El correo electrónico sigue siendo el vector de entrada número uno de los ciberataques a empresas: según el informe DBIR 2025 de Verizon, el 68 % de las brechas de datos comienzan con un email. No porque los empleados sean descuidados, sino porque los ataques modernos de phishing son extraordinariamente sofisticados. Ya no hablamos del clásico email con faltas de ortografía pidiendo que «verifiques tu cuenta de PayPal». Los ataques actuales imitan a la perfección el estilo de escritura de tu CEO, usan dominios casi idénticos al tuyo (diferenciados por un solo carácter) y llegan en el momento exacto en que tu equipo financiero espera una factura. Para las pymes españolas, el coste medio de un incidente de phishing exitoso en 2025 fue de 31.000 €, incluyendo pérdidas directas, tiempo de recuperación y, en los casos con datos comprometidos, sanciones de la AEPD. Esta guía explica cómo funciona el phishing moderno, qué medidas técnicas puedes implementar hoy y cómo formar a tu equipo de manera efectiva.
Cómo funciona el phishing en 2026 (ya no son emails chapuceros)
El phishing moderno opera en varias modalidades, cada una más difícil de detectar que la anterior:
- Phishing masivo: Millones de emails genéricos con ganchos comunes («Tu paquete está retenido», «Factura pendiente»). Baja sofisticación pero alto volumen. Los filtros antispam los capturan con bastante eficacia.
- Spear phishing: Ataques dirigidos a una empresa o persona concreta. El atacante investiga LinkedIn y la web corporativa para personalizar el mensaje. La tasa de éxito es 3 veces mayor que el phishing masivo.
- BEC (Business Email Compromise): El atacante suplanta la cuenta de un directivo y ordena transferencias urgentes o cambios de datos bancarios de proveedores. Es el tipo de fraude más costoso: en España, el coste medio por incidente supera los 75.000 €.
- Quishing (phishing por QR): Tendencia en alza desde 2024. El email contiene un código QR en lugar de un enlace directo para eludir los filtros. Al escanearse con el móvil —que suele tener menos protección que el ordenador corporativo— lleva a una página falsa de robo de credenciales.
Señales de alerta que todo tu equipo debe conocer
La formación en ciberseguridad no tiene que ser técnica para ser efectiva. Estas señales las puede aprender cualquier empleado en cinco minutos:
- Urgencia artificial: «Debes transferir antes de las 14h o se pierde el contrato.» La urgencia es la herramienta de manipulación más efectiva en phishing. Ante cualquier petición urgente de dinero o datos, verifica siempre por teléfono.
- Dominio ligeramente diferente: [email protected] en lugar de [email protected]. Revisa siempre el dominio completo del remitente, no solo el nombre que muestra el cliente de correo.
- Petición de datos fuera del proceso habitual: Ningún proveedor legítimo pide contraseñas por email. Si lo hace, es una señal de alarma inmediata.
- Archivos adjuntos inesperados: Especialmente .exe, .iso, .zip o documentos Office con macros. Si no esperabas un archivo, no lo abras sin verificar la fuente por otro canal.
Configuración técnica: SPF, DKIM y DMARC sin jerga
Hay tres configuraciones de DNS que cualquier empresa debería tener activas y que previenen que otros puedan enviar emails haciéndose pasar por tu dominio. Son gratuitas y se configuran en menos de una hora:
- SPF (Sender Policy Framework): Un registro DNS que especifica qué servidores tienen permiso para enviar emails desde tu dominio. Si alguien intenta enviar desde tu dominio usando un servidor no autorizado, el servidor receptor lo marcará como spam o lo rechazará.
- DKIM (DomainKeys Identified Mail): Añade una firma digital cifrada a cada email saliente. Los servidores receptores verifican esta firma para confirmar que el mensaje no ha sido manipulado en tránsito.
- DMARC: Combina SPF y DKIM e indica a los servidores receptores qué hacer con los mensajes que no pasan la verificación: aceptarlos, marcarlos como spam o rechazarlos directamente. También envía informes al administrador sobre intentos de suplantación de tu dominio.
Si tu empresa usa Google Workspace o Microsoft 365, la configuración de SPF y DKIM se hace en menos de 30 minutos siguiendo la documentación oficial. DMARC requiere un paso adicional pero es igualmente accesible para cualquier administrador de sistemas.
Formación del equipo: cómo hacer que funcione de verdad
La formación en ciberseguridad tiene mala fama porque habitualmente se hace mal: una presentación PowerPoint de 45 diapositivas una vez al año que nadie recuerda al mes siguiente. Lo que sí funciona:
- Simulaciones de phishing: Servicios como KnowBe4 o Proofpoint envían emails de phishing simulados a tus empleados y miden quién hace clic. Los empleados que caen reciben formación contextualizada inmediata. La tasa de clics suele bajar un 60 % tras tres simulaciones.
- Protocolo de verificación simple: Define un proceso de dos pasos para peticiones inusuales (transferencias, cambios de datos): verificación telefónica con la persona solicitante usando un número conocido, nunca el que viene en el email. Pega este protocolo en la pared del departamento financiero.
- Sesiones cortas y frecuentes: 10 minutos al mes con un caso real reciente son más efectivos que una formación anual de dos horas.
¿Cómo protegerte?
La primera línea de defensa contra el phishing es tener un proveedor de correo que filtre activamente los mensajes maliciosos antes de que lleguen a tu equipo. Los servicios de correo empresarial modernos incluyen filtros antiphishing avanzados, cifrado de extremo a extremo y políticas de retención que cumplen con el RGPD.
Proton Business es la solución de correo empresarial cifrado usada por más de 100.000 empresas en Europa. Incluye filtros antispam y antiphishing, cifrado de extremo a extremo por defecto, dominio personalizado, calendario y drive cifrados, y cumplimiento total con RGPD desde su base en Suiza. Desde 6,99 € por usuario al mes. Prueba Proton Business gratis durante 30 días →