Phishing por suplantación del jefe y los datos de brokers detrás
La suplantación del jefe funciona cuando los estafadores combinan pistas de LinkedIn con datos de brokers como tu cargo, teléfono y dirección.
Por qué estos correos se sienten reales
Un correo de phishing genérico normalmente chirría desde el principio. Empieza con “estimado usuario”, usa un lenguaje vago y pide algo extraño. La mayoría de la gente lo borra porque nada en él conecta con su trabajo o su vida diaria.
Una estafa dirigida funciona de otra forma. Un detalle personal puede reducir la sospecha muy rápido. Si el mensaje usa tu nombre de pila, nombra a tu empresa o menciona al jefe al que reportas, tu cerebro deja de preguntar “¿es real?” y empieza a preguntar “¿qué tan rápido debo responder?”.
Por eso la suplantación del jefe funciona tan a menudo. El nombre del jefe cambia la reacción de las personas. Una petición de “Karen de Finanzas” es una cosa. Una petición que parece venir de tu CEO o de tu jefe directo aprieta antes de que termines de leerla.
Los estafadores combinan familiaridad con urgencia. Esa mezcla es difícil de resistir. El correo suena casual, quizás incluso amistoso, pero también dice que la tarea es necesaria “en los próximos 10 minutos” o “antes de que empiece la reunión”. La gente se apresura cuando el remitente parece conocido y la fecha límite parece real.
Compáralos: uno genérico dice “Tu cuenta tiene un problema. Envía tu contraseña ahora.” Uno dirigido dice “Hola Sam, estoy en reuniones y necesito que envies el pago actualizado al proveedor hoy. Usa la tarjeta registrada y responde cuando lo hayas hecho. – Melissa.” La segunda versión suena como una petición normal de trabajo porque toma nombres reales, un rol real y una tarea que podría ocurrir en cualquier día ocupado.
Los estafadores no necesitan toda tu historia. A veces un detalle basta: el nombre de tu jefe, tu departamento, tu teléfono del trabajo o que gestionas facturas. LinkedIn puede darles la estructura de la empresa. Los registros de brokers pueden aportar los pequeños detalles que hacen que la nota parezca personal en vez de aleatoria.
Por eso estos correos son peligrosos. No parecen reales porque los estafadores escriban muy bien. Parecen reales porque toman la verdad justa para pasar ese primer momento de duda.
Qué pueden aprender los estafadores de LinkedIn
La suplantación del jefe a menudo empieza con un vistazo rápido a LinkedIn, no con algún hack secreto. Un perfil público puede dar a un estafador suficiente detalle para sonar como si perteneciera a tu empresa.
Suelen comenzar por la estructura. Tu título les indica qué accesos podrías tener. El nombre de tu equipo les dice qué proyectos mencionar. La línea de reporte puede deducirse por el texto del perfil, actualizaciones de la empresa o las personas que tienes conectadas públicamente. Si pueden averiguar quién es tu gerente, pueden escribir un mensaje que suene específico en vez de al azar.
La actividad reciente refuerza el mensaje falso. Una publicación sobre un viaje a una conferencia, una contratación o un nuevo proyecto les da contexto y momento. “Estoy abordando ahora, ¿puedes ocuparte de esto antes de la llamada de las 14:00?” suena más creíble si tu jefe real acaba de publicar sobre un viaje o una semana llena.
Los nombres de compañeros ayudan también. LinkedIn muestra con quién trabajas, quién comenta tus publicaciones y quién aparece en anuncios de la empresa. Un estafador puede mencionar a alguien de Finanzas, RR. HH. o de tu propio equipo para bajarte la guardia. Un nombre familiar puede hacer que un mensaje malo parezca normal durante unos segundos. A veces eso es todo lo que necesitan.
El tono importa. Algunas personas escriben de forma formal. Otras suenan informales y apuradas. Un estafador puede copiar ese estilo. Si tu jefe suele publicar actualizaciones cortas y directas, el correo falso puede hacer lo mismo. Si tu equipo usa nombres de proyectos o jerga interna en público, esas palabras pueden acabar en la estafa.
Basta muy poco. Imagina que en tu perfil pones que eres asistente ejecutivo, tu jefe publicó desde un aeropuerto y dos compañeros te felicitaron por un nuevo proveedor. Un estafador ya tiene un guion decente: una nota apresurada del jefe, enviada mientras viaja, pidiéndote pagar una factura vinculada a ese proveedor.
LinkedIn es útil, pero también da a extraños un guion. Cuanto más puedan aprender en cinco minutos, más fácil es falsificar un mensaje que suene a tu jefe.
Qué añaden los brokers de datos a la historia
LinkedIn da al estafador el esqueleto público. Los brokers completan las piezas que hacen que un mensaje falso parezca personal.
Un perfil puede mostrar tu puesto, equipo y gerente. Una ficha de broker puede añadir tu número de teléfono personal, un correo antiguo, tu dirección de casa, tu rango de edad e incluso nombres de posibles familiares. Eso cambia el tono de la estafa. En lugar de un correo frío de un desconocido, puede parecer una petición normal dirigida a alguien que el remitente aparentemente conoce.
Para la suplantación del jefe, ese detalle extra importa más de lo que la gente cree. Si un mensaje dice “Usa mi otro correo, no tengo acceso al del trabajo”, suena mucho más verosímil si el estafador ya tiene una dirección antigua de tu jefe. Si dice “Mándame un SMS a mi celular”, un número personal real hace que la petición parezca rutinaria, no sospechosa.
La dirección de casa y el rango de edad ayudan también. Un estafador puede mencionar un barrio, una mudanza reciente o una zona horaria que encaje. Aunque nunca digan la dirección en voz alta, la usan para evitar errores evidentes. Eso por sí solo hace que la petición falsa sea más fluida.
Empleos anteriores, historial escolar y ubicaciones antiguas son útiles porque facilitan la charla. Un correo falso puede mencionar una empresa anterior, una ciudad donde vivió tu jefe o una mascota de la universidad. Nada de eso prueba identidad. Solo baja tu guardia porque el remitente parece saber detalles que un desconocido no debería conocer.
Los posibles familiares añaden otra capa. Un mensaje que dice “estoy atendiendo un asunto familiar” se siente más verosímil si el estafador tiene nombres que coinciden con registros públicos. La gente tiende a confiar en los detalles, incluso cuando provienen de un sitio de brokers y no de una relación real.
Por eso la exposición en brokers es un problema: convierte retazos de historia personal en un guion.
Cómo se construye una petición falsa del jefe
Una falsificación convincente no empieza por el correo. Empieza por la investigación. El estafador encuentra al jefe en LinkedIn y luego empata ese perfil con registros de brokers.
LinkedIn les da la historia pública de trabajo: título, nombres de equipo, estilo de escritura, publicaciones recientes y a veces planes de viaje. Los registros de brokers añaden detalles privados que no deberían ser fáciles de encontrar, como correos personales, teléfonos, ciudad de residencia y contactos antiguos.
Cuando saben quién es quién, esperan el momento oportuno. Si el jefe parece ocupado, está de viaje o publicó sobre un evento, eso ayuda. Un mensaje apresurado durante un día lleno de trabajo se cuestiona menos que uno que llega en calma.
El truco es simple: un detalle verdadero sostiene una afirmación falsa. Si LinkedIn muestra que el jefe está en Chicago para una conferencia, un estafador puede escribir “Estoy atrapado en reuniones aquí.” Si un broker tiene un número móvil antiguo, pueden añadir “Mándame un SMS a mi nuevo número.” Ese pequeño detalle hace que todo el mensaje suene más real de lo que debería.
La petición suele ser sencilla y urgente. Pide dinero, tarjetas regalo, un código de acceso puntual o un archivo con nóminas, impuestos o datos de clientes. Los mensajes cortos funcionan mejor que los pulidos. Los jefes reales a menudo teclean rápido, omiten contexto y esperan respuestas rápidas. Los estafadores copian ese tono a propósito: un rápido “¿Estás disponible?” seguido de “Necesito esto ya”.
Por eso la estafa funciona tan bien. La redacción suele ser débil. El tiempo y los detalles personales hacen la mayor parte del trabajo.
Cuando un estafador combina pistas de LinkedIn con exposición en brokers, la petición deja de sentirse aleatoria y pasa a sentirse rutinaria. Si hay menos datos personales flotando en sitios de brokers, hay menos material para convertir en una falsificación creíble.
Un ejemplo simple de la estafa
Imagina un martes normal por la mañana. Tu jefe publicó en LinkedIn la noche anterior que volaba a Denver para reuniones con partners y que estaría difícil de localizar. Esa publicación parece inofensiva. Para un estafador, es una excusa lista para mensajes cortos y apresurados.
A las 9:07 a.m., llega un SMS a tu teléfono desde un número que no conoces. El remitente dice: “Estoy abordando ahora. Necesito un favor antes de mi reunión de las 11.” Usa tu nombre, menciona que estás en Austin y añade: “Tú te encargaste del paquete de bienvenida del cliente para la rediseño del sitio, así que sabes qué comprar.” Luego pide: compra seis tarjetas regalo y envía los códigos enseguida porque no puede llamar desde el aeropuerto.
Nada en ese mensaje es aleatorio. La nota de viaje coincide con la publicación de LinkedIn, así que la urgencia parece real. Tu ciudad hace que el mensaje suene personal. Mencionar tu proyecto actual sugiere que el remitente conoce tu trabajo. El número puede incluso coincidir con uno que aparece para tu jefe en un sitio de brokers, y eso basta para engañar a alguien que nunca lo guardó. Las tarjetas regalo suenan como una diligencia simple de oficina, por eso la petición parece ordinaria en vez de alarmante.
Por eso la suplantación del jefe funciona. El estafador no necesita acceso profundo a tu compañía. Las migas públicas hacen la mayor parte del trabajo. Una actualización en LinkedIn explica por qué tu jefe no está disponible. Un perfil de broker aporta un número personal. Unos pocos detalles de publicaciones, biografías o páginas de equipo hacen que el mensaje suene como si viniera de alguien que te conoce.
El resultado es una petición falsa que se siente extrañamente normal. No reaccionas a una gran mentira; reaccionas a cinco o seis detalles verdaderos cosidos lo bastante bien como para atravesar tu cautela habitual.
Cómo comprobar un mensaje sospechoso paso a paso
La primera comprobación es simple: reduce la velocidad. Una petición urgente falsa funciona porque te empuja a actuar antes de pensar. Si un mensaje pide dinero, tarjetas regalo, un código de restablecimiento o un favor rápido, date cinco minutos tranquilos.
Esa pequeña pausa importa más de lo que la gente cree. La mayoría de los mensajes de suplantación del jefe se desmoronan cuando dejas de tratarlos como una emergencia.
- Lee el mensaje de nuevo sin clicar nada. No respondas aún. No pagues, no reenvíes documentos ni envíes un código de un solo uso.
- Revisa la dirección completa del remitente, no solo el nombre visible. Un mensaje puede decir que es de tu jefe mientras la dirección real usa una cuenta Gmail aleatoria, un nombre de empresa mal escrito o un reply-to extraño.
- Confirma la petición por un segundo canal que ya uses. Llama al número guardado en tu teléfono, envía un mensaje por el chat de trabajo que usas normalmente o pregunta en persona. No uses el número o el enlace dentro del mensaje sospechoso.
- Haz una pregunta corta que solo la persona real respondería fácilmente. Por ejemplo: “¿Para qué cliente es esto?” o “¿Qué acordamos en la reunión del lunes?” Un estafador puede conocer el nombre y el cargo del jefe, pero a menudo falla en detalles pequeños.
- Una vez que sepas que es falso, repórtalo en el trabajo. Envíalo a tu contacto de TI o seguridad o sigue el proceso de denuncia de tu empresa. Un informe puede impedir que el mismo mensaje llegue a otras personas.
Una estafa creíble suele parecer ordinaria al principio. El remitente puede mencionar el nombre de tu equipo, el cargo de tu gerente, un viaje reciente o un proveedor que realmente usas. Por eso comprobar los detalles importa más que juzgar el tono.
Si aún tienes dudas, confía en la duda. El trabajo real puede esperar unos minutos. Arreglar un error apresurado suele llevar mucho más tiempo.
Cuando un mensaje se siente extrañamente personal, asume que parte de ese detalle vino de perfiles públicos y registros de brokers. Cuanto menos de tu información privada flote en línea, más difícil será para un estafador que una petición falsa suene real.
Errores que facilitan la estafa
Un estafador no necesita mucho para que una petición falsa se sienta real. Una línea de reporte pública, una dirección antigua y un número que usas por todas partes pueden bastar. Ahí reside la fuerza de la suplantación del jefe: suele parecer personal porque partes de tu vida ya son públicas.
Un error común es publicar demasiado sobre quién reporta a quién. Si tu perfil de LinkedIn, la página de tu equipo o una biografía pública deja claro que trabajas bajo cierto gerente, el estafador ya tiene una historia lista. Puede enviar una nota que suene simple y rutinaria: “Necesito que te encargues de esto antes de comer.” El nombre se siente familiar, así que la gente deja de comprobar.
Usar el mismo número personal para cuentas de trabajo y privadas empeora el problema. Si ese número aparece en redes sociales, currículums antiguos, apps de mensajería o listados de brokers, da al estafador más vías para contactarte. Un SMS de un “jefe” suena más urgente que un correo, sobre todo si llega al mismo teléfono que usas para mensajes reales de trabajo.
Los registros antiguos de brokers añaden detalles que deben seguir privados. Direcciones pasadas, rangos de edad y nombres de familiares ayudan al estafador a sonar menos genérico. Incluso una línea extra como “sé que ahora estás fuera de casa” o mencionar a un familiar puede bajar la guardia. Eso es exposición en brokers en términos simples: pequeños detalles que hacen que una mentira suene cercana a la verdad.
Otro error fácil es confiar en el nombre visible y saltarse el dominio del correo. Mucha gente ve un nombre conocido y actúa rápido. No notan que la dirección tiene una letra cambiada o viene de un servicio de correo aleatorio. Esa pequeña comprobación suele detener la estafa.
La urgencia es la última trampa. Cuando un mensaje dice “ahora mismo”, “en secreto” o “no llames”, reduce la velocidad. Un jefe real puede esperar dos minutos mientras verificas la solicitud por otro canal.
Si tus datos personales ya están dispersos en sitios de brokers, limpiarlos importa porque das a los estafadores menos material con que trabajar.
Una lista rápida antes de actuar
Una estafa creíble funciona porque te pide moverte rápido antes de pensar. En la suplantación del jefe, el mensaje suele parecer lo bastante normal como para que tu cerebro rellene los huecos.
Antes de responder, enviar dinero, comprar tarjetas regalo o compartir un código, haz una pausa de dos minutos. Esa breve pausa atrapa muchas peticiones falsas.
Pregúntate si la solicitud encaja con la persona. Si tu jefe nunca pide compras, cambios en nómina o favores secretos, trátalo como sospechoso. Revisa el momento también. Un mensaje que impone urgencia con frases como “ahora mismo”, “antes de la reunión” o “lo necesito en 10 minutos” suele intentar impedir que verifiques.
Mira la dirección de respuesta, no solo el nombre visible. Un cambio de una letra, un dominio raro o una cuenta personal son señales comunes. Ten especial cuidado con peticiones que impliquen dinero, tarjetas regalo, códigos de acceso, transferencias bancarias o secreto. Esas son jugadas antiguas porque siguen funcionando.
Luego confírmalo por otro canal. Llama a la persona, escríbele por el chat de la empresa o pregunta a un compañero cercano. Normalmente toma menos de dos minutos.
Una pequeña discrepancia importa más que un mensaje bien redactado. Si la nota dice que tu jefe está de viaje, necesita discreción y quiere que compres tarjetas regalo hoy, eso ya es motivo para parar. Si el remitente además conoce tu puesto o teléfono, el mensaje puede parecer más real, pero eso no lo hace seguro.
Una regla práctica ayuda: petición inusual + urgencia + pago = no actúes hasta verificar.
La mayoría de la gente no cae porque sea descuidada; cae porque la estafa suena a un problema normal de trabajo en un día ocupado. Una comprobación rápida rompe ese hechizo.
Qué hacer si tus datos están expuestos
Una vez que tu número, dirección antigua o datos de trabajo están ahí fuera, la solución no es un solo gran movimiento. Es un trabajo de limpieza. Empieza por los lugares que los desconocidos pueden ver en segundos y luego avanza.
Primero, recorta tus perfiles públicos. En LinkedIn y sitios similares, deja lo que ayuda a contactos reales a encontrarte, pero elimina lo que sobra. Un número de teléfono directo público, un correo personal, la fecha de nacimiento completa o una ubicación antigua dan más material a un estafador de lo que crees. Para la suplantación del jefe, incluso detalles pequeños pueden hacer que una petición falsa parezca familiar.
Después, trata los registros antiguos. Busca números de teléfono pasados, direcciones y listados en sitios de people-search. Elimina lo que puedas por tu cuenta. Los datos antiguos siguen ayudando a los estafadores porque les permiten sonar lo bastante cercanos a alguien que conoces.
Mantén la limpieza en marcha
Los brokers suelen volver a publicar los mismos datos cada pocas semanas o meses, así que una sola ronda de eliminaciones rara vez basta. Si quieres hacerlo tú, envía solicitudes de eliminación y pon un recordatorio para comprobarlo de nuevo. Si no quieres ese trabajo, Remove.dev encuentra y elimina datos personales de más de 500 brokers y sigue monitoreando para nuevas reapariciones, de modo que se puedan enviar nuevas solicitudes sin que tengas que hacerlo todo manualmente.
Hazlo sencillo como hábito. Detente cuando un mensaje pida dinero, tarjetas regalo, códigos o secreto. Comprueba al remitente por un segundo canal que ya uses, como una llamada o un mensaje nuevo que inicies tú. Busca pequeñas discrepancias, como un número diferente o un tono apresurado. Informa del intento en tu trabajo para que otras personas no reciban el mismo mensaje.
Esto sigue siendo importante después de limpiar datos. Los estafadores reutilizan información antigua durante meses.
Un ejemplo práctico lo deja claro. Si alguien sabe el nombre de tu gerente, tu ciudad y un número que usaste hace dos años, puede escribir un mensaje que suene lo bastante personal para cogerte desprevenido. Quita esos detalles extra y la estafa se debilita. El mejor hábito es simple pero eficaz: reduce la velocidad, verifica solicitudes inusuales y nunca tomes la urgencia como prueba.
Preguntas Frecuentes
¿Qué es la suplantación del jefe en phishing?
Es cuando un estafador se hace pasar por tu jefe, CEO u otro compañero de alto rango para presionarte a enviar dinero, tarjetas regalo, archivos o códigos de acceso. El mensaje funciona porque suena rutinario y urgente, no por ser vistoso.
¿Por qué los correos falsos del jefe parecen reales tan rápido?
Porque el remitente suele usar algunos detalles verdaderos, como tu nombre, tu equipo, los planes de viaje de tu jefe o un proyecto en el que trabajas. Esos hechos pequeños hacen que la solicitud falsa parezca normal durante un instante, y ese instante suele ser suficiente.
¿Qué pueden aprender los estafadores de LinkedIn?
Un perfil público puede decirles tu título, equipo, compañeros, gerente y el contexto reciente de trabajo. Si tu jefe publicó sobre un viaje o una semana ocupada, un estafador puede convertir eso en un mensaje urgente que suene creíble.
¿Cómo hacen los brokers que la estafa sea más convincente?
Los sitios de brokers pueden añadir números de teléfono personales, correos antiguos, ciudad de residencia, direcciones pasadas, rango de edad y nombres de posibles familiares. Ese detalle extra ayuda a que el estafador haga que el mensaje suene personal en lugar de aleatorio.
¿Cómo debo comprobar un mensaje sospechoso que parece venir de mi jefe?
Primero, frena. Luego revisa la dirección completa del remitente, no solo el nombre visible, y confirma la solicitud por un canal que ya uses y en el que confíes, como el número guardado en tu teléfono o el chat de trabajo. Si el mensaje pide secreto o dice que "no llames", tómatelo como una alerta.
¿Cuáles son las señales más claras en una solicitud falsa del jefe?
Atento a solicitudes inusuales, sobre todo si implican dinero, tarjetas regalo, cambios en nómina, códigos de acceso o archivos privados. Palabras de presión como “ahora mismo”, “antes de la reunión” o “no llames” suelen ser intentos de impedir que verifiques el mensaje.
¿Por qué los estafadores siguen pidiendo tarjetas regalo?
Porque las tarjetas regalo se canjean rápido, son difíciles de recuperar y fáciles de convertir en efectivo. Un estafador las presenta como una tarea rutinaria de oficina para que la petición parezca aburrida y obedecible sin pensar.
¿Un mensaje de un número que parece real puede seguir siendo falso?
Sí. Un mensaje puede ser falso aunque venga de un número que parece real o de un número antiguo ligado a tu jefe. Los datos de contacto encontrados online no prueban que quien escribe sea quien dice ser; siempre verifica por un canal que inicies tú.
¿Qué hago si ya respondí o envié algo?
Actúa rápido, pero con calma. Informa a tu equipo de TI o seguridad, contacta a tu banco o proveedor de tarjeta si hubo movimiento de dinero y cambia contraseñas o códigos expuestos. Cuanto antes actúes, más opciones tendrás para limitar el daño.
¿Cómo puedo dificultar que los estafadores se hagan pasar por mi jefe?
Recorta lo que los desconocidos pueden ver en tus perfiles públicos y elimina números de teléfono, direcciones y listados antiguos cuando puedas. Si no quieres hacerlo manualmente, Remove.dev puede encontrar y eliminar datos personales en más de 500 brokers y seguir monitoreando para nuevas apariciones.