Qué hacer después de un phishing en empresa

Un phishing en empresa debe tratarse como una señal de posible incidente, no como un correo molesto que se borra y se olvida.

La respuesta depende de lo que ocurrió: si alguien solo reportó el mensaje, si abrió un enlace, si descargó un archivo, si escribió credenciales, si aprobó MFA o si hubo actividad sospechosa después. Mientras más rápido se ordene la respuesta, más fácil es contener el daño y conservar evidencia.

Esta guía resume qué hacer después de un phishing en empresa, con un enfoque práctico para equipos de TI, dirección, finanzas y responsables de seguridad.

Primero: no borres la evidencia

Si el correo todavía existe, no lo borres de inmediato. Necesitas conservar información útil:

• remitente visible y remitente real;
• asunto;
• fecha y hora de recepción;
• destinatarios internos;
• enlaces incluidos;
• adjuntos;
• encabezados del mensaje;
• capturas si el usuario vio una página falsa;
• usuario que reportó el evento;
• acciones realizadas antes del reporte.

CISA recomienda reconocer y reportar phishing en lugar de interactuar con mensajes sospechosos. En una empresa, ese reporte debe alimentar un proceso interno: revisión, clasificación, contención y cierre.

Si nadie hizo clic

Cuando el correo fue reportado antes de cualquier interacción, la respuesta es más simple, pero no debe quedarse en “bórralo”.

Haz esto:

1. Conserva una copia del mensaje para análisis.
2. Revisa si llegó a más usuarios.
3. Bloquea remitente, dominio, URL o hash de adjunto si aplica.
4. Busca mensajes similares en otros buzones.
5. Retira el correo de bandejas internas si tu plataforma lo permite.
6. Avisa al equipo con una explicación breve si el phishing fue masivo o convincente.
7. Documenta el indicador y la acción tomada.

Microsoft Defender for Office 365 permite centralizar mensajes reportados por usuarios y revisar envíos sospechosos desde el portal de Defender. Si usas Microsoft 365, conviene tener configurado el flujo de reporte de usuario para que los correos sospechosos no dependan de capturas sueltas por WhatsApp o tickets incompletos.

Si alguien hizo clic en el enlace

Un clic no siempre significa compromiso, pero sí cambia la prioridad.

Valida:

• qué URL abrió;
• si la página pidió credenciales;
• si hubo descarga automática;
• si el navegador mostró advertencias;
• desde qué equipo y red se hizo clic;
• a qué hora ocurrió;
• si hubo inicios de sesión posteriores desde ubicaciones o dispositivos inusuales.

Acciones recomendadas:

1. Captura la URL y preserva evidencia sin volver a abrirla desde equipos productivos.
2. Revisa logs de DNS, proxy, firewall, EDR o navegador si existen.
3. Bloquea la URL y dominios relacionados.
4. Revisa el equipo si hubo descarga, ejecución de archivo o comportamiento extraño.
5. Monitorea la cuenta del usuario por actividad posterior.

La guía conjunta de CISA, NSA, FBI y MS-ISAC sobre phishing recomienda reducir la posibilidad de robo de credenciales y ejecución de malware con controles de correo, navegador, bloqueo, monitoreo, MFA y respuesta documentada.

Si el usuario escribió credenciales

Si el usuario ingresó usuario, contraseña, código MFA o aprobó una solicitud sospechosa, trata el caso como posible compromiso de cuenta.

Prioridades:

• cambia la contraseña desde un canal confiable;
• revoca sesiones activas;
• revisa métodos MFA agregados o modificados;
• valida inicios de sesión recientes;
• revisa reglas de correo y reenvío;
• revisa aplicaciones OAuth autorizadas;
• confirma si hubo actividad en OneDrive, SharePoint, Teams o sistemas internos;
• revisa si la cuenta tiene privilegios administrativos o acceso financiero.

Si la cuenta está en Microsoft 365, conecta esta respuesta con una revisión más amplia de cuenta Microsoft 365 comprometida. Cambiar la contraseña ayuda, pero no cierra sesiones activas ni elimina reglas, reenvíos o permisos maliciosos por sí solo.

Si se descargó o abrió un adjunto

Los adjuntos de phishing pueden intentar instalar malware, robar sesión, ejecutar macros, mostrar formularios falsos o abrir enlaces secundarios.

Acciones:

1. Aísla el equipo si hay sospecha de ejecución o comportamiento extraño.
2. Guarda nombre, hash y origen del archivo.
3. Revisa alertas de antivirus o EDR.
4. Busca el mismo adjunto en otros buzones.
5. Revisa procesos, persistencia, conexiones salientes y descargas relacionadas.
6. No reenvíes el archivo por correo para “que alguien lo revise”.
7. Documenta si el archivo se descargó, se abrió o solo se recibió.

Si hay indicios de ejecución real, el caso ya no es solo phishing: puede requerir gestión de incidentes y análisis del endpoint.

Revisa si el ataque se extendió

Después de la contención inicial, busca señales de expansión.

Preguntas clave:

• ¿El mismo correo llegó a otros usuarios?
• ¿Alguien más hizo clic?
• ¿Se usaron credenciales robadas?
• ¿La cuenta envió correos internos o externos?
• ¿Hubo reglas de buzón, reenvíos o borrado de mensajes?
• ¿Hubo acceso a archivos, clientes, proveedores o información financiera?
• ¿La cuenta tenía permisos administrativos?
• ¿El atacante intentó cambiar datos bancarios o instrucciones de pago?

Si el phishing afectó a proveedores, clientes o pagos, incluye a finanzas y dirección desde el inicio. La velocidad importa porque muchas campañas buscan intervenir conversaciones reales para provocar pagos, cambios de cuenta bancaria o entrega de información.

Flujo recomendado de respuesta

Un proceso simple evita improvisar.

Secuencia sugerida:

1. Recibir el reporte.
2. Guardar evidencia.
3. Clasificar: sin clic, clic, credenciales, adjunto, fraude o compromiso.
4. Contener cuenta, equipo, URL o correo según el caso.
5. Buscar alcance en otros buzones y sistemas.
6. Investigar actividad posterior.
7. Notificar a personas impactadas si aplica.
8. Recuperar acceso seguro.
9. Corregir controles.
10. Documentar cierre y pendientes.

Este flujo no sustituye un plan formal de respuesta, pero evita que el caso dependa de memoria o criterio improvisado.

Qué comunicar internamente

La comunicación debe ser clara y concreta. No conviene culpar al usuario ni mandar mensajes vagos como “no abran correos raros”.

Un aviso útil debe decir:

• qué tipo de mensaje se detectó;
• qué asunto o remitente debe vigilarse;
• qué acción no deben realizar;
• cómo reportar si lo recibieron;
• qué hacer si hicieron clic;
• a quién contactar si ingresaron credenciales o descargaron archivos.

Evita incluir enlaces activos al sitio malicioso dentro del aviso. Si necesitas compartir indicadores, hazlo en formato controlado para el equipo técnico.

Controles que debes mejorar después

Un phishing bien atendido debe terminar con mejoras concretas.

Revisa:

• MFA fuerte, idealmente MFA resistente al phishing para cuentas críticas;
• bloqueo de autenticación heredada;
• reglas de reporte de phishing para usuarios;
• monitoreo de inicios de sesión inusuales;
• alertas por reenvío externo y reglas sospechosas;
• filtros de adjuntos y enlaces;
• permisos de aplicaciones OAuth;
• simulaciones o capacitación basada en casos reales;
• separación de cuentas administrativas;
• playbook interno para phishing;
• monitoreo de alertas de seguridad con responsables y escalamiento.

El objetivo no es prometer que nadie volverá a hacer clic. El objetivo es que un clic no se convierta fácilmente en robo de cuenta, malware, fraude o pérdida de información.

Cuándo escalar

Escala el caso si ocurre cualquiera de estas condiciones:

• el usuario escribió credenciales;
• aprobó una solicitud MFA sospechosa;
• descargó o ejecutó un archivo;
• la cuenta tiene privilegios administrativos;
• hubo correo enviado desde la cuenta;
• hay reglas de reenvío o buzón sospechosas;
• hubo acceso a datos sensibles;
• hay indicios de fraude financiero;
• el correo llegó a muchos usuarios;
• no tienes logs suficientes para entender el alcance;
• hay más de una cuenta afectada.

En esos escenarios, trátalo como posible incidente y no como ticket menor.

Checklist rápido

Usa esta lista para no saltarte pasos:

• Mensaje original preservado.
• Usuario y hora del reporte registrados.
• Alcance revisado en otros buzones.
• URL, adjuntos, remitente y dominio documentados.
• Correo retirado o bloqueado si aplica.
• Usuario entrevistado: clic, credenciales, MFA, adjunto.
• Sesiones revocadas si hubo credenciales o sospecha.
• MFA, reglas de correo y reenvío revisados.
• Equipo revisado si hubo descarga o ejecución.
• Actividad posterior investigada.
• Contactos impactados notificados si aplica.
• Controles mejorados.
• Caso documentado con acciones y pendientes.

Cómo puede apoyar Syscore

Syscore puede ayudarte a responder después de un phishing con enfoque práctico: contención, revisión de cuentas, correo, Microsoft 365, evidencia, endpoints, comunicación y mejoras de control.

También podemos conectar esta respuesta con servicios de ciberseguridad para empresas, monitoreo y análisis de seguridad, hardening de Microsoft 365 y gestión de incidentes.

Preguntas frecuentes

¿Debo borrar el correo de phishing?

No al principio. Primero conserva evidencia, revisa alcance y bloquea indicadores. Después puedes retirarlo de los buzones si tu plataforma lo permite.

¿Un clic significa que la empresa fue comprometida?

No siempre. Pero sí justifica revisar URL, equipo, credenciales, sesiones y actividad posterior. Si hubo credenciales, MFA o descarga de archivo, sube la prioridad.

¿Qué hago si el usuario puso su contraseña?

Cambia la contraseña desde un canal confiable, revoca sesiones, revisa MFA, reglas de correo, reenvíos, aplicaciones OAuth e inicios de sesión. Si usa Microsoft 365, revisa también actividad en archivos y colaboración.

¿Debo avisar a clientes o proveedores?

Solo si hay indicios de que recibieron mensajes falsos, enlaces, adjuntos, solicitudes de pago o información incorrecta desde una cuenta interna. El aviso debe ser claro, breve y verificable.

Referencias útiles

• CISA: Recognize and Report Phishing
• CISA: Phishing Guidance - Stopping the Attack Cycle at Phase One
• Microsoft Learn: User reported settings in Microsoft Defender
• Microsoft Learn: Use the Submissions page in Defender for Office 365
• FTC: How to recognize and avoid phishing scams

Enlaces internos útiles

• Cuenta Microsoft 365 comprometida: qué hacer
• Cómo endurecer Microsoft 365 para empresas
• MFA resistente al phishing para Microsoft 365
• Monitoreo de alertas de seguridad para empresas
• Gestión de incidentes
• Servicios de ciberseguridad para empresas
• Cómo proteger tu empresa contra ataques de phishing
• Prevención del phishing

Después de un phishing, la pregunta importante no es solo “quién hizo clic”. La pregunta útil es: qué pudo pasar después, qué evidencia tenemos y qué control debe mejorar para que el siguiente intento tenga menos impacto.