5 correos electrónicos de phishing habituales

El phishing -ya sea por correo electrónico, mensajes de texto (SMShing), redes sociales o llamadas telefónicas (Vishing)- es actualmente una amenaza cotidiana para las organizaciones. Entre todas las formas, los correos electrónicos de phishing siguen siendo el tipo de ciberataque más común y dañino.

Comprender las tácticas utilizadas en los correos electrónicos de phishing y formar a los empleados para que reconozcan las amenazas es crucial para reducir el riesgo cibernético.

¿Qué son los correos electrónicos de phishing?

Los correos electrónicos de phishing son mensajes fraudulentos enviados por ciberdelincuentes que se hacen pasar por organizaciones legítimas. Su objetivo es engañar a los destinatarios para que revelen información confidencial, hagan clic en enlaces maliciosos o descarguen programas maliciosos.

En el primer trimestre de 2025, el Informe de tendencias de la actividad de phishing del APWG registró más de un millón de ataques de phishing, el mayor total trimestral desde finales de 2023. Los atacantes utilizan cada vez más códigos QR en los correos electrónicos para redirigir a las víctimas a sitios de phishing.

Sectores más específicos:

• Ataques al sector financiero: 30,9% (incluyendo pagos, banca y criptodivisas)
• SaaS/Correo electrónico (18%)
• Ataques BEC por transferencia bancaria: +33% respecto al trimestre anterior

A continuación le presentamos las cinco estafas de phishing por correo electrónico más comunes y estrategias prácticas para prevenirlas.

1. Estafa de la factura falsa

Los estafadores suelen enviar correos electrónicos con facturas falsas, con la esperanza de que los empleados las paguen o faciliten información confidencial.

Algunos ejemplos de facturas falsas son:

• Facturación de productos antivirus o de seguridad
• Facturas vencidas de proveedores falsos
• Notificaciones de expiración de dominio avisando de la suspensión del servicio
• Facturas de organizaciones benéficas o recaudadoras de fondos que ofrecen anuncios
• Ataques sofisticados de compromiso del correo electrónico empresarial (BEC)

Cómo evitar las estafas de facturas falsas:

• Utilice simulaciones de phishing basadas en roles para el personal de finanzas o cuentas por pagar.
• Forme a los empleados para que sepan reconocer el lenguaje urgente y amenazador en las facturas.
• Adapte las campañas para que reflejen los retos departamentales de la vida real.

2. Correos electrónicos falsos de asistencia técnica

Los estafadores suelen hacerse pasar por el servicio técnico interno para crear urgencia y manipular el comportamiento. Estos correos electrónicos pueden exigir el inicio de sesión inmediato o el cumplimiento de las normas para acceder a la información personal o a los sistemas de la empresa.

Cómo evitar falsos correos electrónicos de asistencia técnica:

• Implemente una formación general de concienciación sobre seguridad para todos los empleados.
• Eduque al personal sobre las tácticas de manipulación, incluidas la urgencia y las amenazas de disciplina.
• Utilice ejercicios de phishing simulado que imiten las comunicaciones internas del departamento.

3. Estafas fiscales

Los correos electrónicos de phishing relacionados con los impuestos suelen prometer reembolsos pero son fraudulentos. El HMRC afirma que nunca enviará por correo electrónico notificaciones sobre rebajas o reembolsos. Los estafadores suelen replicar la marca HMRC y enviar enlaces a páginas de acceso falsas, a veces incrustando malware.

Cómo evitar las estafas fiscales:

• Incluya las estafas fiscales en los ejercicios de phishing simulado para todo el personal.
• Centre la formación adicional en el personal del departamento financiero, especialmente durante la temporada de impuestos.
• Asegúrese de que los empleados sepan que nunca deben hacer clic en enlaces de correos electrónicos fiscales no solicitados.

4. Problema de la cuenta de correo electrónico Phishing

Los ciberdelincuentes suplantan con frecuencia a Microsoft, Google, LinkedIn, DHL y FedEx para enviar mensajes urgentes alegando problemas con las cuentas. Estos correos suelen contener enlaces maliciosos que cosechan las credenciales de inicio de sesión.

Cómo evitar los correos electrónicos de phishing con problemas en las cuentas:

• Forme a los empleados para que desconfíen de los correos electrónicos de marca que utilizan tácticas de urgencia.
• Incorpore ejercicios de phishing simulado en los que se destaque la suplantación de marcas conocidas.
• Refuerce los procedimientos de verificación de los mensajes inesperados relacionados con la cuenta.

5. Estafas con Google Docs y GSuite

Los estafadores se aprovechan de plataformas de colaboración como Google Docs. Un comentario fraudulento que utilice la anotación @ puede desencadenar un auténtico correo electrónico de notificación que contenga un enlace malicioso.

Cómo evitar las estafas de los comentarios de GSuite:

• Utilice una formación de concienciación sobre seguridad que cubra las herramientas de colaboración basadas en la nube.
• Asegúrese de que las políticas especifican quién puede compartir y comentar los documentos de la empresa.
• Mantenga al personal actualizado con la información más reciente sobre phishing y ejercicios simulados.

Puntos clave para la prevención del phishing

• Los ataques de phishing son cada vez más sofisticados y se dirigen a todos los empleados.
• La formación basada en roles y los ejercicios de phishing simulado son esenciales.
• Los programas continuos de concienciación sobre la seguridad reducen el riesgo.
• Los empleados deben comprender las tácticas de manipulación del comportamiento humano.
• La educación sobre ciberseguridad debe actualizarse periódicamente para reflejar la evolución de las estafas.

Los ataques de phishing evolucionan constantemente, por lo que la concienciación de los empleados y la formación proactiva son más importantes que nunca. Para reforzar las defensas de su organización, explore la plataforma de gestión de riesgos humanos de MetaCompliance. Nuestra plataforma proporciona formación de concienciación de seguridad basada en roles, ejercicios de phishing simulados e informes en tiempo real para ayudar a reducir el riesgo humano en toda su organización. Capacite a sus equipos para reconocer las amenazas, proteger los datos sensibles y crear una cultura de vigilancia de la ciberseguridad.