Mensaje de ausencia: lo que es mejor no incluir en ese aviso

Tu mensaje de ausencia suele revelar más información de la que crees: quién está fuera, durante cuánto tiempo y quién le sustituye. Así lo configuras para que ayude a tus compañeros sin darle pistas a los estafadores.

Se acerca el verano y con él la avalancha anual de correos de "fuera de la oficina". A primera vista parece algo inocente: avisar de que no estás disponible y quién se encarga en tu ausencia. Pero esas pocas líneas de texto son una mina de oro para los estafadores, y la mayoría de las pymes nunca se lo plantean.

En este artículo explicamos por qué tu mensaje de ausencia revela más de lo que parece y cómo redactarlo para que ayude a tus compañeros sin favorecer a personas malintencionadas.

Por qué ese mensaje supone un riesgo

Un mensaje de ausencia típico tiene más o menos este aspecto:

"Estimado/a, estaré fuera de la oficina del 7 al 28 de julio por vacaciones. Para asuntos urgentes puede ponerse en contacto con mi compañero Mark Jansen en mark.jansen@empresa.es o en el 612 345 678. Un cordial saludo, Sandra de Vries — Directora Financiera."

¿Qué información contiene realmente? Un estafador lee esto y en diez segundos sabe:

• La directora financiera estará fuera tres semanas.
• Su sustituto se llama Mark, con datos de contacto directos.
• La estructura del correo es nombre.apellido@empresa.es.
• Hay una ventana de exactamente tres semanas en la que Sandra no responderá rápido.

Para una estafa de CEO o una estafa de factura, esta es exactamente la información necesaria. Un correo "de parte de Sandra" a Mark, con urgencia y un nuevo número de cuenta — y las probabilidades de éxito son significativamente mayores que en una semana laboral normal.

Los tres tipos de destinatarios

El problema con el mensaje de ausencia es que el mismo aviso llega a tres grupos muy distintos:

1. Compañeros internos — que no necesitan ningún mensaje de ausencia; ya ven tus vacaciones en el calendario.
2. Contactos externos conocidos — proveedores, clientes, contables. Estos sí pueden saber que estás fuera y a quién dirigirse.
3. Desconocidos y remitentes de spam — cualquiera que haya obtenido tu dirección de algún sitio. Estos no necesitan saber nada.

La mayoría de los servidores de correo (Microsoft 365, Google Workspace) pueden distinguir entre remitentes internos y externos. Úsalo. Configura dos mensajes diferentes.

Cómo redactar un mensaje de ausencia seguro

Para remitentes externos: mínimo y vago

Sé breve y evita información específica:

"Gracias por su mensaje. Actualmente estoy fuera de la oficina y reviso el correo de forma limitada. Para asuntos urgentes puede contactarnos en info@empresa.es. Responderé a su mensaje a mi vuelta."

Lo que no hacemos aquí:

• Indicar fechas exactas (revela la ventana de vulnerabilidad).
• Mencionar el nombre de un sustituto personal.
• Compartir números de teléfono directos.
• Repetir el cargo (a menudo ya aparece en la firma — omítelo también del mensaje automático).

Sí: una dirección de correo general o un número de teléfono atendido por varias personas. Así nadie queda expuesto individualmente.

Para remitentes internos: práctico y directo

Aquí el mensaje sí puede ser específico, porque los compañeros ya conocen la estructura:

"Hola, estoy de vacaciones hasta el 28 de julio. Mark se encarga de mis expedientes en curso y Linda gestiona los pagos. Si es realmente urgente, llama a mi móvil."

Cuatro reglas adicionales que marcan la diferencia

1. Ninguna autorización de pago por correo. Acuerda con tu equipo que durante las vacaciones de personas clave (dirección, finanzas) nunca se aceptará un nuevo IBAN ni un pago urgente basándose únicamente en un correo. Siempre hay que llamar a un número conocido. Es una buena regla en general, pero en verano cobra especial importancia.

2. Desactiva la firma en el mensaje automático. Esa firma con cargo, número de móvil y enlace a LinkedIn se incluye por defecto. Crea una firma específica para el mensaje de ausencia o desactívala por completo.

3. Limita quién recibe el mensaje. En Microsoft 365 puedes configurar que el mensaje externo se envíe solo a tu lista de contactos. Los remitentes desconocidos no recibirán nada. Para la mayoría de los puestos en una pyme esto funciona perfectamente.

4. Activa la autenticación en dos pasos también en el correo del sustituto. Si el sustituto todavía no usa la verificación en dos pasos, este es el momento de configurarla — antes de irse de vacaciones. Lo último que quieres es que la cuenta de correo del sustituto quede comprometida.

Una nota sobre tu calendario y LinkedIn

El mensaje de ausencia no es el único lugar donde se filtra tu período vacacional. Un aviso de "De vacaciones hasta el 28/7" en LinkedIn hace exactamente el mismo trabajo para un estafador. Y si tu calendario compartido es público ("Ocupado" está bien, pero "Vacaciones en Italia del 7 al 28 de julio" es otra historia). Antes del verano, revisa quién puede ver qué.

Lista de verificación rápida antes de irte

• Dos mensajes automáticos configurados: breve para externos, detallado para internos.
• Sin fechas exactas, sin nombres de sustitutos personales, sin números de teléfono en el mensaje externo.
• Firma desactivada en el mensaje automático.
• El equipo sabe: ningún cambio de IBAN ni pago urgente basado únicamente en un correo.
• Verificación en dos pasos del buzón del sustituto comprobada.
• LinkedIn y calendario público revisados para evitar demasiados detalles.

Configurarlo bien lleva diez minutos — y puede ahorrarte una llamada muy desagradable desde la playa.

¿No estás seguro de que la seguridad de tu correo esté a punto para el período vacacional? Consulta nuestro servicio de seguridad de correo (SPF/DKIM/DMARC) o empieza por activar la verificación en dos pasos en las cuentas correctas.