En los diagnósticos de seguridad que hacemos, la misma pregunta aparece una y otra vez: “¿cuál es la amenaza más grave para una PyME hoy?”. La respuesta no es un ataque sofisticado, ni una vulnerabilidad exótica, ni un espía extranjero. Es un mail.
Un mail que parece de la AFIP, del banco, de un proveedor conocido, del CEO de la propia empresa. Un mail que llega en un momento de mucho trabajo, que tiene el tono y el logo correctos, que pide algo urgente. Alguien del equipo hace click, carga una clave, descarga un archivo. En minutos, los atacantes tienen acceso a la cuenta de correo, al home banking o a una computadora con acceso al servidor.
El phishing no requiere sofisticación: requiere que una persona, en un momento apurado, no detecte la trampa. Por eso la mejor defensa no es técnica, es entrenar el ojo del equipo.
Los patrones que se repiten
Aunque los mails cambian, las señales son siempre las mismas. Un equipo que las conoce puede detectar el 90% de los intentos.
Urgencia artificial. “Su cuenta será suspendida en 24 horas.” “Atención inmediata requerida.” “Último aviso antes del bloqueo.” El phishing apura para que no haya tiempo de pensar. Un correo legítimo de un banco, AFIP o proveedor rara vez exige actuar en minutos.
Remitente con dominio raro. El correo parece ser de @bancogalicia.com.ar pero al mirar bien dice @bancogalicia-seguridad.net. O es @afip-gob.ar en lugar de @afip.gob.ar. Los atacantes registran dominios que se parecen mucho al original; la diferencia está en uno o dos caracteres. La regla: siempre mirar el dominio completo, no solo el nombre que muestra el cliente de correo.
Enlaces que no llevan a donde parecen. Un botón que dice “Iniciar sesión en su banco” puede apuntar a un sitio falso. Al pasar el mouse por encima (sin hacer click), aparece el destino real en la barra de estado del navegador o del correo. Si la URL no coincide con el banco real, es phishing.
Archivos adjuntos inesperados. Una factura en PDF de un proveedor con el que no se tiene relación, un comprobante de envío de un paquete que no se pidió, un currículum para una búsqueda que la empresa no abrió. Los adjuntos son una de las vías más comunes de infección.
Errores sutiles en el tono. Muchos mails de phishing están traducidos automáticamente o escritos por alguien que no maneja bien el español. Frases raras, modismos incorrectos, espacios mal ubicados. No siempre aparecen, pero cuando aparecen son una señal fuerte.
Pedidos inusuales. Un correo del “CEO” pidiendo al gerente financiero que transfiera dinero urgente a una cuenta nueva. Un “proveedor” que avisa que cambió su número de cuenta para cobros. Pedidos que rompen el procedimiento normal deberían siempre confirmarse por otro canal antes de actuar.
Los casos típicos que llegan a PyMEs argentinas
Falsa AFIP. “Detectamos irregularidades en su CUIT. Ingrese a este enlace para regularizar antes de 48 horas”. El link lleva a una réplica de la página de AFIP donde se piden claves fiscales. AFIP nunca pide datos así por correo.
Falso banco. “Su home banking será bloqueado por actividad sospechosa”. Los bancos serios nunca mandan links por mail para volver a iniciar sesión. Si hay algo que hacer, se entra escribiendo la URL del banco en el navegador, no haciendo click.
Falso courier. “Tu paquete está detenido en aduana, pagá $X para liberarlo”. Correo Argentino, DHL, FedEx no cobran aranceles por mail con link de pago.
Falso CEO o dueño. “Necesito que transfieras urgente a esta cuenta, después te explico”. Llega al gerente financiero o a quien paga facturas. El dominio del remitente a veces es falso; otras veces la cuenta real del CEO fue comprometida antes.
Falso Microsoft/Office 365. “Su cuenta caducará en 24 horas, renueve la contraseña”. El link lleva a una réplica del login de Microsoft 365. Si se carga la clave ahí, los atacantes entran a la cuenta real y desde ahí pueden enviar mails a los demás empleados, haciéndose pasar por el usuario legítimo.
WhatsApp del CEO. Un mensaje desde un número nuevo, con foto del dueño, pidiendo una tarea urgente. El número es falso; la foto se sacó de LinkedIn o de las redes sociales.
Cómo capacitar al equipo
No hace falta un programa formal de capacitación. Alcanza con tres cosas:
Una charla corta (30-45 minutos) donde se muestran ejemplos reales de phishing recibidos por la empresa o por empresas parecidas. Ver los casos concretos es mucho más efectivo que leer un documento abstracto sobre ciberseguridad.
Una regla de confirmación por otro canal: si llega un pedido inusual por mail o WhatsApp (transferencias, cambios de cuenta, claves, urgencias), se confirma por teléfono o persona antes de actuar. Esta regla sola evita el 80% de los ataques de ingeniería social.
Un procedimiento claro para reportar. Si alguien recibe un mail sospechoso, que lo reenvíe a un buzón interno o al responsable de IT. Ver casos reales del propio equipo ayuda a que todos aprendan.
Capacitaciones periódicas (dos veces al año) mantienen el tema fresco. Sin eso, la atención baja y en seis meses alguien vuelve a caer.
Lo que las herramientas pueden hacer (y lo que no)
Complementariamente, hay medidas técnicas que bajan el número de mails que llegan:
– Filtros antispam y antiphishing en el servidor de correo: Microsoft 365 y Google Workspace los traen activos por defecto. Servidores propios requieren configuración.
– SPF, DKIM y DMARC configurados en el dominio propio: evitan que los atacantes falsifiquen el dominio de la empresa para mails externos.
– 2FA activo en todas las cuentas importantes: aunque alguien caiga en el phishing y entregue la contraseña, sin el segundo factor los atacantes no entran.
– Antivirus con análisis de correo en el endpoint: ESET y similares pueden detectar adjuntos maliciosos antes de que se abran.
Ninguna de estas herramientas reemplaza al ojo humano. Un equipo capacitado es la capa que detecta lo que las herramientas dejan pasar.
¿Sabe el equipo qué hacer si mañana llega un mail de “AFIP” pidiendo que ingrese a un link para regularizar algo? Si la respuesta no es clara, vale dedicar media hora a ponerlos sobre aviso. Es probablemente la inversión en seguridad con mejor relación entre costo y riesgo evitado.


