de los más explotados.
  4. Urgencia artificial. "Tu cuenta se bloqueará en 24h", "Última oportunidad", "Acción inmediata requerida". La urgencia neutraliza el pensamiento crítico, por eso el atacante la fuerza.
  5. Petición de credenciales o de datos sensibles. Los servicios legítimos no piden contraseñas por correo, casi nunca DNI, nunca códigos MFA.
  6. Enlaces que apuntan a destinos distintos del texto visible. Pasa el ratón por encima sin hacer clic: si el destino real (esquina inferior del navegador o del cliente de correo) no coincide con lo que muestra el enlace, sospecha.
  7. Adjuntos inesperados. ZIP, ISO, IMG, archivos comprimidos con extensiones poco habituales o documentos que piden "habilitar macros" o "habilitar contenido". Vector clásico de Emotet y de sus sucesores.
  8. Lenguaje raro. Faltas de ortografía graves, tono extraño, frases mal montadas, mezcla de idiomas. La IA generativa ha hecho que esto baje en frecuencia, pero sigue apareciendo en campañas de baja gama.
  9. Saludo genérico. "Estimado cliente", "Dear customer". Servicios serios suelen personalizar.
  10. Disonancia con tu actividad real. Una factura de algo que no compraste, una entrega que no esperabas, un reset de contraseña que no pediste. Lo más eficaz contra el phishing dirigido es conocer tu propia normalidad.

Un solo punto sospechoso no convierte un correo en phishing; tres o cuatro juntos sí. Lo decisivo es parar y verificar por canal alternativo antes de actuar.

Medidas técnicas: lo que debe estar en marcha en una empresa

La concienciación humana es la mitad del trabajo. La otra mitad es técnica y depende del equipo de seguridad y TI.

MFA en todas las cuentas

Es la medida con mejor relación coste/impacto de toda la lista. Un correo de phishing que captura usuario y contraseña pierde valor inmediato si la cuenta exige un segundo factor. Conviene combinar:

  • MFA fuerte (apps autenticadoras, passkeys, llaves FIDO2) en cuentas privilegiadas.
  • MFA estándar (apps autenticadoras o SMS como mínimo, aunque SMS es débil) en todas las demás.
  • Conditional Access o equivalentes que añadan controles de contexto (ubicación, dispositivo, riesgo).

La MFA por SMS bloquea a la mayoría de atacantes oportunistas pero no protege contra SIM swapping ni adversary in the middle moderno. En cuentas de directivos, finanzas, administración cloud y servicios críticos, MFA fuerte es innegociable.

DMARC, DKIM y SPF correctamente configurados

Estos tres protocolos son la defensa a nivel de dominio que evita que un atacante envíe correos suplantando tu dominio o que tú recibas suplantaciones de dominios bien configurados.

  • SPF: declara qué servidores pueden enviar correo en tu nombre.
  • DKIM: firma los correos salientes con una clave pública publicada en DNS.
  • DMARC: política sobre qué hacer cuando un correo falla SPF/DKIM (p=none, p=quarantine, p=reject).

La configuración objetiva es DMARC en p=reject con SPF y DKIM correctos para todos los servicios que envían correo en tu nombre (Microsoft 365, Google Workspace, plataformas de marketing, CRM, herramientas de soporte). Sin esto, un atacante puede enviar correos desde@tudominio.es con credibilidad casi total.

Filtro de correo con sandboxing

El filtro nativo de Microsoft 365 o Google Workspace bloquea el grueso de campañas masivas. Para una defensa más sólida conviene:

  • Sandboxing de adjuntos: detonar archivos en entorno aislado antes de entregarlos al buzón.
  • Reescritura de URLs: cambiar los enlaces para validarlos en el momento del clic, no en el momento de la entrega (los atacantes activan el dominio malicioso justo después de enviar).
  • Detección de impostor: reglas que detectan suplantación de remitentes (display name spoofing, dominios similares, typosquatting).

Soluciones habituales: Microsoft Defender for Office 365, Google Workspace con add-ons, Proofpoint, Mimecast, Avanan, Abnormal Security.

EDR / XDR en endpoints

Si el correo malicioso llega y la víctima abre el adjunto, el EDR es la última oportunidad técnica antes del compromiso. La detección por comportamiento bloquea ejecuciones sospechosas, aísla el endpoint y notifica al SOC. Sin EDR, un macro malicioso ejecuta sin oposición.

Web filtering y DNS protegido

Filtros que bloquean dominios sospechosos en el momento del clic. Tienen dos beneficios: paran al usuario que ya hizo clic y reducen ruido al SOC. Soluciones habituales: Cisco Umbrella, Cloudflare Gateway, Zscaler, Microsoft Defender for Cloud Apps, controles nativos de M365 y Google Workspace.

Detección de credenciales en infostealers y leaks

Las credenciales corporativas que filtran infostealers (analizados en tipos de virus informáticos) terminan en mercados underground y se usan para credential stuffing y para phishing dirigido. Plataformas de threat intelligence avisan cuando aparecen correos corporativos en leaks recientes y permiten forzar reseteo proactivo.

Formación y simulaciones: el factor humano

Ninguna técnica reemplaza un equipo entrenado. Y ningún entrenamiento aislado funciona; lo que funciona son programas continuos.

Lo que sí funciona

  • Sesiones cortas y frecuentes (15-30 minutos, mensuales o trimestrales) en lugar de un workshop anual de 4 horas.
  • Casos reales del sector y de la propia organización, no ejemplos genéricos.
  • Simulaciones periódicas de phishing con escenarios realistas y dificultad creciente.
  • Feedback constructivo, no punitivo. Quien hace clic recibe una pieza formativa, no una bronca.
  • Métricas que se publican (tasa de clic, tasa de reporte, tiempo medio de reporte) y que se discuten en comité.

Lo que casi no aporta

  • Posters en la pared y vídeos largos obligatorios sin seguimiento.
  • Simulaciones triviales que todos detectan: si la tasa de clic es 1%, las simulaciones no están entrenando nada nuevo.
  • Castigos individuales por caer en simulaciones difíciles: rompe la cultura de reporte rápido, que es lo más valioso del programa.

El objetivo realista no es tasa de clic cero (imposible y caro), sino tasa de reporte alta y tiempo de reporte bajo: que cuando alguien caiga, el siguiente correo idéntico se reporte en minutos, no en horas.

Plan de respuesta: qué hacer si has caído en un phishing

Ocho pasos en orden estricto. Cuanto antes se ejecuten, menos daño causa el incidente.

  1. No te avergüences, reporta inmediatamente. El reporte rápido vale más que evitar el clic.
  2. Cambia la contraseña afectada y de cualquier servicio que comparta esa contraseña (mala práctica que conviene erradicar con un gestor de contraseñas).
  3. Revoca sesiones activas de la cuenta comprometida. En Microsoft 365 y Google Workspace, el panel de administración permite forzar sign-out global.
  4. Verifica MFA: si la activaste recientemente o el atacante pudo añadir un segundo factor propio, revisa los métodos registrados y elimina los que no reconoces.
  5. Aísla el equipo si descargaste un adjunto o si la web pidió ejecutar algo. Sin apagarlo: apagar destruye evidencia en memoria, aislar de red la conserva.
  6. Notifica al equipo de seguridad o al MDR contratado con la información del correo, hora del clic, qué se introdujo y desde qué equipo.
  7. Revisa reglas de buzón: los atacantes que comprometen cuentas suelen crear reglas de reenvío automáticas para exfiltrar correo. Comprobar y eliminar.
  8. Revisa registros de actividad de la cuenta en las últimas horas: logins desde IPs raras, descargas masivas, cambios de configuración, autorizaciones OAuth nuevas.

En incidentes con sospecha de compromiso real, el siguiente paso es DFIR profesional para reconstruir el alcance.

Variantes de phishing que conviene reconocer

El phishing genérico es solo una parte. Las variantes dirigidas son las que más daño hacen:

  • Spear phishing: dirigido a una persona o equipo concreto con información personalizada (nombre, cargo, contexto).
  • Whaling: spear phishing dirigido a directivos. Suele combinar con suplantación de proveedores o de altos cargos.
  • BEC (Business Email Compromise): el atacante compromete o suplanta un correo corporativo de alto cargo para autorizar transferencias o cambios contables fraudulentos.
  • Smishing: phishing por SMS. Muy efectivo contra usuarios menos formados y contra cuentas bancarias.
  • Vishing: phishing por llamada de voz. Combinado con datos previos del target (filtrados o públicos), tiene tasas de éxito notables.
  • Quishing: phishing con códigos QR maliciosos que llevan al usuario fuera del correo (donde el filtro no detecta).
  • Adversary in the middle (AitM): el atacante interpone una página de login que captura credenciales y cookies de sesión válidas. Salta MFA estándar. Es la técnica más activa en 2026 contra Microsoft 365.

Más detalle por variante en tipos de phishing y en su pariente cercano pharming.

Errores frecuentes en programas anti-phishing

Patrones que reducen la eficacia incluso cuando hay presupuesto:

  1. Confiar todo a la formación sin medidas técnicas. La concienciación con MFA débil y sin filtro de correo deja pasar campañas que un control técnico habría parado.
  2. Confiar todo a las medidas técnicas sin formación. Ningún filtro detecta el 100%. El usuario sigue siendo el último escudo.
  3. Castigar el clic. Reduce la tasa de reporte. La cultura sana es reportar rápido sin miedo.
  4. Simulaciones de calidad baja. Si los correos de prueba son demasiado obvios, no entrenan; si son demasiado tramposos, frustran. El nivel sube de forma progresiva.
  5. No medir MTTR humano. El indicador clave de un programa maduro no es cuántos hacen clic, sino cuánto tarda alguien en reportar el primer clic. Si el primero reporta en 5 minutos, el SOC contiene; si tarda 8 horas, ya es tarde.
  6. No aplicar DMARC en reject. Es la diferencia entre que tu dominio sea suplantable o no.
  7. No revisar OAuth de terceros en Microsoft 365 y Google Workspace. El consent phishing (aprobar permisos a una app maliciosa) es vector creciente.

Preguntas frecuentes

¿Cómo puedo evitar el phishing en mi correo personal?

Tres medidas cubren la mayoría de casos: activar MFA en todas las cuentas críticas (correo, banco, redes sociales), usar un gestor de contraseñas (las contraseñas únicas por servicio neutralizan el robo de credenciales en un servicio), y no hacer clic en enlaces de correos inesperados: si dudas, ve al sitio escribiéndolo tú o usa los marcadores guardados. Si una urgencia te presiona, es bandera roja, no compromiso.

¿Qué tengo que hacer si he hecho clic en un enlace de phishing?

Si solo hiciste clic sin introducir datos ni descargar nada, el riesgo es bajo (algunos sitios cargan exploits, pero un navegador actualizado mitiga la mayoría). Si introdujiste credenciales, cambia la contraseña de inmediato y, si es cuenta corporativa, avisa al equipo de seguridad. Si descargaste un archivo, aísla el equipo de la red sin apagarlo y reporta. La velocidad importa: la diferencia entre contener un compromiso o sufrir un incidente serio se mide en minutos.

¿Sirve la MFA para evitar el phishing?

Mucho, pero no es invulnerable. La MFA por SMS bloquea a la mayoría de ataques masivos, pero no protege contra SIM swapping ni contra adversary in the middle (técnica creciente en 2026). Las apps autenticadoras con number matching mejoran la situación pero también pueden caer ante kits AitM modernos. Las passkeys y las llaves FIDO2 físicas son hoy las únicas que resisten AitM de forma sólida y son la opción recomendable para cuentas privilegiadas, administración cloud y servicios críticos.

¿Cómo configuro DMARC en mi dominio?

Tres pasos en orden: configura SPF declarando los servidores autorizados, configura DKIM firmando los correos salientes con clave publicada en DNS, y publica el registro DMARC empezando en p=none (modo monitorización) con reportes a tu equipo de seguridad. Tras unas semanas analizando los informes y corrigiendo flujos legítimos que no firman, pasa a p=quarantine y finalmente a p=reject. El paso a reject directamente sin monitorización previa puede romper correo legítimo.

¿Cuántas simulaciones de phishing al año debería hacer mi empresa?

El estándar razonable en empresas medianas es una simulación cada 4-6 semanas con escenarios distintos y dificultad creciente. Menos frecuencia no consolida hábitos; más frecuencia genera fatiga. La métrica que importa no es tasa de clic (esa baja con el tiempo), sino tasa y velocidad de reporte.

Sí, si se comunica en el marco general de seguridad (no en cada simulación), se informa en política interna y en el RGPD, y se trata el dato con la finalidad declarada (formación, no sanción individual). El comité de empresa, en organizaciones con representación, suele estar informado. En la práctica, las simulaciones son una herramienta estándar en empresas con función de seguridad mínimamente madura.

¿Qué hago con los correos sospechosos que no son claramente phishing?

Reportarlos al equipo de seguridad con el botón "reportar phishing" (Microsoft 365, Google Workspace y la mayoría de filtros lo tienen). El SOC analiza, decide si es real, bloquea el remitente y, si es campaña dirigida, genera reglas que protegen a toda la organización. Cada correo reportado mejora la defensa colectiva.

Recursos relacionados

Evitar el phishing no es solo evitar el clic, es construir capas técnicas y humanas que se refuercen entre sí. En Secra diseñamos programas de concienciación y simulaciones realistas con métricas de reporte y de mejora continua, y revisamos las medidas técnicas (DMARC, MFA, filtro de correo, EDR) que cierran el círculo. Cuéntanos cómo está hoy tu defensa y vemos qué falta para subir el listón.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Bastionado de redes y sistemas: qué es, marcos y aplicación

Qué es el bastionado de redes y sistemas: definición, marcos CIS y NIST, hardening como código, errores frecuentes y encaje en ENS, NIS2 e ISO 27001.

2026-05-1612 min
defensiva

Blue Team: qué es, funciones y diferencias con Red Team

Qué es el Blue Team en ciberseguridad: funciones, herramientas, métricas MTTD y MTTR, diferencias con Red Team y Purple Team, y cuándo lo necesitas.

2026-05-1613 min
defensiva

Qué es el firmware: tipos, riesgos y seguridad explicados

Qué es el firmware, sus tipos (BIOS/UEFI, periféricos, IoT, routers), cómo se actualiza y por qué es una de las superficies de ataque más críticas hoy.

2026-05-1614 min