Tips de ciberseguridad para empresas del metal: 3. Phishing: esos correos que parecen oficiales pero no lo son

junio, 2026

Aprende a distinguir un correo real de uno falso en 3 segundos

Te llega un correo de la Seguridad Social avisándote de un problema con las cotizaciones. O un SMS de tu banco diciendo que tu cuenta ha sido bloqueada. El logo es perfecto, el tono es urgente. Solo tienes que pinchar en un enlace para solucionarlo. Pero no lo hagas.

¿Qué es el phishing?

Es un engaño en el que alguien se hace pasar por una entidad de confianza —tu banco, Hacienda, la Seguridad Social, una empresa de paquetería— para que hagas clic en un enlace falso. Ese enlace te lleva a una página que parece real donde te piden tus datos, tus contraseñas o directamente tu dinero.

¿Por qué nos afecta?

Las empresas del metal interactuamos constantemente con organismos públicos: Seguridad Social para las cotizaciones, Hacienda para el IVA y el impuesto de sociedades, plataformas de ayudas del Gobierno de Navarra… Los ciberdelincuentes lo saben y crean correos que imitan estas comunicaciones con una precisión que cada vez da más miedo.

Ejemplos que están circulando

Correo de «la Seguridad Social» avisando de una incidencia en las cotizaciones de tus trabajadores.
Email de «Hacienda» con una supuesta devolución o liquidación pendiente.
SMS del «banco» diciendo que tu cuenta ha sido bloqueada por seguridad.
Correo de una «empresa de transporte» con un paquete pendiente de entrega.

La regla de los 3 segundos

Antes de hacer clic en cualquier enlace, dedícale 3 segundos a comprobar tres cosas:

El remitente: ¿el correo viene realmente de @seg-social.es o de algo como @seg-s0cial.info? Fijarse en el dominio exacto.
El enlace: sin hacer clic, pasa el ratón por encima y mira a dónde lleva realmente. Si la dirección no es la oficial, no pinches.
El tono: ¿te meten prisa? ¿te amenazan con multas o bloqueos? Los organismos oficiales no suelen comunicar así.

¿Y si ya he pinchado?

No introduzcas ningún dato. Si la página te pide contraseñas o datos bancarios, cierra la pestaña inmediatamente.
Si has puesto algún dato, cambia tus contraseñas cuanto antes.
Avisa a tu equipo. Si el correo te ha llegado a ti, es muy probable que le haya llegado a más gente de la empresa.
Si es un correo del trabajo, avisa también a quien gestione la informática.

Un consejo de oro

Ante la duda, nunca pinches en el enlace del correo. Ve directamente a la web del organismo escribiendo la dirección en el navegador (por ejemplo, escribe tú mismo www.seg-social.es). Si hay algo pendiente de verdad, lo verás allí.