Según cifras oficiales de IBM y la Federal Trade Commission, las pérdidas de revenue reportadas por fraude subieron un 25% en los últimos años. A eso se suma que, en 2024, phishing/spoofing volvió a ser el delito más reportado ante el FBI. El mensaje es claro: el phishing en empresas ya no es un riesgo aislado, sino una amenaza persistente que exige prevención, criterios de validación y respuesta rápida.
La sofisticación de los ataques también cambió. En un reporte publicado en marzo de 2025, KnowBe4 señaló que 82.6% de los correos de phishing analizados exhibían algún uso de inteligencia artificial, lo que refuerza la capacidad de los atacantes para producir mensajes más creíbles y más difíciles de detectar.
En este contexto, contar con seguridad gestionada frente al phishing ayuda a bloquear sitios maliciosos, filtrar tráfico sospechoso y reducir la exposición de la red antes de que un clic termine en robo de credenciales o compromiso de cuentas.
Navegación segura y verificación de enlaces
En 2026, el phishing avanza hacia nuevas plataformas como redes sociales, aplicaciones de mensajería y entornos inmersivos, donde los delincuentes construyen relaciones de confianza antes de lanzar el fraude. La navegación corporativa debe incluir controles que validen la autenticidad de los sitios visitados.
Los códigos QR representan un vector de ataque cada vez más relevante. Microsoft los describe como el tipo de ataque por correo electrónico de más rápido crecimiento, y estima que ya concentran casi el 20% de todos los correos de phishing.
Implementar la verificación en dos pasos para cualquier solicitud de cambio de datos bancarios o transferencias reduce drásticamente el riesgo de fraude interno por correo comprometido.
MFA como barrera contra el acceso no autorizado
Investigaciones de Microsoft demuestran que la MFA puede bloquear más del 99.2% de los ataques de compromiso de cuentas, convirtiéndola en un componente esencial de cualquier marco de seguridad empresarial robusto.
La MFA mitiga los riesgos de contraseñas comprometidas, ya que incluso si una contraseña se ve afectada, el atacante aún no podrá acceder a la cuenta sin el segundo factor de autenticación. Esta capa adicional protege contra ataques de diccionario y violaciones de bases de datos.
El phishing de MFA también existe
El phishing de MFA es un ataque en el que un ciberdelincuente intenta engañar a un usuario para que revele información de su método de autenticación, requiriendo primero obtener las credenciales del objetivo. Por ello, los métodos basados en notificaciones push son más seguros que los códigos enviados por SMS.
Los estándares FIDO2 previenen el phishing al enviar siempre la solicitud de autenticación a la estación de trabajo donde se originó la petición de acceso, bloqueando intentos desde dispositivos no autorizados.
Filtros de correo y protección perimetral
Las organizaciones necesitan un enfoque multicapa para fortalecer las defensas contra el phishing en empresas.
Configurar correctamente protocolos como SPF, DKIM y DMARC protege el correo corporativo y permite utilizar herramientas de detección, aislamiento y análisis de enlaces maliciosos. Estos estándares validan la autenticidad del remitente antes de que el mensaje llegue a la bandeja de entrada.
Auditorías y actualización de protocolos
Las amenazas evolucionan constantemente, por lo que un plan de respuesta a incidentes debe actualizarse de forma regular. La seguridad no es un proyecto con fecha de finalización.
Capacitación continua del equipo
La capacitación sigue siendo una de las defensas más importantes frente al phishing en empresas, especialmente cuando los ataques imitan con mayor precisión el tono, la identidad visual y los procesos reales de una organización. Por eso, el entrenamiento debe actualizarse con ejemplos recientes y con escenarios que reflejen los riesgos reales del negocio.
Los simulacros de phishing permiten evaluar la preparación del equipo sin exponer a la organización a un incidente real. Además de medir la reacción inicial, ayudan a detectar fallas en validación de remitentes, revisión de enlaces y uso de canales alternativos para confirmar solicitudes sensibles.
También es clave establecer canales de reporte claros y sin penalización. Cuando un colaborador puede reportar un mensaje dudoso sin temor a represalias, la organización gana tiempo para contener el ataque y evitar que el mismo señuelo alcance a más usuarios.
Playbook en 10 pasos para prevenir y responder al phishing en empresas
El phishing en empresas exige una respuesta rápida, pero también una secuencia clara. Este playbook ordena las acciones clave para reducir el riesgo antes del clic y limitar el impacto cuando el incidente ya ocurrió.
Detecta la señal inicial. Revisa urgencia injustificada, pedidos fuera de proceso, errores en remitente, enlaces alterados o archivos adjuntos inesperados.
Verifica antes de interactuar. Confirma el remitente por otro canal y valida la URL real antes de abrir enlaces o descargar documentos.
Evita la acción impulsiva. No ingreses credenciales, no apruebes accesos MFA que no iniciaste y no respondas al mensaje sospechoso.
Reporta de inmediato. Escalar el caso temprano ayuda a bloquear campañas similares antes de que alcancen a más usuarios.
Aísla el equipo si hubo interacción. Si alguien hizo clic, descargó un archivo o entregó datos, conviene cortar la conexión y contener el alcance.
Protege las cuentas comprometidas. Cambia contraseñas, revoca sesiones activas y refuerza MFA en las cuentas afectadas.
Identifica el vector del ataque. Define si llegó por correo, QR, mensajería, sitio falso o credenciales reutilizadas.
Evalúa el alcance real. Revisa qué usuarios, buzones, dispositivos o datos pudieron quedar expuestos.
Corrige el control que falló. Ajusta filtros, reglas de correo, validaciones de dominio, bloqueo de sitios y protocolos internos.
Documenta y entrena. Registra el incidente, actualiza el procedimiento y úsalo como insumo para nuevas capacitaciones y simulaciones.
Mini checklist antes de hacer clic
¿Reconozco al remitente y su dirección coincide con el dominio esperado?
¿El mensaje presiona para actuar “ahora” sin seguir el proceso habitual?
¿La URL visible coincide con el destino real?
¿El adjunto era esperado y tiene sentido para mi función?
¿La solicitud pide credenciales, transferencia, cambio de datos o aprobación MFA?
¿Ya validé el pedido por un canal distinto al correo recibido?
Internet Seguro para empresas: una capa estructural frente al phishing
Cuando la amenaza entra por correo, enlaces falsos, sitios clonados o navegación riesgosa, la empresa necesita una capa estructural capaz de filtrar, bloquear y dar visibilidad sobre lo que circula por su red. Ahí es donde el paquete Internet Seguro para empresas de Entel aporta valor, como una base de protección perimetral que ayuda a reducir exposición y a sostener la continuidad operativa.
Qué aporta esta capa en la práctica
Filtrado y bloqueo de conexiones para limitar tráfico no confiable antes de que llegue al usuario.
Control de aplicaciones y análisis de tráfico para detectar comportamientos anómalos y mejorar la lectura de riesgo en la red.
Filtrado web y bloqueo automático de sitios maliciosos en niveles de seguridad más altos, especialmente útil cuando el ataque busca llevar al usuario a páginas falsas.
Detección y bloqueo de malware para reducir el impacto de archivos o descargas asociadas a campañas de engaño.
Inspección SSL y prevención ante ciberataques para ampliar la cobertura frente a amenazas que ya no viajan solo en texto plano.
Por qué eso importa en phishing
En phishing, el problema no siempre está en un solo correo: muchas veces está en la cadena completa que sigue después del mensaje. Un enlace que lleva a un sitio falso, una descarga maliciosa, una conexión a infraestructura sospechosa o una navegación que expone credenciales forman parte del mismo incidente.
Qué no conviene asumir
No reemplaza la capacitación del equipo ni la validación interna de procesos sensibles.
No evita por sí solo el error humano si el usuario entrega datos por un canal falso.
No sustituye controles como MFA, SPF, DKIM, DMARC, protección de endpoint o respuesta a incidentes.
Sí puede convertirse en una capa estructural que refuerza la estrategia general y ayuda a que un error individual no escale tan rápido a un problema operativo mayor.
Preguntas frecuentes
¿Cuánto tiempo tarda un atacante en explotar credenciales robadas?
Los atacantes suelen actuar en las primeras horas después de obtener credenciales, aprovechando la ventana antes de que la víctima detecte el compromiso. Por eso la velocidad de respuesta es crítica.
¿Los ataques de phishing solo llegan por correo electrónico?
No. Los vectores incluyen SMS, llamadas telefónicas, mensajes en redes sociales y aplicaciones de mensajería instantánea. La protección debe extenderse a todos los canales de comunicación corporativa.
¿Qué hacer si un cliente reporta haber recibido un correo fraudulento desde nuestro dominio?
Verificar inmediatamente si la cuenta fue comprometida o si se trata de suplantación de dominio. Notificar a todos los contactos, cambiar credenciales y revisar los registros de envío para identificar el alcance del incidente.
Protege tu operación antes del próximo intento
El phishing en empresas está ocurriendo en organizaciones de todos los tamaños y sectores. Las empresas que cuentan con protocolos de crisis y comunicación efectiva reducen el impacto y evitan la pérdida de confianza de clientes y socios.
La diferencia entre una organización resiliente y una vulnerable no está en el presupuesto, sino en la preparación sistemática y la respuesta coordinada. Cada minuto invertido en capacitación, cada protocolo documentado y cada simulación ejecutada construye una barrera más sólida contra el phishing en empresas.