BG Beter Geregeld ICT
Security zonder IT-afdeling · 2 min leestijd · 01 octubre 2025

Cómo reconocer el phishing: ¿qué le enseñas a tu equipo en 20 minutos?

El phishing ya no es aquel príncipe nigeriano con faltas de ortografía. El phishing moderno es personalizado, a medida y capaz de colarse en nuestra propia red corporativa. Esto es lo que todo el mundo debe saber.

El phishing en 2026 es sofisticado: español casi perfecto, dominios que parecen idénticos al original y textos generados por IA. Aun así, hay señales que puedes aprender a detectar.

Las 5 señales de alarma

  1. Urgencia. "Si no haces clic en las próximas 4 horas, perderás el acceso." La comunicación interna real nunca funciona así.
  2. Remitente sospechoso. ceo@bed3rgeregeld.com (un 3 en lugar de una e). noreply@microsoft-security.com (el dominio legítimo es microsoft.com, no microsoft-security). Haz clic en el nombre para ver la dirección real.
  3. Comprobación al pasar el ratón. Pasa el cursor sobre el enlace. ¿Coincide la URL con lo que se muestra? office365login.com no es Microsoft.
  4. Solicitud inusual. "Tu CEO te pide que compres tarjetas regalo urgentemente." Un CEO de verdad no hace esto por correo electrónico.
  5. Adjunto inesperado. Facturas que no esperabas, currículums que llegan de la nada. No los abras sin verificar.

¿Qué formación impartes exactamente?

  • Usa una plataforma de simulación de phishing (KnowBe4, Cofense) — campaña trimestral.
  • Botón de notificación en Outlook / Gmail para que los avisos lleguen directamente a IT.
  • Sin cultura del castigo: quien caiga en una prueba de phishing recibe formación adicional, no una reprimenda.
  • Recordatorios breves (vídeo de 5 minutos) cada seis meses.

Lo que NO debes hacer

  • Despedir a alguien por haber caído en el engaño. Eso disuade de notificar incidentes reales.
  • Confiar ciegamente en los filtros de correo electrónico. El phishing moderno supera la mayoría de los filtros.
  • Enseñar solo la regla de "busca errores tipográficos". El phishing moderno no los tiene.

Si haces clic: ¿qué hacer ahora?

Notifica de inmediato al responsable de IT/seguridad. Cambia tu contraseña. Revoca las sesiones de MFA. Cambia también la contraseña de cualquier otra cuenta afectada. Consulta incident response.

Ver también: security-pillar.

Onderwerpen

#security #phishing #awareness

Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?

Sin equipo de TI, pero con toda la responsabilidad. Este artículo te da una pila de prioridades: empieza por esto, luego esto otro, y después lo menos urgente. Cada apartado enlaza con una guía más detallada.

2 min
Security zonder IT-afdeling

Monitorización de disponibilidad para pymes: no te enteres por tus clientes

Tu web está caída y te enteras por un cliente. Hay una forma mejor. Así configuras la monitorización de disponibilidad en tu pyme sin departamento de IT, sin acabar ahogado en falsas alarmas.

6 min
Security zonder IT-afdeling

DMARC en p=reject: el último paso que la mayoría de las pymes omiten

SPF y DKIM están bien configurados, DMARC está en p=none, y ahí se queda todo. Cómo avanzar de forma segura hacia quarantine y reject, sin que tus facturas acaben en spam.

4 min
Security zonder IT-afdeling

Gestión de parches para pymes sin músculo MDM

Los parches hay que aplicarlos. Pero ¿cómo lo garantizas si no tienes Intune ni Jamf? Aquí tienes la configuración mínima y pragmática.

2 min
Security zonder IT-afdeling

MFA para todo tu SaaS, no solo M365: la operación de puesta al día

M365 y Google tienen MFA fácil. Dropbox, Slack, GitHub, Trello también. Pero esas otras herramientas SaaS sueltas… ahí suele faltar MFA. Aquí tienes el plan de puesta al día.

2 min
Security zonder IT-afdeling

Formación en concienciación sobre seguridad: qué funciona y qué es una pérdida de tiempo

El vídeo anual de 60 minutos sobre seguridad es una pérdida de tiempo. 10 minutos trimestrales con contenido específico sí dan resultado. Aquí el programa que ha demostrado ser eficaz.

2 min
← Alle artikelen in "Security zonder IT-afdeling"