Fraude por correo y QR en empresas de Tenerife: checklist 2026

Una factura falsa, un enlace a “Microsoft 365”, un aviso urgente de banco o un código QR pegado en un PDF pueden bastar para que una pyme de Tenerife pierda acceso a su correo, su cuenta bancaria o sus documentos en la nube. El phishing ya no llega solo como el clásico email mal escrito: hoy combina suplantación de proveedores, mensajes de WhatsApp, llamadas, códigos QR, páginas casi idénticas a servicios reales y, cada vez más, textos generados con IA que suenan creíbles.

Para negocios locales —asesorías, clínicas, hoteles, tiendas, inmobiliarias, talleres, restaurantes o equipos que teletrabajan entre Adeje, Arona, Los Cristianos, Santa Cruz o La Laguna— el objetivo debe ser práctico: reducir la probabilidad de caer, limitar el daño si alguien hace clic y tener un protocolo claro para actuar en los primeros minutos.

Por qué este tema es urgente para pymes en Tenerife

Las empresas pequeñas suelen depender de pocas cuentas críticas: el correo del administrador, el buzón de contabilidad, la cuenta de Google Workspace o Microsoft 365, el acceso al banco, el gestor documental y el WhatsApp comercial. Si una de esas piezas cae, el impacto puede ser inmediato: facturas desviadas, cambios de IBAN fraudulentos, pérdida de conversaciones con clientes, bloqueo de archivos o envío de malware desde una cuenta legítima.

INCIBE mantiene recursos específicos sobre phishing para empresas y una línea de ayuda en ciberseguridad. Microsoft define el phishing como un intento de robar dinero o identidad llevando al usuario a revelar datos personales en sitios que fingen ser legítimos. Google Workspace, por su parte, recomienda activar protecciones avanzadas contra phishing y software malicioso en Gmail para reducir mensajes peligrosos antes de que lleguen al usuario.

Las señales de alerta que más vemos en negocios locales

1. Facturas y pagos con urgencia artificial

El atacante se hace pasar por un proveedor, una gestoría o incluso un directivo. Pide pagar “hoy”, cambiar el número de cuenta o descargar una factura desde un enlace externo. En Tenerife, donde muchas empresas trabajan con proveedores recurrentes y temporadas de alta demanda, la urgencia puede colarse fácilmente en el día a día.

2. Enlaces a Microsoft, Google, bancos o mensajería

Los correos más peligrosos no siempre tienen adjuntos. Muchas veces solo incluyen un botón: “ver documento”, “renovar contraseña”, “validar buzón”, “liberar paquete” o “revisar factura”. La página destino imita el inicio de sesión real y roba la contraseña.

3. QR phishing en documentos impresos o PDF

El QR phishing aprovecha una costumbre cada vez más normal: escanear códigos con el móvil. Un código en un supuesto presupuesto, cartel, recibo o PDF puede llevar a una web falsa donde se pide iniciar sesión. Como el salto ocurre en el teléfono, a veces se evita parte del filtrado del ordenador de oficina.

4. Mensajes que parecen escritos por alguien de confianza

La IA generativa ha reducido los errores de redacción. Ya no basta con buscar faltas de ortografía. Hay que validar dominio, remitente, destino del enlace, tono inusual, archivos inesperados y cambios de proceso.

Checklist de seguridad del correo para empresas de Tenerife

Este checklist está pensado para aplicarlo sin grandes proyectos, empezando por las cuentas más importantes.

• Activar MFA en todas las cuentas críticas. Prioriza correo, administración, contabilidad, banco, WordPress, gestor documental y redes sociales. Si es posible, usa passkeys o una app de autenticación en lugar de SMS.
• Separar cuentas personales y de empresa. El correo corporativo no debe depender de una contraseña reutilizada en servicios externos.
• Bloquear el reenvío automático no autorizado. En muchos robos de buzón, el atacante crea reglas para copiar correos sin que nadie lo note.
• Revisar inicios de sesión y dispositivos. Microsoft 365 y Google Workspace permiten detectar accesos desde ubicaciones o dispositivos extraños.
• Validar pagos por segundo canal. Cualquier cambio de IBAN, pago urgente o factura sospechosa debe confirmarse por teléfono conocido, no respondiendo al mismo email.
• Configurar SPF, DKIM y DMARC. Estos registros ayudan a que otros servidores detecten suplantaciones de tu dominio.
• Formar al equipo con ejemplos reales. Mejor una sesión corta mensual con correos actuales que un manual largo que nadie lee.
• Hacer copias de seguridad verificadas. Si el phishing termina en ransomware o borrado de datos, la copia es la diferencia entre parar unas horas o perder días.

Qué hacer si alguien ya ha hecho clic

La velocidad importa. No busques culpables: activa el protocolo.

1. Cambiar la contraseña desde un dispositivo limpio y cerrar sesiones abiertas.
2. Revisar MFA, teléfonos y correos de recuperación para confirmar que el atacante no añadió métodos propios.
3. Comprobar reglas de buzón, reenvíos y filtros en Outlook, Gmail o el webmail.
4. Revisar últimos envíos por si se han mandado mensajes fraudulentos a clientes o proveedores.
5. Analizar el equipo si se descargó un archivo o se ejecutó un programa.
6. Avisar a banco, gestoría o proveedor afectado si hubo pagos, facturas o datos financieros.
7. Documentar hora, correo recibido, enlace y acciones para facilitar el soporte técnico o una consulta a INCIBE.

WordPress, web corporativa y correo: el triángulo que no debes descuidar

Muchas pymes protegen el ordenador, pero olvidan la web. Si tu WordPress usa la misma contraseña que el correo, si no se actualizan plugins o si no existe copia de seguridad, un incidente puede afectar también a la reputación de la empresa en Google. Para negocios con reservas, formularios de contacto, catálogos o campañas locales, la seguridad web forma parte de la continuidad del negocio.

En BGR Solutions ayudamos a revisar cuentas de correo, configuración de Microsoft 365 o Google Workspace, copias de seguridad, mantenimiento de WordPress y medidas básicas de ciberseguridad para empresas de Tenerife. También puedes ampliar con nuestra guía sobre ciberseguridad para pequeñas empresas en Tenerife, el plan de cierre diario y la guía de MFA y passkeys para empresas.

Plan rápido de 7 días para reducir el riesgo

Día 1: inventario

Lista cuentas críticas, administradores, dominios, webs, dispositivos y servicios de nube. Si no sabes qué existe, no puedes protegerlo.

Día 2: MFA y contraseñas

Activa MFA en las cuentas con más impacto y elimina contraseñas repetidas. Empieza por gerencia, administración y correo compartido.

Día 3: reglas de pago

Define por escrito cómo se aprueban cambios de IBAN, pagos urgentes y proveedores nuevos. El proceso debe ser simple y conocido.

Día 4: correo y dominio

Revisa SPF, DKIM, DMARC, filtros antiphishing, reenvíos y buzones antiguos. Desactiva cuentas que ya no se usan.

Día 5: copias de seguridad

Comprueba que hay copias de documentos, correo relevante y web. Haz una prueba de restauración, aunque sea parcial.

Día 6: WordPress y plugins

Actualiza, elimina plugins innecesarios, revisa usuarios administradores y confirma que existe una copia antes de tocar nada.

Día 7: simulacro

Envía al equipo un ejemplo de correo sospechoso y decide juntos qué habría que comprobar antes de hacer clic o pagar.

CTA: revisión de seguridad para tu empresa en Tenerife

Si tu empresa depende del correo para facturas, presupuestos, reservas o atención al cliente, una revisión preventiva suele ser más barata que una recuperación urgente. Contacta con BGR Solutions para auditar tus cuentas, copias de seguridad, WordPress y configuración de seguridad. Trabajamos con empresas locales que necesitan soluciones claras, sin tecnicismos y con prioridades reales.

Preguntas frecuentes

¿El MFA evita todos los ataques de phishing?

No, pero reduce mucho el riesgo. Debe combinarse con formación, revisión de sesiones, filtros antiphishing y procesos internos para pagos.

¿Qué hago si recibo una factura con un QR?

Verifica el proveedor por un canal conocido, revisa el dominio al que apunta el QR y evita introducir credenciales si la web no es claramente la oficial.

¿Google Workspace o Microsoft 365 son seguros por defecto?

Son plataformas robustas, pero necesitan configuración: MFA, alertas, políticas de correo, revisión de administradores, protección contra malware y control de dispositivos.

¿Cada cuánto debe una pyme revisar su seguridad?

Como mínimo, una revisión trimestral y otra siempre que entre o salga personal, se cambie de gestoría, se lance una web nueva o se detecte un correo sospechoso.

¿BGR Solutions puede ayudar si ya ha ocurrido un incidente?

Sí. Podemos revisar cuentas, equipos, WordPress, copias y pasos de contención. Si hay fraude económico o datos personales afectados, también conviene consultar a la entidad bancaria, asesoría legal o los canales oficiales correspondientes.