El eslabón más débil de la ciberseguridad no es el software — son las personas. Y la forma más efectiva de atacar a las personas es a través de documentos: una factura falsa de un proveedor conocido, una “notificación de SUNAT” urgente, o un “contrato para revisión” con macros maliciosas. En Perú, donde el volumen de documentos que circulan por email y WhatsApp es enorme, el phishing documental es la amenaza #1.
Anatomía de un Ataque de Phishing Documental
flowchart TB
A[Atacante investiga<br/>a la empresa target] --> B[Crea documento falso<br/>Factura, contrato, notificación]
B --> C[Envía por email/WhatsApp<br/>desde remitente que parece real]
C --> D[Empleado recibe<br/>y abre el documento]
D --> E{¿Qué contiene?}
E -->|Malware| F[Macro/Exploit se ejecuta<br/>Ransomware, troyano, keylogger]
E -->|Link falso| G[Redirige a web falsa<br/>Roba credenciales]
E -->|Datos falsos| H[Empleado paga factura falsa<br/>o envía datos sensibles]
Tipos de Phishing Documental en Perú
| Tipo |
Documento Usado |
Objetivo |
Frecuencia |
| Factura falsa |
PDF que imita factura de proveedor real |
Pago a cuenta del atacante |
35% |
| Notificación SUNAT |
PDF/email imitando formato SUNAT |
Robar credenciales SOL |
20% |
| Contrato con macro |
DOCX con macro VBA maliciosa |
Instalar malware |
15% |
| Comprobante de transferencia |
PDF de “voucher” bancario |
Confirmar operación falsa |
12% |
| Actualización de datos |
Formulario pidiendo datos bancarios |
Robar datos de la empresa |
10% |
| Oferta laboral |
CV/propuesta con exploit en PDF |
Acceso al sistema |
8% |
Programa de Capacitación Anti-Phishing
Metodología de 4 Fases
| Fase |
Duración |
Actividades |
Frecuencia |
| 1. Awareness |
1 hora |
Taller presencial: qué es phishing, ejemplos reales |
Inicial + anual |
| 2. Simulación |
Continuo |
Enviar phishing simulado, medir quién hace clic |
Mensual |
| 3. Feedback |
Inmediato |
Página educativa al hacer clic en simulación |
Cada simulación |
| 4. Medición |
Trimestral |
Reportar % de clic, comparar con trimestres anteriores |
Trimestral |
Métricas de Éxito
| Métrica |
Antes del Programa |
Después (6 meses) |
Meta |
| % clic en phishing simulado |
25-35% |
5-10% |
<5% |
| % reportan email sospechoso |
5-10% |
40-60% |
>50% |
| Tiempo de reporte |
No reportan |
5-15 min |
<10 min |
| Incidentes reales |
2-5/trimestre |
0-1/trimestre |
0 |
Controles Técnicos Complementarios
| Control |
Función |
Herramienta |
| Email security gateway |
Filtrar adjuntos maliciosos antes de llegar |
Proofpoint, Mimecast, M365 Defender |
| Sandboxing de adjuntos |
Abrir adjuntos en entorno aislado primero |
Any.Run, Cisco Secure Email |
| CDR (Content Disarm) |
Reconstruir documentos sin macros/exploits |
OPSWAT, Votiro, GlassWall |
| DMARC/SPF/DKIM |
Verificar autenticidad del remitente |
Configuración DNS |
| MFA |
Proteger cuentas si credenciales se roban |
Entra ID, Google Auth, Duo |
| DLP |
Prevenir envío de datos sensibles |
Microsoft Purview, Symantec |
Plan de Implementación
| Fase |
Semanas |
Actividades |
| 1. Baseline |
1-2 |
Simulación inicial sin avisar (medir estado actual) |
| 2. Capacitación |
3-4 |
Taller para toda la empresa + material de referencia |
| 3. Controles |
5-8 |
Implementar email security + CDR + DMARC |
| 4. Simulaciones |
9+ |
Programa mensual de simulaciones + feedback |
| 5. Mejora |
Continuo |
Ajustar según métricas, nuevas amenazas |
ROI
| Concepto |
Valor |
| Programa de capacitación |
S/ 15,000 - S/ 50,000/año |
| Controles técnicos |
S/ 20,000 - S/ 80,000/año |
| Costo de UN incidente evitado |
S/ 200,000 - S/ 5,000,000 |
| ROI |
1,000-10,000% (costo mínimo vs. riesgo enorme) |
Conclusión
La ingeniería social explota la confianza que las personas depositan en los documentos. Un email con una “factura de tu proveedor” activa la respuesta automática de “debo pagar esto” antes de que el pensamiento crítico intervenga. La combinación de capacitación regular (cambiar el comportamiento humano) + controles técnicos (filtrar antes de que llegue) es la única defensa efectiva. En Perú, donde el phishing documental crece 40% anual, esperar no es una opción.
En AyP Digital, implementamos soluciones de gestión documental e IA para empresas peruanas. Contáctanos al +51 942 867 653 o escribe a ventas@aypdigital.com.
