Decálogo A2J Anti-Phishing: 10 reglas para proteger tu empresa de un solo clic
🔐 Decálogo A2J Anti-Phishing: 10 reglas para proteger tu empresa de un solo clic
📌 Resumen rápido: Hoy un ataque a tu empresa no empieza forzando una puerta, empieza con un SMS, un correo o un WhatsApp falso. Este decálogo recoge 10 reglas prácticas para que Ventas, Compras, Producción y Técnicos sepan reconocer y evitar el phishing. Incluye PDF descargable para imprimir y colgar en oficina.
En A2J llevamos años hablando de seguridad: extintores, BIE, detectores, evacuación… pero hay un fuego que no se apaga con agua ni con polvo ABC: el incendio que se inicia cuando alguien pincha un enlace que no debía.
Móviles de empresa y ordenadores contienen hoy datos de clientes, presupuestos, certificados, accesos remotos, planos, fotografías de instalaciones y contraseñas. Un solo descuido puede comprometer el trabajo de meses.
📥 Descarga el decálogo en PDF
Versión imprimible lista para colgar en oficina, taller o vestuarios. 4 páginas con el decálogo completo y los riesgos específicos de cada departamento.
⬇️ Descargar PDF gratis1. ¿Qué es el phishing y por qué nos afecta?
El phishing es un engaño digital donde alguien se hace pasar por una persona o empresa de confianza (un banco, un proveedor, tu propio jefe) para que pinches un enlace, descargues un archivo o hagas una transferencia.
No se ataca al sistema, se ataca a la persona. Y por eso funciona tan bien: ningún antivirus puede protegerte de tu propio dedo pulsando "Aceptar".
La palabra phishing viene del inglés fishing (pescar) cambiando la "f" por "ph" en homenaje a los phreakers, los primeros hackers telefónicos de los años 70. La idea es la misma: lanzar un anzuelo y esperar a que alguien pique.
2. El decálogo: 10 reglas por departamento
No todos los departamentos reciben los mismos ataques. Un comercial recibe correos falsos de "clientes nuevos"; Compras recibe "cambios de IBAN" de proveedores; los técnicos en obra usan WiFi públicas. Por eso cada regla indica a qué departamentos aplica:
VENTAS COMPRAS PRODUCCIÓN TÉCNICOS
| Nº | Regla | Aplica a |
|---|---|---|
| 01 | Desconfía de la urgencia. Si te meten prisa, para. La prisa es el arma nº1 del phishing. | V C P T |
| 02 | No abras enlaces sospechosos. Revisa siempre el remitente real y la URL completa antes de pulsar. | V C P T |
| 03 | No descargues archivos desconocidos. Si no esperabas el archivo, no lo abras. | V C P T |
| 04 | Verifica cambios de IBAN. Si un proveedor cambia cuenta, llamar SIEMPRE al teléfono habitual (nunca al del correo). | V C |
| 05 | Contraseñas fuertes y diferentes. Una por cada servicio. Usa gestor de contraseñas. | V C P T |
| 06 | Activa la doble verificación (MFA). En correo, banca, ERP y accesos remotos. | V C P |
| 07 | Mantén equipos actualizados. Las actualizaciones corrigen fallos de seguridad. No las retrases semanas. | V C P T |
| 08 | Cuidado con WiFi públicas. En obra, bar o aeropuerto: mejor datos móviles para tareas sensibles. | P T |
| 09 | Desconfía de WhatsApps falsos. Si "el jefe" o un cliente pide algo raro, llámale antes de actuar. | V C P T |
| 10 | Ante la duda: PARAR y CONSULTAR. 2 minutos verificando ahorran horas y dinero. | V C P T |
La regla más cara de saltarse es la nº4 (verificar cambios de IBAN). En España, el fraude del "cambio de cuenta bancaria" se lleva por delante a empresas todas las semanas. Cantidades habituales: de varios miles a decenas de miles de euros por golpe. Una llamada de 30 segundos al proveedor habitual lo evita.
3. ¿Cómo se reconoce un mensaje falso?
Los atacantes ya no escriben con faltas de ortografía como hace 10 años. Hoy usan inteligencia artificial y plantillas que copian exactamente la imagen de bancos, paquetería o tu propia empresa. Aun así, hay señales que siempre se repiten:
- ⚠️ Urgencia artificial ("en 24 h se bloquea la cuenta")
- ⚠️ Remitente extraño (letras cambiadas, dominios raros)
- ⚠️ Saludo genérico ("Estimado cliente" en lugar de tu nombre)
- ⚠️ Enlaces que no coinciden con el texto visible
- ⚠️ Archivos adjuntos inesperados
- ⚠️ Pide confidencialidad ("no comentes esto con nadie")
- ⚠️ Cambia el canal habitual (un proveedor de email pasa a WhatsApp)
- ⚠️ Pide datos que tu banco/empresa nunca pediría así
El "fraude del CEO" es uno de los más extendidos: un empleado de Compras o Administración recibe un correo o WhatsApp que parece del director general pidiendo una transferencia urgente y confidencial. Suele ocurrir en viernes por la tarde o víspera de festivo, cuando el verdadero jefe está ilocalizable. No es casualidad: el atacante lleva días estudiando la empresa antes de atacar.
Empresa instaladora de Sevilla recibe un correo de "su proveedor habitual" comunicando que por reorganización han cambiado de banco y que el próximo pago lo hagan al nuevo IBAN. El correo viene del email correcto, con el logo correcto y firmado por el comercial de siempre. Pagan miles de euros. El correo real del proveedor estaba comprometido. Si hubieran llamado al móvil del comercial (regla nº4), lo habrían detectado en 30 segundos.
4. Errores y erratas más comunes
- ❌ Misma contraseña para correo, WhatsApp Web, ERP y banco.
- ❌ Contraseñas tipo "Empresa2024", "Nombre + año", matrícula del coche.
- ❌ Compartir credenciales por WhatsApp interno "para ir más rápido".
- ❌ Abrir adjuntos desde el móvil pensando que ahí "no pasa nada".
- ❌ Posponer actualizaciones del sistema durante meses.
- ❌ Usar la WiFi del cliente o de la obra para consultar el correo de empresa.
- ❌ No avisar cuando se ha picado, por vergüenza. (Y eso multiplica el daño.)
- ✅ Buena práctica: si dudas, avisar siempre. Mejor falsa alarma que silencio.
5. ¿Y si ya he picado? Actuación inmediata
Equivocarse no es el problema; ocultarlo sí. Si crees que has picado en un phishing, actúa rápido:
- Desconecta el equipo de la red (WiFi y cable).
- Avisa al responsable de oficina o sistemas inmediatamente.
- Cambia contraseñas desde otro dispositivo seguro.
- No borres el mensaje sospechoso (sirve como evidencia).
- Si hubo transferencia: llama al banco YA para intentar bloquearla.
Esta publicación es una guía orientativa de buenas prácticas en seguridad digital, con fines formativos internos. Puede contener simplificaciones y no sustituye las políticas oficiales de ciberseguridad de la empresa, la normativa vigente en protección de datos ni la asistencia de un profesional cualificado en ciberseguridad ante un incidente real.
📚 También puede interesarte
La seguridad digital y la seguridad física son las dos caras de la misma moneda. Si proteges la información, protege también las instalaciones.
👉 Guía Rápida PCI para Técnicos: Alturas, Coberturas y Documentación RIPCI (Descarga PDF)
¿Quieres formación práctica para tu equipo?
En A²J Mantenimientos Integrales ayudamos a empresas, comunidades, centros educativos e instaladores a mejorar su seguridad, formación y prevención, tanto en el plano físico (PCI) como en buenas prácticas digitales.
📞 Teléfono: 955 632 178
📧 Email: a2jcorreo@gmail.com
💬 Consultar por WhatsAppMairena del Aljarafe, Sevilla | www.extintoresa2j.es
Comentarios
Publicar un comentario