La suplantación sigue siendo una de las formas más comunes para que los atacantes obtengan acceso a las redes empresariales. Imita las comunicaciones empresariales cotidianas legítimas, por lo que es una técnica ideal para recopilar información empresarial valiosa sin que nadie se dé cuenta. En el informe Cyber Security Breaches Survey 2025 del gobierno del Reino Unido, la suplantación fue el tipo de vulneración o ataque más común reportado por las empresas que identificaron incidentes, afectando al 85 % de ellas y al equivalente del 37 % de todas las empresas en general.

La capacitación en concientización debe ser un mandato empresarial, no solo una tarea de cumplimiento. Un solo intento de suplantación exitoso puede exponer credenciales, otorgar acceso a sistemas internos y crear problemas que se propaguen mucho más allá de la bandeja de entrada de un solo empleado.

El problema es que muchas organizaciones todavía dependen de esfuerzos de concientización puntuales, a pesar de que la suplantación cambia constantemente. Un programa más eficaz puede brindar a los empleados una práctica constante, hábitos de reporte más claros y controles de soporte que reduzcan el impacto de los errores.

Cómo se ve la suplantación en un contexto empresarial

La suplantación empresarial ha evolucionado más allá de los correos electrónicos obviamente falsos y llenos de errores ortográficos. En la práctica, es mucho más probable que los empleados encuentren intentos con un aspecto realista como los siguientes:

  • Indicaciones de verificación de cuenta
  • Notificaciones de documentos compartidos
  • Páginas de inicio de sesión para plataformas empresariales comunes
  • Aprobaciones de facturas
  • Actualizaciones de recursos humanos
  • Mensajes de proveedores de confianza o ejecutivos internos.

Si un miembro del equipo responde, los atacantes pueden utilizar la información que han recopilado sobre los empleados o las empresas para que los mensajes sean más persuasivos y realistas, especialmente en campañas más dirigidas.

Suplantación dirigida, suplantación de identidad de ejecutivos y recolección de credenciales

La capacitación sobre concientización de la suplantación debe preparar a los equipos para varios patrones a la vez. La suplantación dirigida es una de las variaciones más comunes de suplantación. En lugar de enviar un mensaje genérico a miles de destinatarios, el atacante adapta el correo electrónico a un rol, proyecto, colega o relación con un proveedor específico.

El mensaje resulta verosímil porque se construye en torno a algo que el empleado esperaría ver de forma realista. Este tipo de focalización suele ser más convincente gracias a la información recopilada de sitios web de la empresa, perfiles públicos u otras fuentes en línea.

Otra variación de la suplantación es la suplantación de identidad de ejecutivos, a veces denominada fraude del CEO. En este caso, el atacante imita a un alto directivo o a una parte interesada importante para crear una sensación de urgencia en torno a un pago, un archivo o una solicitud de credenciales, presionando al personal para que transfiera dinero o información a menos que se sigan los procesos de verificación habituales.

Un tercer patrón es la recolección de credenciales. En estos ataques, se empuja al empleado hacia una página de inicio de sesión falsa diseñada para capturar nombres de usuario, contraseñas y, a veces, incluso códigos de contraseña de un solo uso (OTP).

La capacitación sobre suplantación debe reflejar los flujos de trabajo empresariales reales en lugar de dar consejos genéricos. Muchas páginas de suplantación están diseñadas para parecerse a herramientas que los empleados ya utilizan todos los días.

Por qué los mensajes empresariales rutinarios son tan eficaces

La suplantación sigue siendo eficaz en las organizaciones porque a menudo se integra en las operaciones cotidianas. Un aviso de inicio de sesión falso solo necesita resultar familiar el tiempo suficiente para que alguien actúe en piloto automático. Lo mismo ocurre con los mensajes de proveedores, las notificaciones de documentos compartidos o las solicitudes internas urgentes.

Por eso la capacitación no debe centrarse únicamente en una redacción sospechosa o una gramática deficiente. Los empleados también deben comprender cómo los atacantes aprovechan las formas normales de trabajo. Piense en cómo funciona su organización y cómo puede ayudar al personal a reconocer las solicitudes que quedan fuera de los procesos normales, especialmente cuando hay dinero, credenciales o información confidencial de por medio.

Ejemplos recientes de vulneraciones

Los informes recientes sobre vulneraciones refuerzan el punto de que la suplantación dentro de las empresas va ahora mucho más allá de las simples estafas en la bandeja de entrada.

Según el Observatorio de vulneraciones de datos de Proton, la empresa de tarjetas de felicitación Hallmark Cards fue blanco del grupo de hackers de extorsión criminal conocido como ShinyHunters. El grupo obtuvo registros pertenecientes a Hallmark Cards de Salesforce y le dio a la empresa un plazo de extorsión que debía cumplir. Finalmente, el grupo filtró 2.8 millones de registros únicos.

ShinyHunters es prolífico y ha atacado a muchas empresas de alto perfil en los últimos meses. En enero de 2026, la marca de ropa Canada Goose fue vinculada a una vulneración de unos 600,000 registros de clientes. Los datos procedían de una vulneración de terceros ocurrida en agosto de 2025.

Estos ejemplos son útiles porque muestran cómo es la suplantación en los entornos empresariales actuales: no solo engaños en la bandeja de entrada, sino ataques dirigidos a contratistas, sistemas de identidad, acceso interno y las relaciones de confianza en las que las organizaciones confían cada día.

Por qué la concientización por sí sola no es suficiente

La concientización sobre la suplantación es importante, pero no es suficiente por sí sola. Los empleados no cometen errores solo por falta de información. También los cometen porque están ocupados, distraídos, bajo presión o moviéndose rápidamente a través de flujos de trabajo donde un mensaje de suplantación puede pasar fácilmente por legítimo a primera vista.

Es por eso que la capacitación no debe basarse en la idea de que cada empleado puede detectar cada intento de suplantación. Las organizaciones no pueden confiar únicamente en la detección por parte del usuario. Algunos ataques seguirán pasando, lo que significa que los controles técnicos, los procesos claros y la educación de los usuarios deben funcionar juntos.

Un programa de capacitación en concientización sobre la suplantación más sólido se construye en torno a esa realidad. Ayuda a los empleados a reconocer señales de advertencia comunes, a detenerse cuando algo parece extraño, a informar rápidamente y a trabajar dentro de sistemas que facilitan la contención de un error. También se conecta naturalmente con la preparación ante incidentes.

Si alguien hace clic en un enlace malicioso o comparte credenciales, la organización necesita una ruta de respuesta rápida y clara. La capacitación se vuelve mucho más efectiva cuando los empleados saben qué sucede después de realizar un informe y qué rol desempeñan. La guía de Proton sobre respuesta ante incidentes puede ayudar a su organización a elaborar un plan.

¿Cómo es un programa eficaz de capacitación en concientización sobre la suplantación?

Un programa eficaz de capacitación en concientización sobre la suplantación no se basa en una única sesión anual y unos pocos ejemplos obsoletos. Es continuo, práctico y está diseñado en torno a la forma en que las personas trabajan realmente. Esto significa un refuerzo regular, escenarios realistas y comentarios que ayuden a los empleados a desarrollar un mejor criterio con el tiempo.

En la práctica, la concientización sobre la suplantación debe aparecer en más de un momento. Debe formar parte de la incorporación, la capacitación de actualización, los recordatorios breves basados en escenarios y las revisiones de incidentes, no algo que los empleados vean una vez y olviden. También debe reflejar la exposición real.

Es probable que alguien que se encargue de facturas, soporte ejecutivo, comunicación con proveedores, acceso privilegiado o registros confidenciales se enfrente a diferentes tipos de presión por suplantación que alguien en un flujo de trabajo de menor riesgo. La guía de suplantación del NCSC refleja esa realidad al señalar que el personal con acceso a información confidencial, activos financieros o sistemas de TI puede ser objeto de ataques más intensos.

La práctica también debe utilizarse bien. La suplantación simulada puede ser útil, pero no cuando se convierte en un ejercicio de culpabilización. Las simulaciones mal gestionadas pueden dañar la confianza y disuadir a las personas de informar errores si sienten que se les está atrapando en lugar de apoyarlas.

Un programa más sólido utiliza las simulaciones con cuidado, ofrece comentarios inmediatos y aumenta la dificultad gradualmente. No intenta demostrar que los empleados son fáciles de engañar. Los ayuda a desarrollar el reconocimiento de patrones, hábitos de informe y más confianza en situaciones reales.

Las cinco señales de alerta de suplantación que los empleados todavía pasan por alto

Muchos empleados conocen las señales de advertencia clásicas, pero aún pasan por alto los indicios más sutiles que ocurren en ataques empresariales reales. La capacitación en concientización sobre la suplantación es mucho más útil cuando enseña a las personas a reconocer los patrones que se ajustan a su trabajo diario.

1. Un mensaje que coincide con el flujo de trabajo, pero cambia el canal o la urgencia

Los correos electrónicos de suplantación más eficaces no parecen aleatorios en absoluto. Se asemejan a solicitudes de facturas, documentos compartidos, actualizaciones de nómina o notificaciones de inicio de sesión que los empleados esperan recibir.

Lo que cambia es la urgencia, el secreto o el proceso. Un atacante desea que el objetivo omita las verificaciones normales. La guía del NCSC advierte específicamente que los atacantes aprovechan los procesos y las solicitudes comerciales, incluidas las solicitudes de información o los pagos no autorizados.

2. Un nombre de remitente creíble que oculta un dominio defectuoso o una fuente suplantada

Los empleados a menudo se centran en el nombre para mostrar y no en la dirección completa, la ruta de respuesta o el dominio. Esa es una de las razones por las que los controles de protección contra la suplantación de identidad son importantes, pero la capacitación aún debe enseñar a las personas a ir más despacio cuando una marca familiar o un colega parecen un tanto «extraños».

El NCSC aconseja a las organizaciones dificultar la suplantación de identidad mediante controles como la Autenticación de mensajes basada en dominios, informes y conformidad (DMARC), el Marco de políticas del remitente (SPF) y el Correo identificado con claves de dominio (DKIM). Juntos, estos controles de autenticación de correo electrónico ayudan a los sistemas receptores a verificar si un mensaje realmente proviene del dominio que dice provenir.

3. Una página de inicio de sesión que parece lo suficientemente normal

Las páginas de obtención de credenciales no necesitan ser perfectas. Solo necesitan parecer familiares el tiempo suficiente para que un empleado ingrese un nombre de usuario y una contraseña. En la práctica, la pista más importante puede ser el contexto en lugar del diseño: ¿por qué aparece esta solicitud de inicio de sesión ahora y por qué a través de esta ruta?

4. Una solicitud que pide rapidez por encima de la verificación

La suplantación de identidad de ejecutivos, el fraude de facturas y las estafas de proveedores suelen basarse en la urgencia. El mensaje está diseñado para que la verificación parezca inconveniente o desleal. Una capacitación sólida en suplantación debe enseñar que la urgencia inesperada no es solo un lenguaje sospechoso; es una señal para cambiar del modo de respuesta de correo electrónico al modo de verificación.

5. Una situación en la que informar resulta vergonzoso

Una de las señales de advertencia más ignoradas es interna en lugar de técnica: un empleado nota algo extraño, pero duda en informarlo porque no está seguro, está demasiado ocupado o le preocupa parecer descuidado.

El NCSC advierte contra la amonestación a los usuarios que tienen dificultades para reconocer la suplantación porque el miedo a las represalias suprime la denuncia. Por lo tanto, los programas saludables enseñan a los empleados que plantear una inquietud a tiempo es útil incluso si el mensaje resulta ser inofensivo.

Qué sucede cuando la capacitación falla

Cuando la capacitación en suplantación falla, el daño a menudo se mide en las credenciales antes de medirse en cualquier otro lugar. Un usuario ingresa una contraseña en un portal falso, aprueba una solicitud inesperada o comparte detalles de inicio de sesión a través de una solicitud convincente que parece interna. A partir de ese momento, el problema ya no se trata solo de una decisión en la bandeja de entrada. Se convierte en un problema de control de acceso.

Aquí es donde la conexión entre la suplantación y la higiene de las contraseñas se vuelve tan crítica. Si se reutiliza la misma contraseña en varios servicios, una credencial comprometida puede convertirse en una ruta hacia el correo electrónico, las herramientas SaaS, las plataformas en la nube o los sistemas de administrador. Si los inicios de sesión compartidos se siguen manejando mediante métodos informales o no controlados, la rendición de cuentas disminuye aún más.

El Data Breach Observatory Report de Proton señala que los nombres y los correos electrónicos aparecen en 9 de cada 10 vulneraciones, que el 72 % de las vulneraciones contienen datos de contacto y que el 49 % incluyen contraseñas. Esto significa que los atacantes a menudo tienen exactamente el material bruto que necesitan para que la suplantación sea más convincente y para aprovechar la reutilización de contraseñas cuando tienen éxito.

Varios ejemplos de vulneraciones recientes plantean el mismo punto desde otro ángulo. En los informes de vulneraciones de Proton, los incidentes relacionados con la suplantación en 2026 no se detuvieron en un enlace en el que se hizo clic; se convirtieron en acceso a la red, exposición interna e incidentes comerciales más amplios. Es por eso que la prevención de ataques de suplantación no puede consistir solo en el reconocimiento por parte de los empleados. También tiene que reducir hasta dónde pueden viajar las credenciales robadas una vez que una cuenta se ve comprometida.

Las contraseñas únicas para cada servicio son uno de los controles más sencillos y de mayor valor en este sentido. No detienen el intento de suplantación, pero ayudan a contener las consecuencias. Si roban una contraseña, esta no debería desbloquear otros cinco sistemas.

Un gestor de contraseñas empresarial seguro respalda una estrategia de cultura de seguridad. Proton Pass for Business está diseñado para ayudar a los equipos a generar y almacenar contraseñas sólidas y únicas para cada servicio, lo que reduce la posibilidad de que un evento de suplantación exitoso se propague en cascada por toda la organización.

Un modelo práctico para la capacitación en suplantación para los empleados

El mejor lugar para comenzar no es con materiales de capacitación genéricos, sino con la forma en que su organización realmente trabaja.

Céntrese primero en los escenarios de suplantación que los empleados tienen más probabilidades de enfrentar: solicitudes de inicio de sesión, suplantación de identidad de proveedores, aprobaciones de pagos, notificaciones de documentos compartidos, solicitudes de ejecutivos o ataques a proveedores de identidad. La capacitación se vuelve mucho más útil cuando las personas pueden reconocer en ella su propia realidad laboral.

Los informes también deben ser sencillos y seguros. Las directrices sobre suplantación del NCSC dejan claro que las organizaciones deben ayudar a los usuarios a identificar e informar sobre mensajes de suplantación sospechosos, mientras que el sitio web de denuncia de fraudes(nueva ventana) constituye la vía oficial de denuncia del Reino Unido para la suplantación y el ciberdelito. Los empleados deben saber dónde informar internamente, qué incluir y qué hacer de inmediato si hicieron clic en un enlace, ingresaron credenciales o aprobaron el acceso.

La capacitación debe estar respaldada por controles que reduzcan el costo de los errores. Eso incluye el filtrado de correo electrónico, protecciones contra la suplantación de identidad, flujos de inicio de sesión seguros, 2FA y una higiene de contraseñas más sólida. La guía de Proton para empresas sobre prevención de ataques de suplantación también señala el valor de contar con canales de denuncia claros, prácticas repetidas y el monitoreo de credenciales expuestas.

Por último, mida algo más que los clics. Las tasas de clics en simulaciones pueden ser útiles, pero las tasas de denuncia, el tiempo transcurrido hasta la denuncia, los patrones de fallas repetidas y los incidentes relacionados con las credenciales suelen ofrecer una imagen más clara de si la resiliencia está mejorando. El NCSC también recomienda reflexionar cuidadosamente sobre las métricas de suplantación para que las organizaciones no terminen desincentivando las denuncias seguras.

La detección perfecta no es posible, pero una respuesta más sólida sí lo es

La capacitación en concientización sobre la suplantación es más efectiva cuando va más allá de la idea de que los empleados deben ser capaces de detectar cada ataque a la perfección. Un objetivo más realista es formar un equipo que pueda reconocer señales de advertencia familiares, informar sobre inquietudes rápidamente y responder de manera que se evite que un error escale hasta convertirse en un incidente mayor.

Eso requiere algo más que información. Requiere práctica repetida, ejemplos que reflejen roles y flujos de trabajo reales, y procesos claros en los que los empleados puedan confiar cuando algo parezca incorrecto. También requiere controles que reduzcan el impacto del robo de credenciales cuando un intento de suplantación tiene éxito. Por esa razón, la capacitación en suplantación para empleados funciona mejor como parte de una cultura de seguridad más amplia, y no como un ejercicio de concientización aislado.

Las organizaciones que reducen bien el riesgo de suplantación suelen combinar los mismos elementos: capacitación práctica, hábitos de denuncia claros, una mayor preparación ante incidentes y una higiene de credenciales más estricta. Los recursos de Proton sobre ataques de suplantación y respuesta ante incidentes refuerzan el mismo principio: la concientización es mucho más efectiva cuando está respaldada por sistemas que facilitan la contención de una vulneración.