En resumen:
- El phishing es el fraude online más frecuente en España, con un aumento del 19 % en 2025. La detección efectiva combina protocolos técnicos de autenticación, canales de reporte sencillo y simulaciones periódicas. La incorporación de llaves de seguridad como YubiKey es la última barrera contra el robo de credenciales en ataques exitosos.
Detectar intentos de phishing en una organización significa identificar comunicaciones fraudulentas que suplantan identidades legítimas para robar credenciales o instalar malware. El phishing no se limita al correo electrónico: también llega por llamada (vishing) y SMS (smishing). INCIBE reportó 25.133 casos de phishing en 2025, un 19 % más que en 2024, lo que lo convierte en el fraude online más frecuente en España. La detección eficaz combina protocolos técnicos de autenticación, canales internos de reporte y formación continua del personal.
¿Qué mecanismos técnicos permiten detectar intentos de phishing en correos electrónicos?
Los protocolos SPF, DKIM y DMARC son la primera línea de defensa para identificar correos phishing que suplantan dominios legítimos. Sin estos tres mecanismos activos y correctamente alineados, cualquier atacante puede enviar mensajes que aparentan proceder de su propio dominio corporativo.
SPF (Sender Policy Framework) define qué servidores tienen autorización para enviar correo en nombre de su dominio. Cuando un servidor no autorizado intenta enviar un mensaje, el servidor receptor lo detecta y puede rechazarlo o marcarlo. DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada mensaje. El servidor receptor verifica esa firma contra la clave pública publicada en el DNS, lo que garantiza que el contenido no ha sido alterado en tránsito.
DMARC (Domain-based Message Authentication, Reporting and Conformance) actúa como política que une SPF y DKIM. Indica al servidor receptor qué hacer con los mensajes que fallan la autenticación: ignorarlos, ponerlos en cuarentena o rechazarlos directamente. El alineamiento DMARC exige que el dominio visible en el encabezado “From” coincida con el dominio validado por SPF o DKIM. Sin ese alineamiento, un atacante puede superar la autenticación básica y seguir engañando al destinatario.
La implementación correcta sigue una progresión: primero se despliega DMARC en modo none para recopilar informes sin bloquear tráfico, luego se pasa a quarantine y finalmente a reject una vez confirmado que el correo legítimo pasa correctamente. Saltarse esta progresión provoca falsos positivos que bloquean comunicaciones internas.
Consejo profesional: Configure el envío de informes DMARC a una dirección de análisis dedicada. Herramientas como PowerDMARC o dmarcian agregan esos informes en paneles visuales que permiten detectar fuentes de envío no autorizadas en minutos.
Sin embargo, SPF, DKIM y DMARC juntos no eliminan todo el phishing. Los ataques con dominios similares (lookalike domains) o desde cuentas legítimas comprometidas superan estos controles sin dificultad. Por eso la autenticación de correo es necesaria pero no suficiente.
| Protocolo | Función principal | Limitación clave |
|---|---|---|
| SPF | Autoriza IPs emisoras por dominio | No protege contra dominios similares |
| DKIM | Firma criptográfica del mensaje | No verifica identidad del remitente visible |
| DMARC | Política de tratamiento y alineamiento | No cubre cuentas legítimas comprometidas |
¿Cómo establecer un proceso eficiente de reporte interno de correos sospechosos?
Un canal de reporte interno bien diseñado convierte a cada empleado en un sensor activo de amenazas. El equipo de seguridad no puede revisar manualmente todos los correos que llegan a la organización, pero sí puede actuar sobre los que el personal señala como sospechosos.
El proceso de reporte debe ser tan sencillo como pulsar un botón. Clientes de correo como Microsoft Outlook y Google Workspace permiten instalar complementos que envían el mensaje sospechoso directamente al equipo de seguridad con un solo clic, adjuntando automáticamente los encabezados técnicos necesarios para el análisis.
Para que cada reporte sea útil, la información que se recopila debe incluir al menos estos elementos:
- Encabezados completos del mensaje (para verificar la ruta de envío real).
- URL o adjunto sospechoso, sin abrirlo ni ejecutarlo.
- Hora exacta de recepción y nombre del usuario que reporta.
- Descripción breve de por qué el mensaje parece sospechoso.
Una vez recibido el reporte, el equipo de seguridad aplica un proceso de triage automatizado. Las URLs se normalizan y se comparan contra listas de indicadores de compromiso conocidos. Los encabezados se correlacionan con los registros del servidor de correo para confirmar si el mensaje superó o falló SPF/DKIM/DMARC. Si el análisis confirma el ataque, se bloquea el remitente, se retiran los mensajes similares del resto de buzones y se revisan los accesos de los usuarios que pudieron haber hecho clic.
Consejo profesional: Comunique a su equipo los resultados de los reportes. Cuando un empleado sabe que su reporte bloqueó un ataque real, su motivación para seguir reportando aumenta de forma sostenida.
¿Qué papel juegan las simulaciones de phishing en la detección y prevención interna?
Las simulaciones de phishing son campañas controladas en las que el equipo de seguridad envía correos falsos diseñados para imitar ataques reales. El objetivo no es sancionar a quien hace clic, sino medir la exposición real de la organización y mejorar la formación.
Las métricas que importan en cada simulación son dos: la tasa de clics (porcentaje de usuarios que interactuaron con el enlace falso) y la tasa de reporte (porcentaje que lo notificó al equipo de seguridad). Estas métricas permiten segmentar la formación según el comportamiento real de cada grupo de usuarios, no según suposiciones.
Los beneficios concretos de un programa de simulaciones bien ejecutado incluyen:
- Identificar departamentos o perfiles con mayor vulnerabilidad antes de que lo haga un atacante real.
- Medir la evolución de la tasa de clics mes a mes para demostrar el impacto de la formación.
- Detectar fallos en el canal de reporte: si nadie reporta la simulación, el canal tiene un problema de usabilidad o visibilidad.
- Ajustar el contenido de la formación a los señuelos que más engañan en cada organización concreta.
Simulaciones mensuales de phishing pueden reducir la tasa de clics en ataques reales entre un 70 % y un 80 % en 12 meses. Ese resultado solo se alcanza cuando las simulaciones van acompañadas de formación inmediata para quienes hacen clic, no de reprimendas.
Una advertencia importante: una tasa de clics baja no garantiza que la organización esté protegida. Si las simulaciones siempre usan el mismo tipo de señuelo, los usuarios aprenden a reconocer ese patrón específico, no el phishing en general. Varíe los escenarios: facturas falsas, alertas de seguridad, notificaciones de recursos humanos y mensajes de proveedores habituales.
¿Cómo actuar cuando se detecta un incidente de phishing exitoso en la organización?
Un incidente de phishing exitoso es aquel en el que un usuario entregó credenciales o ejecutó un adjunto malicioso. La velocidad de respuesta determina el alcance del daño. Cada minuto de acceso no revocado amplía la superficie de compromiso.
El protocolo de contención sigue este orden:
- Revocar todas las sesiones activas del usuario afectado en todos los sistemas corporativos, incluidos correo, VPN y aplicaciones en la nube.
- Forzar un restablecimiento de contraseña desde un dispositivo limpio, verificado por el equipo de seguridad.
- Activar o verificar MFA en la cuenta comprometida antes de permitir cualquier nuevo acceso.
- Revisar los registros de acceso desde el momento del clic hasta la detección, buscando movimientos laterales, descargas masivas o cambios de configuración.
- Notificar a los equipos afectados con información clara sobre qué sistemas estuvieron expuestos y durante cuánto tiempo.
La contención técnica inmediata y la revisión forense básica en registros son fundamentales para minimizar daños tras un phishing exitoso. Sin esa revisión, el equipo no sabe si el atacante dejó accesos persistentes.
Tras la contención, el equipo de seguridad analiza el vector completo del ataque: qué dominio usó el atacante, qué técnica de engaño empleó y si otros usuarios recibieron el mismo mensaje. Esa información alimenta directamente las reglas de filtrado y el contenido de la próxima simulación.
Si el incidente afecta a datos personales de ciudadanos europeos, el Reglamento General de Protección de Datos (RGPD) obliga a notificar a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que se tiene conocimiento de la brecha. Ignorar este plazo añade riesgo legal al daño técnico ya producido.
La coordinación entre el equipo de TI y el de seguridad debe estar definida antes del incidente, no durante. Un documento de respuesta a incidentes con roles asignados reduce el tiempo de contención de horas a minutos. Consulte también la guía de seguridad para pipelines si el acceso comprometido alcanzó entornos de desarrollo o integración continua.
¿Qué herramientas y prácticas refuerzan la prevención continua del phishing?
Ninguna herramienta aislada previene el phishing por completo. La protección efectiva combina capas técnicas, formación continua y revisión periódica de políticas.
| Capa de protección | Herramienta o práctica | Cobertura principal |
|---|---|---|
| Autenticación de correo | SPF + DKIM + DMARC | Suplantación de dominio propio |
| Filtrado DNS | Cisco Umbrella, Cloudflare Gateway | Bloqueo de dominios maliciosos conocidos |
| Autenticación fuerte | YubiKey, Microsoft Authenticator | Acceso con credenciales robadas |
| Formación y simulación | KnowBe4, Proofpoint Security Awareness | Error humano ante señuelos |
| Reporte interno | Complementos de Outlook/Gmail + SIEM | Detección temprana por usuarios |
El 28 % de las consultas al 017 de INCIBE en 2025 estuvieron relacionadas con phishing, vishing y smishing. Ese dato confirma que la detección no puede limitarse al correo: los canales de voz y mensajería requieren protocolos propios, como la verificación de identidad por llamada entrante y la formación específica sobre SMS fraudulentos.
Consejo profesional: Revise las políticas antiphishing al menos cada seis meses. Los atacantes adaptan sus técnicas con rapidez, y una política diseñada para los ataques de hace un año puede dejar brechas frente a los señuelos actuales.
La autenticación multifactor es la medida que mayor impacto tiene cuando las credenciales ya han sido robadas. Si el atacante obtiene la contraseña pero no puede superar el segundo factor, el acceso queda bloqueado. Las llaves físicas de seguridad ofrecen el nivel más alto de protección porque el segundo factor no puede ser interceptado ni replicado remotamente. Puede ampliar este enfoque con la checklist de protección de cuentas para cubrir también los accesos personales de su equipo directivo.
Puntos clave
La detección eficaz de phishing en organizaciones requiere combinar autenticación técnica de correo, canales de reporte activos y autenticación fuerte para neutralizar credenciales robadas.
| Punto | Detalles |
|---|---|
| Autenticación de correo | Implemente SPF, DKIM y DMARC con política reject para bloquear suplantación de dominio. |
| Canal de reporte interno | Facilite el reporte con un solo clic y automatice el triage para convertir avisos en bloqueos. |
| Simulaciones periódicas | Ejecute campañas mensuales y use las métricas de clic y reporte para ajustar la formación. |
| Respuesta a incidentes | Revoque sesiones, fuerce MFA y revise registros en las primeras horas tras detectar un compromiso. |
| Autenticación fuerte | Añada llaves físicas de seguridad para neutralizar el robo de credenciales en ataques exitosos. |
YubiKey como barrera final frente al robo de credenciales
Cuando un ataque de phishing supera todos los filtros y un usuario entrega su contraseña, la autenticación multifactor con llave física es la última línea de defensa. Las llaves YubiKey, distribuidas en España por Smart Management, generan un segundo factor que no puede ser interceptado por un atacante remoto ni replicado desde una página falsa. Más de 5.000 empresas confían en YubiKey para proteger sus accesos críticos. Si su organización ya tiene los controles técnicos y de formación en marcha, añadir una llave de seguridad YubiKey 5 Series cierra la brecha que ningún protocolo de correo puede cubrir por sí solo.
Preguntas frecuentes
¿Qué es el phishing y cómo se diferencia del vishing y el smishing?
El phishing es un ataque que suplanta identidades legítimas por correo electrónico para robar credenciales o instalar malware. El vishing usa llamadas de voz y el smishing usa SMS con el mismo objetivo.
¿Son suficientes SPF, DKIM y DMARC para prevenir ataques de phishing?
No. SPF, DKIM y DMARC bloquean la suplantación directa de dominio, pero no protegen contra dominios similares ni contra cuentas legítimas comprometidas.
¿Con qué frecuencia deben realizarse las simulaciones de phishing?
La frecuencia recomendada es mensual. Las simulaciones mensuales permiten medir la evolución de la tasa de clics y ajustar la formación de forma continua.
¿Qué debo hacer primero si un empleado entregó sus credenciales en una página de phishing?
Revoque todas sus sesiones activas de inmediato, fuerce el cambio de contraseña desde un dispositivo limpio y active MFA antes de restaurar el acceso. La contención rápida evita que el atacante consolide su acceso.
¿Qué información debe incluir un reporte interno de correo sospechoso?
El reporte debe incluir los encabezados completos del mensaje, la URL o adjunto sospechoso, la hora de recepción y el nombre del usuario. Esa información permite al equipo de seguridad verificar la autenticación, correlacionar con registros y bloquear el ataque de forma efectiva.
