Cómo detectar un correo de phishing: la lista de 60 segundos

El phishing sigue siendo la forma más común en que los atacantes entran a las pequeñas empresas — no porque sea sofisticado, sino porque funciona con gente ocupada. Un correo convincente llega a las 4:50 PM, parece venir de tu banco o de tu jefe, y solo pide un pequeño clic.
La buena noticia: la mayoría del phishing se desmorona con sesenta segundos de atención. Esta es la lista que enseñamos al equipo de cada cliente.
La lista de 60 segundos
- Revisa la dirección real del remitente — no el nombre que se muestra. Cualquiera puede escribir "Soporte de Microsoft"; pasa el cursor (o mantén pulsado) para ver la dirección real.
soporte@micros0ft-facturacion.netno es Microsoft. - Pasa el cursor por cada enlace antes de hacer clic. ¿El destino coincide con quien dice ser el correo? Un botón de "revisa tu factura" que apunta a un dominio extraño es tu respuesta.
- Cuidado con la urgencia fabricada. "Tu cuenta será suspendida en 24 horas." "Haz la transferencia hoy." La urgencia es la mejor herramienta del atacante — las instituciones reales casi nunca operan así.
- Desconfía de los adjuntos inesperados. Sobre todo facturas, mensajes de voz o "documentos compartidos" que no esperabas. Confirma con el remitente por un canal que ya conozcas — una llamada vale más que una respuesta al correo.
- Nunca ingreses contraseñas desde el enlace de un correo. Si "tu banco" necesita que inicies sesión, escribe tú mismo la dirección del banco o usa tu marcador. Lo mismo para Microsoft 365, la nómina y todo lo que tenga dinero o contraseñas detrás.
Si alguien ya hizo clic
No lo avergüences — la velocidad importa más que la culpa. Desconecta el equipo de la red, cambia las contraseñas afectadas desde otro dispositivo, activa la autenticación multifactor si no estaba activa, y llama a tu socio de TI. La primera hora marca la diferencia.
Que sea un hábito, no un memorando
Una lista pegada en la pared no cambia el comportamiento; la práctica sí. Las simulaciones periódicas de phishing — correos falsos pero seguros enviados a tu propio equipo — convierten esta lista en un reflejo, y son una de las medidas de seguridad de mayor valor y menor costo para una pequeña empresa.
¿Quieres que hagamos una para tu equipo? Hablemos — o conoce nuestros servicios de ciberseguridad.
