Cómo detectar un email falso en tu empresa: guía para no caer en phishing ni fraude del CEO

El 91% de los ciberataques empieza con un email. No con un hackeo sofisticado, no con un virus en un USB, sino con alguien de tu empresa que abre un correo que parece legítimo y hace clic en algo que no debería. Esto tiene nombre: phishing, y su variante más peligrosa para empresas, el fraude del CEO.

Qué es el phishing y por qué afecta especialmente a las PYMEs

El phishing es un email que suplanta la identidad de alguien de confianza: tu banco, un proveedor, Hacienda, o incluso un compañero de trabajo. El objetivo es que hagas clic en un enlace, descargues un archivo o directamente transfieras dinero.

Las PYMEs son el objetivo favorito porque tienen menos filtros técnicos que las grandes empresas y el equipo no suele tener formación específica. Un ataque exitoso contra una empresa de 10 personas puede ser tan rentable para el atacante como uno contra una corporación, con mucho menos esfuerzo.

El fraude del CEO: la estafa que está vaciando cuentas de empresas españolas

El fraude del CEO es una variante más elaborada. El atacante estudia tu empresa, aprende quién es el director, el responsable financiero y con qué proveedores trabajáis. Luego envía un email que parece venir del director a la persona que gestiona los pagos: "Necesito que hagas una transferencia urgente y discreta, es para cerrar una operación confidencial".

Las 7 señales de que un email puede ser falso

Antes de hacer clic o responder a cualquier email que te pida algo, revisa estas señales:

• El remitente no es quien parece: el nombre puede decir "Banco Santander" pero la dirección real es info@santandr-soporte.com. Siempre mira la dirección completa, no solo el nombre.
• Urgencia injustificada: "debes actuar en las próximas 2 horas o tu cuenta quedará bloqueada". La presión es una técnica deliberada para que no pienses.
• Te piden credenciales o datos bancarios: ningún banco, ningún proveedor legítimo y ninguna institución te pedirá contraseñas o datos de tarjeta por email.
• El enlace no cuadra: pasa el ratón por encima del enlace sin hacer clic. La URL real aparece en la barra inferior del navegador. Si pone barcelonait.com pero la URL real es barcelon4it.net, es falso.
• Errores de ortografía o redacción rara: muchos ataques vienen del extranjero y la traducción automática no es perfecta.
• Adjunto inesperado: una factura que nadie te ha dicho que iba a llegar, un presupuesto que no pediste, un "documento importante" sin más contexto.
• El tono no es el habitual: si tu proveedor de siempre de repente escribe diferente, con más formalidad o con urgencia inusual, desconfía.

Qué hacer si recibes un email sospechoso

Lo más importante: no hagas clic en ningún enlace ni descargues ningún adjunto mientras tengas dudas. Después:

• Llama directamente al remitente por teléfono para verificar (nunca uses el teléfono que aparece en el propio email sospechoso)
• Si el email dice venir de tu banco, entra directamente escribiendo la URL en el navegador, nunca desde el enlace del email
• Avisa al responsable de IT de tu empresa para que revise el correo
• Si has hecho clic y sospechas que algo ha pasado, desconecta el equipo de la red y llama de inmediato

Cómo proteger a tu equipo de forma preventiva

La tecnología ayuda: filtros de spam bien configurados, autenticación SPF/DKIM/DMARC en el correo corporativo para que nadie pueda suplantar tu dominio, y verificación en dos pasos. Pero la primera línea de defensa siempre es la persona que abre el correo.

Reenvía esta guía a tu equipo. Una sola persona que sepa reconocer un email falso puede salvarle a tu empresa una pérdida muy seria.