Phishing Abril 2025 📖 7 min de lectura

El correo que casi destruyó una empresa Quetzalteca. Caso real de ingeniería social.

Los nombres han sido cambiados para proteger la privacidad del cliente. Los hechos son reales.

⚠️ Este caso es compartido con autorización del cliente afectado, con el objetivo de que otras empresas de Guatemala puedan aprender de su experiencia.

El correo llegó un martes a las 10:23 AM

María, asistente contable de una distribuidora mediana en Quetzaltenango, recibió un correo que parecía venir de su banco. El asunto decía: "Acción requerida: verificación de cuenta empresarial — vence hoy".

📧 Bandeja de entrada
De: seguridad@banco-gt-verificacion.com (⚠️ dominio falso)
Para: maria@distribuidora.com
Asunto: Acción requerida: verificación de cuenta empresarial — vence hoy

Estimada cliente,

Hemos detectado actividad inusual en su cuenta empresarial. Para evitar la suspensión temporal de sus servicios, debe verificar su identidad en las próximas 2 horas.

Haga click en el siguiente enlace para completar la verificación:

Verificar mi cuenta ahora →

Si no completa este proceso, su cuenta será suspendida temporalmente por seguridad.

El correo se veía profesional. Tenía el logo del banco. La urgencia era clara. María hizo click.

Lo que pasó en las siguientes 48 horas

Martes 10:23 María hace click en el link y llega a una página idéntica al banco real
Martes 10:25 Ingresa su usuario, contraseña y el código de SMS que llegó a su celular
Martes 10:26 El atacante ya tiene acceso completo a la banca en línea empresarial
Martes 10:31 Se realizan 3 transferencias por un total de Q 47,000 a cuentas en el extranjero
Martes 11:15 El gerente revisa el estado de cuenta y detecta las transferencias
Martes 11:20 Llaman al banco — las transferencias ya fueron procesadas y son irreversibles
Miércoles Descubren que el correo de María también fue comprometido y usado para atacar a sus proveedores
3 semanas después Auditoría revela que 3 años de datos contables también fueron copiados

Las señales estaban ahí — nadie las vio

Con entrenamiento básico, cualquier empleado hubiera detectado el fraude:

⚠️ El dominio del remitente era "banco-gt-verificacion.com" — no el dominio real del banco
Revisar SIEMPRE el dominio completo del remitente, no solo el nombre que aparece
⚠️ El banco nunca pide credenciales completas + código SMS en el mismo proceso
Los bancos reales nunca piden tu contraseña por correo o por teléfono
⚠️ La urgencia extrema ("2 horas") es una táctica clásica de presión
La urgencia artificial es la señal más común de phishing — las instituciones reales dan tiempo
⚠️ El link redirigía a un dominio diferente al del banco real
Siempre pasar el cursor sobre el link antes de hacer click para ver la URL real

✅ Lo que implementaron después

Capacitación de phishing para todo el personal (4 horas) — incluyendo simulaciones reales
Doble factor de autenticación en correo, banca y sistemas internos
Regla interna: cualquier transferencia mayor a Q 5,000 requiere confirmación telefónica
BunkerBackup para respaldo diario de su sistema contable a Azure
Revisión mensual de seguridad con CiberbunkerGT

El costo total de estas medidas fue menor al 10% de lo que perdieron en el ataque.

// Tu equipo, ¿sabría detectarlo?

Un taller de 4 horas puede salvarle el negocio.

Capacitación anti-phishing para tu equipo desde Q 1,800.

Quiero capacitar a mi equipo