He hecho clic en un correo sospechoso, ¿qué hago primero?

Si pusiste tu contraseña en una página tras el clic, cámbiala ya en el sitio real y en cualquier otro donde uses la misma. Si descargaste algo o el equipo va raro, desconéctalo de la red y avisa a quien lleve la informática. Lo peor es callarse por vergüenza: cuanto antes se actúe, menos daño.

¿Cómo evito que vuelva a pasar?

Doble verificación en el correo y en lo importante (así una contraseña robada no basta para entrar), y que tu gente sepa reconocer las señales de un correo trampa. La mayoría de estos ataques se paran con cabeza, no con tecnología cara.

Qué hacer si haces clic en un correo de phishing

Te suena el teléfono. Es tu administrativa, con la voz un poco temblona. “Fernando, me ha llegado un correo del banco rarísimo, le he dado, he puesto la contraseña y ahora no sé… creo que la he liado.”

Ese momento le llega a casi todas las empresas, antes o después. Y lo que se haga en los diez minutos siguientes importa muchísimo más que el antivirus que tengas instalado.

Así que vamos al grano, porque aquí lo que sirve es saber qué hacer, no la teoría.

Lo primero: que no cunda la vergüenza

El mayor enemigo en este momento no es el estafador. Es la vergüenza.

La gente que pica en un correo trampa se siente tonta, se asusta, y muchas veces no dice nada esperando que no pase nada. Y ese silencio es lo que convierte un susto en un desastre. Porque mientras tu empleada calla por miedo a la bronca, el reloj corre a favor del que ha entrado.

Lo primero que tienes que dejar claro en tu empresa, antes incluso de que pase, es esto: si picas, avisas. Sin bronca. Avisar rápido es lo correcto, y quien avisa está ayudando, no metiendo la pata. Una empresa donde la gente tiene miedo de contar que ha picado es una empresa indefensa.

Qué hacer, paso a paso

Vale, ha picado. Respira. Y vamos por orden.

Si tras el clic puso una contraseña en una página, esa contraseña ya no es segura. Hay que cambiarla inmediatamente, en el sitio de verdad, no en el del correo. Y si esa misma contraseña la usaba en otros sitios (que casi seguro sí, todos lo hacemos), cambiarla también en esos. Esto es lo urgente de lo urgente.

Si descargó algo, o si el ordenador empieza a ir raro, desconecta ese equipo de la red. Quítale el wifi, el cable, lo que sea. Aislarlo evita que, si hay algo dentro, se extienda al resto. Y avisa a quien te lleve la informática para que lo mire.

Si lo que cambió fue un número de cuenta para un pago, por un correo que parecía de un proveedor, llama al proveedor por un teléfono de verdad, de los de siempre, no por el del correo. Y para ese pago antes de que salga.

Y apunta lo que ha pasado. Qué correo, a qué hora, qué se hizo. No para buscar culpables, sino porque esa información ayuda a quien tenga que arreglarlo y a que no vuelva a colar.

Por qué esto te protege más que el antivirus

Porque, como ya he dicho por aquí, estos ataques no entran por donde mira el antivirus. Entran por una persona convencida, en un momento de despiste, con un correo bien hecho.

Y la defensa no es un programa. Es una empresa donde la gente sabe reconocer la trampa, y donde, si cae, reacciona rápido y sin miedo a contarlo.

Dos cosas te quitan de encima casi todo el peligro. Una, la doble verificación: aunque le roben la contraseña a alguien, sin el código del móvil no entran. Y dos, una cultura donde avisar de un error es lo normal, no un drama.

El estafador cuenta con tu silencio y con tu despiste. Quítale las dos cosas y se queda sin negocio.

Menos rezar para que no pase. Más saber qué hacer los diez minutos en que pasa.

Sigue tirando del hilo: la guía de ciberseguridad para pymes sin humo, por qué tener antivirus no es estar seguro y por qué el Excel de clientes que circula es tu brecha real.

¿Quieres que tu gente sepa oler estos correos antes de hacer clic? Empezamos por mirar cómo estás hoy en el diagnóstico de 14 días con garantía. Sin compromiso, y si no saco mejoras medibles, te devuelvo el dinero.