Volver al blog

La anatomía de un correo electrónico de phishing moderno: lo que tus empleados pasan por alto cada día

Comprender los trucos psicológicos, los engaños técnicos y las consecuencias en el mundo real que se esconden tras las amenazas cotidianas que llegan a tu bandeja de entrada.

Por Equipo de Autophish|Publicado el 7/18/2025
Cover image for La anatomía de un correo electrónico de phishing moderno: lo que tus empleados pasan por alto cada día

Introducción

Solo hace falta un clic.

Un empleado, un momento de distracción y un correo de phishing bien elaborado pueden provocar el robo de credenciales, la instalación de ransomware o incluso filtraciones de datos a gran escala.

En 2025, los correos de phishing ya no están llenos de inglés chapucero o de los típicos chistes del príncipe nigeriano. Son pulidos, personalizados y aterradoramente realistas, a menudo generados o mejorados por IA. Y están colando.

En este artículo, analizaremos la anatomía de un correo electrónico de phishing moderno, destacaremos las tácticas utilizadas y explicaremos lo que es probable que tus empleados pasen por alto. También ofreceremos consejos para detectarlos y explicaremos por qué las simulaciones de phishing siguen siendo la mejor defensa.

Tipos comunes de correos electrónicos de phishing

1. Recolectores de credenciales

Estos imitan las páginas de inicio de sesión de Microsoft 365, Google Workspace, Dropbox, etc. Una página de inicio de sesión falsa captura el correo electrónico y la contraseña del usuario.

🧠 Ejemplo: «Hemos detectado actividad inusual en el inicio de sesión. Por favor, verifica tu cuenta».

2. Suplantación de identidad en el correo electrónico empresarial (BEC)

Un atacante suplantará o comprometerá una cuenta legítima y solicitará pagos de facturas, datos confidenciales o transferencias bancarias.

🧠 Ejemplo: «¿Puedes tramitar este pago urgente antes de las 14:00? Estoy de viaje».

3. Distribución de malware

Los correos contienen archivos adjuntos maliciosos (PDF, ZIP o Excel) que instalan malware o ransomware al abrirlos.

🧠 Ejemplo: «Factura del segundo trimestre: consulta el archivo adjunto».

4. Avisos falsos de RR. HH. o TI

Imitan anuncios internos para solicitar cambios de contraseña o revisiones de políticas.

🧠 Ejemplo: «Actualización de la política de seguridad: todos los empleados deben revisarla antes del viernes».

Análisis del correo electrónico de phishing: componentes clave

Analicemos un correo electrónico de phishing típico y los elementos engañosos que utiliza.

🔍 1. La dirección del remitente

  • Tiene este aspecto:support@m1crosoft.com

oalerts@dropbox-files.net

  • Truco: suplantación de dominio o uso de caracteres similares (por ejemplo, «rn» en lugar de «m»)

💬 2. El asunto

  • Diseñado para provocar urgencia o miedo:
  • «URGENTE: Aviso de suspensión de cuenta»
    • «Se requiere acción: Envío de formulario fiscal»

🧠 3. El contenido del cuerpo del mensaje

  • Usa logotipos y firmas reales de la empresa
  • Puede incluir enlaces a sitios web clonados
  • A menudo usa plantillas comunes (como los mensajes de O365)

🔗 4. La llamada a la acción (CTA)

  • Ejemplos de CTA: «Verificar ahora», «Restablecer contraseña», «Descargar archivo»
  • Suele estar oculto tras un hipervínculo o un botón

🧠 5. Desencadenantes psicológicos

El phishing se basa en la manipulación cognitiva, como:

  • Urgencia: «Actúa rápido o perderás el acceso»
  • Autoridad: «Enviado por el director general o el departamento de TI»
  • Miedo: «Se ha detectado una violación de seguridad»
  • Codicia: «Ya está disponible el pago de la bonificación»

Ejemplo real: un análisis más detallado

Asunto:Re: Updated Contract – Action Needed

*Hola, Max,

Te adjunto la versión final del acuerdo de confidencialidad.

Avísame cuando lo hayas firmado para que pueda reenviarlo al departamento jurídico.*

Archivo adjunto:NDA_v2.pdf.exe

De:janet@consultant-corp.eu

Análisis:

  • Se hace pasar por un contacto conocido
  • Incluye lenguaje empresarial verosímil
  • El archivo es en realidad un ejecutable

Si el usuario lo descarga y lo abre, el ransomware se instala silenciosamente en segundo plano.

Lo que se les escapa a los empleados, y por qué

A pesar de la formación anual, los correos de phishing siguen teniendo éxito. He aquí el motivo:

  • 📬 Fatiga de la bandeja de entrada: decenas de correos al día merman la atención
  • 🧠 Sobrecarga cognitiva: la multitarea reduce la atención
  • 👤 Confianza en la apariencia: las señales visuales, como los logotipos, son persuasivas
  • 💼 Ingeniería social: Aprovecha rutinas específicas de cada puesto (p. ej., RR. HH., contabilidad)

Según el DBIR 2024 de Verizon, el 74 % de las brechas de seguridad implican el factor humano.

Señales de alerta que hay que tener en cuenta

  • ❌ Dominio del remitente inusual o errores ortográficos
  • ❌ Saludo genérico: «Estimado usuario» o «Hola, cliente»
  • ❌ Urgencia inesperada: «Cuenta bloqueada»
  • ❌ Archivos adjuntos sospechosos o enlaces acortados
  • ❌ Solicitudes de información personal o de volver a introducir datos de inicio de sesión

Anima a los empleados a seguir el método S.T.O.P.:

S: Examina al remitente
T: Piensa antes de hacer clic
O: Observa si hay un tono inusual o urgencia
P: Echa un vistazo a los enlaces antes de hacer clic

Por qué las simulaciones funcionan mejor que la formación por sí sola

✅ Práctica en el mundo real

Las simulaciones imitan ataques reales y ponen a prueba el comportamiento real, no los conocimientos teóricos.

📈 Resultados medibles

Haz un seguimiento de quién hace clic, quién informa o quién no se da cuenta, y ofrece orientación personalizada.

🔁 Creación de hábitos

Las pruebas periódicas mantienen la concienciación al día y refuerzan los buenos hábitos.

Cómo ayuda AutoPhish

En AutoPhish, creamos correos electrónicos de phishing hiperrealistas adaptados al contexto de tu empresa utilizando IA y plantillas del mundo real. Las características incluyen:

  • 🧠 Contenido de correo electrónico personalizado por sector o puesto
  • 📬 Campañas mensuales (u otros intervalos) con plantillas dinámicas
  • 🔍 Seguimiento de clics, aperturas y denuncias
  • 📚 Comentarios de aprendizaje instantáneos para los empleados

Totalmente conforme con el RGPD y alojado en la UE.

Reflexiones finales

Los correos electrónicos de phishing modernos ya no son estafas obvias: son discretamente convincentes. Y cuando se trata de ciberseguridad, tu eslabón más débil sigue siendo el comportamiento humano.

Al comprender qué hace que los correos electrónicos de phishing funcionen —y qué se les escapa a tus empleados— puedes reforzar tus defensas de forma proactiva.

Forma mentes, no solo casillas de verificación. Simula, analiza, repite.

Lecturas recomendadas

Volver a todas las publicaciones

Ejecute su primera prueba de phishing en 10 minutos.

Regístrate gratis, sin tarjeta de crédito. Prueba Pro gratis durante 7 días cuando estés listo.

Comience a simular ahora¿Necesita una demostración para un equipo más grande? Habla con nosotros →