Publicado el 05 de junio de 2026 · por Qubit Technologies
Por qué el phishing tiene faltas de ortografía a propósito
Las faltas de ortografía del phishing masivo no son un descuido, son un filtro deliberado para encontrar a las víctimas más fáciles. El phishing dirigido contra vuestra empresa, en cambio, no tiene ni una.
Todo el mundo ha recibido un correo de phishing lleno de faltas. El “estimado cliente”, la tilde que falta, la frase que ningún humano escribiría. La conclusión natural es que quien está detrás es un chapuzas. Casi siempre es la conclusión equivocada.
En la mayoría de esos correos, las faltas no son un descuido, son una herramienta. En los que de verdad van contra vuestra empresa, en cambio, no hay ni una.
Las faltas como filtro
El phishing masivo se envía a millones de direcciones a ciegas. Quien lo manda no busca engañar a todo el mundo, busca a las pocas personas que van a llegar hasta el final, dar sus datos o hacer la transferencia. Ahí está el truco.
Responder a alguien que a mitad del engaño sospecha y se echa atrás cuesta tiempo. Un correo torpe, lleno de faltas y de señales de alarma, ahuyenta justo a esas personas. Solo sigue adelante quien no se fija en nada de eso, que es exactamente la víctima que el estafador quiere. Cuanto peor escrito está el cebo, mejor selecciona a quien va a picar de verdad.
El correo que va a por vosotros
El phishing dirigido juega a otra cosa. No se manda a millones, se manda a una persona concreta de vuestra empresa, elegida por su puesto o por su acceso. Quien lo escribe ha hecho los deberes antes.
Sabe el nombre de vuestro director financiero, conoce a vuestro proveedor habitual y sabe que esta semana estáis cerrando una operación, porque buena parte de eso es público. Con esos datos construye un correo que no desentona, con el remitente que esperáis, el tono de siempre y el asunto que encaja con lo que tenéis entre manos. Sin una sola falta, porque una falta lo delataría.
Caer no es ser tonto
Aquí está el error de fondo del consejo de siempre. “Mirad si hay faltas, desconfiad de los enlaces raros” funciona con el phishing masivo, no con el dirigido. Contra un correo bien hecho, buscar erratas no sirve de nada.
Caer tampoco tiene que ver con ser listo o tonto, tiene que ver con el contexto. Si el correo llega en el momento en que esperabais algo así, del remitente del que lo esperabais, con una excusa que encaja, cualquiera hace clic. Los atacantes no explotan la ignorancia, explotan la prisa, la confianza y la rutina.
Qué funciona de verdad
Los filtros técnicos paran mucho, pero no lo paran todo. Basta con que pase uno. Así que la última línea de defensa siempre es una persona delante de la pantalla. A esa persona no la protege un cartel que dice “cuidado con el phishing”, la protege haber visto antes uno de verdad.
Por eso los simulacros de phishing funcionan mejor que las charlas. Cuando alguien pica en un correo de mentira, controlado y sin consecuencias, aprende en treinta segundos lo que ninguna presentación le va a enseñar. La formación que sirve no se cuenta, se practica.
El correo que no veréis venir
El phishing con faltas seguirá llenando vuestra bandeja de spam. Es el menos peligroso, porque se delata solo. El que tenéis que tomaros en serio es el que no parece phishing, el que está escrito a vuestra medida con la información que dejáis a la vista.
De dónde sale esa información ya lo contamos en lo que un atacante averigua de vuestra empresa antes de atacar. El phishing dirigido es el paso siguiente, el momento en que todo ese reconocimiento se convierte en un correo que alguien de vuestro equipo abre sin pensar.
Si queréis poner a prueba a vuestro equipo con una simulación de phishing controlada, escribidnos a [email protected].