La suplantación de identidad (phishing) sigue siendo una de las formas más comunes en que los atacantes logran acceder a las redes empresariales. Imita las comunicaciones comerciales legítimas del día a día, por lo que es una técnica ideal para recopilar información empresarial valiosa sin que nadie se dé cuenta. En el informe Cyber Security Breaches Survey 2025 del gobierno del Reino Unido, la suplantación fue el tipo más común de vulneración o ataque reportado por las empresas que identificaron incidentes, afectando al 85 % de ellas y al equivalente del 37 % de todas las empresas en general.
La formación en concienciación debe ser un mandato empresarial, no solo una tarea de cumplimiento. Un solo intento de suplantación exitoso puede exponer credenciales, otorgar acceso a sistemas internos y crear problemas que se extiendan mucho más allá de la bandeja de entrada de un solo empleado.
El problema es que muchas organizaciones todavía dependen de esfuerzos de concienciación puntuales, a pesar de que la suplantación cambia constantemente. Un programa más eficaz puede ofrecer a los empleados práctica repetida, hábitos de reporte más claros y controles de soporte que reduzcan el impacto de los errores.
Cómo es la suplantación en un contexto empresarial
La suplantación de identidad empresarial ha evolucionado más allá de los correos electrónicos obviamente falsos y llenos de errores ortográficos. En la práctica, es mucho más probable que los empleados se encuentren con intentos de aspecto realista como:
- Avisos de verificación de cuenta
- Notificaciones de documentos compartidos
- Páginas de inicio de sesión de plataformas empresariales comunes
- Aprobaciones de facturas
- Actualizaciones de RR. HH.
- Mensajes de proveedores de confianza o ejecutivos internos.
Si un miembro del equipo responde, los atacantes pueden utilizar la información recopilada sobre empleados o empresas para que los mensajes sean más persuasivos y realistas, especialmente en campañas más dirigidas.
Suplantación de identidad dirigida, suplantación de ejecutivos y robo de credenciales
La formación en concienciación sobre la suplantación de identidad debe preparar a los equipos para varios patrones a la vez. La suplantación de identidad dirigida es una de las variaciones más comunes de la suplantación. En lugar de enviar un mensaje genérico a miles de destinatarios, el atacante adapta el correo electrónico a un rol, proyecto, colega o relación con un proveedor específicos.
El mensaje resulta creíble porque se basa en algo que el empleado esperaría ver de forma realista. Este tipo de ataques suelen ser más convincentes gracias a la información recopilada de sitios web de la empresa, perfiles públicos u otras fuentes online.
Otra variante de la suplantación de identidad es la suplantación de ejecutivos, a veces denominada fraude del CEO. En este caso, el atacante imita a un alto cargo o a una parte interesada importante para crear una sensación de urgencia en torno a un pago, un archivo o una solicitud de credenciales, presionando al personal para que transfiera dinero o información a menos que se sigan los procesos de verificación normales.
Un tercer patrón es el robo de credenciales. En estos ataques, se empuja al empleado hacia una página de inicio de sesión falsa diseñada para capturar nombres de usuario, contraseñas y, a veces, incluso códigos de contraseña de un solo uso (OTP).
La formación sobre suplantación de identidad debe reflejar los flujos de trabajo reales de la empresa en lugar de dar consejos genéricos. Muchas páginas de suplantación están diseñadas para parecerse a herramientas que los empleados ya utilizan a diario.
Por qué los mensajes rutinarios de empresa son tan eficaces
La suplantación de identidad sigue siendo eficaz en las organizaciones porque a menudo se mimetiza con las operaciones cotidianas. Un aviso de inicio de sesión falso solo necesita parecer familiar el tiempo suficiente para que alguien actúe en piloto automático. Lo mismo ocurre con los mensajes de proveedores, las notificaciones de documentos compartidos o las solicitudes internas urgentes.
Por eso, la formación no debe centrarse solo en una redacción sospechosa o una gramática deficiente. Tus empleados también deben entender cómo los atacantes aprovechan las formas normales de trabajar. Piensa en cómo funciona tu organización y cómo puedes ayudar al personal a reconocer las solicitudes que quedan fuera de los procesos normales, especialmente cuando hay dinero, credenciales o información sensible de por medio.
Ejemplos recientes de vulneraciones
Los informes recientes sobre vulneraciones refuerzan la idea de que la suplantación de identidad dentro de las empresas va ahora mucho más allá de las simples estafas en la bandeja de entrada.
Según el Observatorio de Filtraciones de Datos de Proton, la empresa de tarjetas de felicitación Hallmark Cards fue blanco del grupo de hackers de extorsión criminal conocido como ShinyHunters. El grupo obtuvo registros pertenecientes a Hallmark Cards de Salesforce y dio a la empresa un plazo de extorsión que debía cumplir. Finalmente, el grupo filtró 2,8 millones de registros únicos.
ShinyHunters es un grupo prolífico que ha atacado a muchas empresas de alto perfil en los últimos meses. En enero de 2026, la marca de ropa Canada Goose se vio vinculada a una vulneración de unos 600 000 registros de clientes. Los datos procedían de una filtración a terceros ocurrida en agosto de 2025.
Estos ejemplos son útiles porque muestran el aspecto que tiene la suplantación de identidad en los entornos empresariales actuales: no se trata solo de engaños en la bandeja de entrada, sino de ataques dirigidos a contratistas, sistemas de identidad, acceso interno y las relaciones de confianza de las que dependen las organizaciones cada día.
Por qué la concienciación por sí sola no es suficiente
La concienciación sobre la suplantación de identidad es importante, pero no basta por sí sola. Los empleados no cometen errores solo porque les falte información. También los cometen porque están ocupados, distraídos, bajo presión o moviéndose rápidamente a través de flujos de trabajo donde un mensaje de suplantación puede pasar fácilmente por legítimo a primera vista.
Por eso, la formación no debe basarse en la idea de que cada empleado puede detectar cada intento de suplantación. Las organizaciones no pueden confiar únicamente en la detección por parte del usuario. Algunos ataques seguirán filtrándose, lo que significa que los controles técnicos, los procesos claros y la educación de los usuarios deben trabajar juntos.
Un programa de formación sobre concienciación de la suplantación de identidad más sólido se basa en esa realidad. Ayuda a los empleados a reconocer las señales de advertencia comunes, a detenerse cuando algo parece raro, a informar rápidamente y a trabajar dentro de sistemas que hagan que un error sea más fácil de contener. También conecta de forma natural con la preparación ante incidentes.
Si alguien hace clic en un enlace malicioso o comparte credenciales, la organización necesita una ruta de respuesta rápida y clara. La formación es mucho más eficaz cuando los empleados saben qué ocurre después de informar y qué papel desempeñan. La guía de Proton sobre respuesta ante incidentes puede ayudar a tu organización a elaborar un plan.
¿Cómo es un programa de formación eficaz en concienciación sobre la suplantación de identidad?
Un programa de formación eficaz no se basa en una única sesión anual y unos pocos ejemplos anticuados. Es continuo, práctico y está diseñado en torno a la forma en que la gente trabaja realmente. Esto significa refuerzo regular, escenarios realistas y comentarios que ayuden a los empleados a desarrollar un mejor criterio con el tiempo.
En la práctica, la concienciación sobre la suplantación de identidad debe aparecer en más de un momento. Debe formar parte de la incorporación, la formación de actualización, los recordatorios breves basados en escenarios y las revisiones de incidentes, no ser algo que los empleados ven una vez y olvidan. También tiene que reflejar la exposición real.
Es probable que alguien que se encargue de facturas, soporte ejecutivo, comunicación con proveedores, acceso privilegiado o registros sensibles se enfrente a tipos de presión de suplantación de identidad diferentes a los de alguien en un flujo de trabajo de menor riesgo. La guía de suplantación del NCSC refleja esa realidad al señalar que el personal con acceso a información sensible, activos financieros o sistemas de TI puede ser un objetivo más frecuente.
La práctica también debe utilizarse bien. La suplantación de identidad simulada puede ser útil, pero no cuando se convierte en un ejercicio para buscar culpables. Las simulaciones mal gestionadas pueden dañar la confianza y disuadir a la gente de informar de sus errores si sienten que se les está intentando pillar en lugar de apoyarles.
Un programa más sólido utiliza las simulaciones con cuidado, ofrece comentarios inmediatos y aumenta la dificultad gradualmente. No trata de demostrar que los empleados son fáciles de engañar, sino que les ayuda a desarrollar el reconocimiento de patrones, hábitos de notificación y más confianza en situaciones reales.
Las cinco señales de alerta de suplantación que los empleados siguen ignorando
Muchos empleados conocen las señales de advertencia clásicas, pero siguen pasando por alto los indicios más sutiles que aparecen en los ataques reales a empresas. La formación en concienciación sobre la suplantación es mucho más útil cuando enseña a las personas a reconocer los patrones que encajan con su trabajo diario.
1. Un mensaje que coincide con el flujo de trabajo, pero cambia el canal o la urgencia
Los correos electrónicos de suplantación más eficaces no parecen aleatorios en absoluto. Se parecen a solicitudes de facturas, documentos compartidos, actualizaciones de nóminas o notificaciones de inicio de sesión que los empleados esperan recibir.
Lo que cambia es la urgencia, el secretismo o el proceso. Un atacante quiere que el objetivo omita las comprobaciones habituales. Las directrices del NCSC advierten específicamente de que los atacantes aprovechan los procesos y solicitudes empresariales, incluidas las solicitudes de información o los pagos no autorizados.
2. Un nombre de remitente creíble que oculta un dominio malicioso o una fuente falseada
Los empleados suelen fijarse en el nombre a mostrar y no en la dirección completa, la ruta de respuesta o el dominio. Esa es una de las razones por las que los controles de suplantación de identidad de correo electrónico (spoofing) son importantes, pero la formación debe seguir enseñando a la gente a ir más despacio cuando una marca o un colega familiar parezcan algo “extraños”.
El NCSC aconseja a las organizaciones dificultar la suplantación de identidad de correo electrónico (spoofing) mediante controles como DMARC (autenticación, informes y conformidad de mensajes basados en dominios), SPF (marco de políticas de remitente) y DKIM (correo identificado por claves de dominio). Juntas, estas comprobaciones de autenticación de correo electrónico ayudan a los sistemas receptores a verificar si un mensaje procede realmente del dominio del que dice proceder.
3. Una página de inicio de sesión que parece bastante normal
Las páginas de robo de credenciales no necesitan ser perfectas. Solo necesitan resultar familiares el tiempo suficiente para que un empleado ingrese un nombre de usuario y una contraseña. En la práctica, la pista más importante puede ser el contexto más que el diseño: ¿por qué aparece ahora esta solicitud de inicio de sesión y por qué a través de esta ruta?
4. Una solicitud que prima la rapidez sobre la verificación
La suplantación de identidad de directivos, el fraude de facturas y las estafas de proveedores suelen basarse en la urgencia. El mensaje está diseñado para que la verificación parezca inconveniente o desleal. Una formación sólida en suplantación debe enseñar que la urgencia inesperada no es solo un lenguaje sospechoso; es una señal para pasar del modo de respuesta por correo electrónico al modo de verificación.
5. Una situación en la que informar resulte vergonzoso
Una de las señales de advertencia que más se pasan por alto es interna y no técnica: un empleado nota algo extraño, pero duda en informar porque no está seguro, está demasiado ocupado o le preocupa parecer descuidado.
El NCSC advierte contra la amonestación a los usuarios que tienen dificultades para reconocer la suplantación, ya que el miedo a las represalias frena las denuncias. Por ello, los programas saludables enseñan a los empleados que plantear una duda a tiempo es útil aunque el mensaje resulte ser inofensivo.
Qué ocurre cuando la formación falla
Cuando la formación en suplantación falla, el daño suele medirse en credenciales antes que en cualquier otra cosa. Un usuario ingresa una contraseña en un portal falso, aprueba un aviso inesperado o comparte detalles de inicio de sesión a través de una solicitud con apariencia interna convincente. A partir de ese momento, el problema ya no reside únicamente en una decisión sobre la bandeja de entrada. Se convierte en un problema de control de acceso.
Aquí es donde la conexión entre la suplantación y la higiene de contraseñas se vuelve tan crítica. Si se reutiliza la misma contraseña en varios servicios, una credencial comprometida puede convertirse en una ruta de acceso al correo electrónico, herramientas SaaS, plataformas en la nube o sistemas de administrador. Si los inicios de sesión compartidos se siguen gestionando mediante métodos informales o no controlados, la responsabilidad disminuye aún más.
El Data Breach Observatory Report de Proton señala que los nombres y correos electrónicos aparecen en 9 de cada 10 vulneraciones, que el 72 % de las vulneraciones contienen datos de contacto y que el 49 % incluyen contraseñas. Esto significa que los atacantes suelen tener exactamente el material bruto que necesitan para que la suplantación sea más convincente y para explotar la reutilización de contraseñas cuando tienen éxito.
Algunos ejemplos recientes de vulneraciones plantean lo mismo desde otro ángulo. En los informes de vulneraciones de Proton, los incidentes relacionados con la suplantación en 2026 no se detuvieron en un enlace en el que se hizo clic; se convirtieron en acceso a la red, exposición interna e incidentes empresariales de mayor alcance. Por eso, la prevención de ataques de suplantación no puede consistir solo en que los empleados los reconozcan. También tiene que reducir el alcance de las credenciales robadas una vez que se ha comprometido una cuenta.
El uso de contraseñas únicas para cada servicio es uno de los controles más sencillos y valiosos en este sentido. No evitan que se produzca un intento de suplantación, pero ayudan a contener las consecuencias. Si roban una contraseña, no debería servir para desbloquear otros cinco sistemas.
Un gestor de contraseñas empresarial seguro apoya una estrategia de cultura de seguridad. Proton Pass for Business está diseñado para ayudar a los equipos a generar y almacenar contraseñas seguras y únicas para cada servicio, reduciendo la posibilidad de que un evento de suplantación exitoso se propague en cascada por toda la organización.
Un modelo práctico de formación sobre suplantación para empleados
El mejor punto de partida no son los materiales de formación genéricos, sino la forma en que funciona realmente tu organización.
Céntrate primero en los escenarios de suplantación que los empleados tienen más probabilidades de afrontar: avisos de inicio de sesión, suplantación de proveedores, aprobaciones de pagos, notificaciones de documentos compartidos, solicitudes de directivos o ataques a proveedores de identidad. La formación resulta mucho más útil cuando las personas pueden reconocer en ella su propia realidad laboral.
Informar también debe ser algo sencillo y seguro. Las pautas de suplantación de identidad del NCSC dejan claro que las organizaciones deben ayudar a los usuarios a identificar e informar sobre mensajes de suplantación sospechosos, mientras que el sitio web de denuncia de fraudes(ventana nueva) proporciona la ruta oficial de denuncia del Reino Unido para la suplantación y el ciberdelito. Los empleados deben saber dónde informar internamente, qué incluir y qué hacer de inmediato si han hecho clic en un enlace, han ingresado sus credenciales o han aprobado el acceso.
La formación debe estar respaldada por controles que reduzcan el coste de los errores. Eso incluye el filtrado de correo electrónico, protecciones contra la suplantación de identidad de correo electrónic (spoofing), flujos de inicio de sesión seguros, 2FA y una higiene de contraseñas más sólida. La guía para empresas de Proton sobre la prevención de ataques de suplantación también señala el valor de contar con canales de denuncia claros, prácticas repetidas y la monitorización de credenciales expuestas.
Por último, mide algo más que los clics. Las tasas de clics en simulaciones pueden ser útiles, pero las tasas de denuncia, el tiempo de respuesta, los patrones de fallos repetidos y los incidentes relacionados con credenciales suelen ofrecer una imagen más clara de si la resiliencia está mejorando. El NCSC también recomienda reflexionar con cuidado sobre las métricas de suplantación para que las organizaciones no acaben desanimando la denuncia segura.
La detección perfecta no es posible, pero una respuesta más sólida sí lo es
La formación en concienciación sobre suplantación es más eficaz cuando va más allá de la idea de que los empleados deben ser capaces de detectar cada ataque a la perfección. Un objetivo más realista es formar un equipo que pueda reconocer las señales de advertencia familiares, informar de sus inquietudes rápidamente y responder de forma que se evite que un solo error se convierta en un incidente mayor.
Para eso hace falta algo más que información. Requiere una práctica repetida, ejemplos que reflejen roles y flujos de trabajo reales, y procesos claros en los que los empleados puedan confiar cuando algo parezca no ir bien. También requiere controles que reduzcan el impacto del robo de credenciales cuando un intento de suplantación tiene éxito. Por esa razón, la formación en suplantación para empleados funciona mejor como parte de una cultura de seguridad más amplia, y no como un ejercicio de concienciación independiente.
Las organizaciones que reducen bien el riesgo de suplantación tienden a combinar los mismos elementos: formación práctica, hábitos claros de denuncia, una mayor preparación ante incidentes y una higiene de credenciales más estricta. Los recursos de Proton sobre ataques de suplantación y respuesta ante incidentes refuerzan el mismo principio: la concienciación es mucho más eficaz cuando está respaldada por sistemas que facilitan la contención de una intrusión.
