Cómo detectar emails de phishing en Outlook y Microsoft 365: Guía para empleados

El phishing en entornos corporativos Microsoft

Microsoft 365 (Outlook, Teams, SharePoint) es el ecosistema empresarial más usado del mundo. Eso lo convierte en el objetivo principal de los ataques de phishing.

Los atacantes conocen perfectamente cómo lucen los emails de Microsoft, SharePoint y Teams. Crean copias casi perfectas que engañan incluso a usuarios experimentados.

Señales de alerta en Outlook

1. Verifica el remitente real

En Outlook, los atacantes pueden poner cualquier nombre visible, pero la dirección real revela la verdad.

En Outlook Web (navegador):

1. Pasa el ratón sobre el nombre del remitente
2. Aparecerá una tarjeta con la dirección de email completa
3. Verifica que el dominio sea legítimo

En Outlook Desktop (aplicación):

1. Haz clic en el nombre del remitente
2. Se abrirá la tarjeta de contacto con el email completo
3. O haz doble clic en el email → Archivo → Propiedades → Ver cabeceras

Dominios legítimos de Microsoft:

• @microsoft.com
• @office.com
• @office365.com
• @sharepoint.com
• @teams.microsoft.com

Dominios fraudulentos comunes:

• @microsoft-support.com (guion sospechoso)
• @microsoftonline-login.com
• @office365-security.net
• @sharepolnt.com (L cambiada por I)

2. Comprueba los enlaces sin hacer clic

En Outlook Web:

1. Pasa el ratón sobre el enlace (sin clic)
2. La URL real aparece en un tooltip o en la barra inferior del navegador

En Outlook Desktop:

1. Pasa el ratón sobre el enlace
2. Aparece un pequeño popup con la URL completa

URLs legítimas de Microsoft:

• https://login.microsoftonline.com/
• https://portal.office.com/
• https://*.sharepoint.com/
• https://teams.microsoft.com/

3. Alertas de seguridad de Microsoft

Microsoft 365 tiene sistemas avanzados de detección de phishing. Presta atención a los avisos:

• Banner rojo "Phishing detectado": Microsoft está muy seguro. No interactúes con el email.
• Banner amarillo "Remitente no verificado": Procede con precaución.
• "[EXTERNO]" en el asunto: El email viene de fuera de tu organización.
• "Este remitente no pasó la verificación": Los sistemas DMARC/SPF fallaron.

Si ves cualquiera de estos avisos, extrema la precaución.

4. Phishing específico de Microsoft 365

Los ataques más comunes que imitan a Microsoft:

Falsos documentos compartidos de SharePoint/OneDrive

• "Juan García ha compartido un documento contigo"
• El enlace parece ir a SharePoint pero lleva a una página de login falsa
• Verificación: ¿Esperabas este documento? ¿Conoces al remitente?

Falsas alertas de sesión expirada

• "Tu sesión de Office 365 ha expirado"
• "Verifica tu cuenta para mantener el acceso"
• Realidad: Microsoft nunca te pide verificar así. Si tienes dudas, ve directamente a portal.office.com

Falsos mensajes de Teams

• "Tienes un mensaje nuevo en Teams"
• El enlace va a una página que parece Teams pero no lo es
• Verificación: Abre Teams directamente desde la aplicación, no desde el enlace

Falsas alertas de buzón lleno

• "Tu buzón está al 95% de capacidad"
• "Haz clic aquí para liberar espacio"
• Realidad: Outlook te avisa dentro de la aplicación, no por email externo

Cómo reportar phishing en Outlook

En Outlook Web

1. Selecciona el email sospechoso
2. Haz clic en los tres puntos (⋯) en la barra superior
3. Selecciona "Reportar" → "Reportar phishing"

En Outlook Desktop

1. Selecciona el email
2. En la pestaña "Inicio", busca "Reportar mensaje"
3. Selecciona "Phishing"

Si tu organización tiene el complemento "Report Message" de Microsoft, tendrás un botón específico para esto.

Safe Links y Safe Attachments

Si tu empresa tiene Microsoft Defender for Office 365, dispones de protecciones adicionales:

Safe Links

Microsoft reescribe los enlaces de los emails para verificarlos en tiempo real cuando haces clic:

• El enlace pasa primero por los servidores de Microsoft
• Si el destino es malicioso, te bloquea el acceso
• Reconoces estos enlaces porque empiezan por https://eur01.safelinks.protection.outlook.com/ o similar

Safe Attachments

Los archivos adjuntos se analizan en un entorno aislado antes de que puedas abrirlos:

• Puede tardar unos segundos más en mostrar el adjunto
• Si es malicioso, el adjunto se bloquea automáticamente

Nota: Estas protecciones no son infalibles. Siguen siendo importantes las verificaciones manuales.

Qué hacer si ya has hecho clic

1. No introduzcas credenciales: Si la página te pide login, cierra inmediatamente
2. Si ya las introdujiste:
   • Cambia tu contraseña de Microsoft 365 inmediatamente
   • Revisa la actividad reciente de tu cuenta en mysignins.microsoft.com
   • Avisa a tu departamento de IT
3. Si descargaste un archivo:
   • No lo abras
   • Desconecta el ordenador de la red (WiFi off, cable desenchufado)
   • Contacta con IT inmediatamente

Checklist rápido anti-phishing para Outlook

• ☐ ¿El remitente tiene un dominio legítimo de Microsoft? (no microsoft-support.com)
• ☐ ¿Outlook muestra algún banner de advertencia?
• ☐ ¿El enlace lleva realmente a microsoft.com o sharepoint.com?
• ☐ ¿Esperaba este documento/mensaje?
• ☐ ¿Tiene sentido que esta persona me envíe esto?
• ☐ ¿Me presionan para actuar urgentemente?
• ☐ ¿Me piden mis credenciales por email?

Ante la duda, no hagas clic. Accede a SharePoint, OneDrive o Teams directamente escribiendo la URL o usando la aplicación.

---

Artículos relacionados:

• Cómo detectar emails de phishing en Gmail
• Contraseñas Seguras: Guía Completa para Empleados
• Ciberseguridad básica para empleados: Guía completa