El clone phishing es una técnica donde un atacante toma un correo legítimo que ya recibiste —una factura de tu proveedor, una notificación de tu banco, un aviso de envío— y lo replica casi al milímetro. Lo único que cambia es el enlace o el archivo adjunto, que ahora es malicioso.
A diferencia del phishing tradicional, donde el mensaje huele a falso desde la primera línea, un email clonado aprovecha la confianza que ya depositaste en el remitente original. Es phishing por clonación en estado puro: no necesitan inventar nada, solo copiar lo que ya funcionó. Y eso lo convierte en una de las variantes más difíciles de detectar, porque tu cerebro ya procesó ese correo duplicado falso como seguro la primera vez. Aquí te explicamos cómo funciona esta copia de email fraudulento, cómo identificarla y qué hacer si ya picaste.
Cómo funciona el clone phishing paso a paso
El proceso es metódico y bastante más sofisticado de lo que parece. El atacante primero necesita acceso a un email legítimo. Lo obtiene de varias formas: comprometiendo la cuenta de un empleado, interceptando tráfico de red o simplemente usando ingeniería social para que alguien le reenvíe un mensaje corporativo.
Una vez tiene el correo original, lo clona. Mantiene el diseño, el tono, la firma, los logos y hasta los números de referencia. La única modificación es quirúrgica: sustituye un enlace por otro que apunta a un dominio controlado por el atacante, o reemplaza un PDF adjunto por uno que contiene un payload malicioso. En algunos casos, ni siquiera cambian el remitente visible —usan técnicas de email spoofing para que el campo "De:" muestre la dirección legítima.
El toque final es el pretexto para reenviar. El atacante suele añadir una línea como "Te reenvío esto porque el enlace anterior caducó" o "Versión actualizada del documento". Eso justifica que recibas el mismo correo dos veces y baja tus defensas. Si quieres entender cómo estas técnicas se combinan con ataques en otras plataformas, echa un vistazo a cómo funciona el phishing en redes sociales como Instagram y Facebook.
Por qué el email clonado engaña incluso a expertos
La mayoría de formaciones antiphishing entrenan a los usuarios para detectar señales obvias: errores ortográficos, remitentes extraños, urgencia artificial. El clone phishing esquiva todos esos filtros porque el contenido original no tiene fallos —fue redactado por una empresa real.
Los informes del Anti-Phishing Working Group (APWG) reflejan que las campañas de phishing por clonación obtienen tasas de clic superiores a las del phishing genérico. La razón es psicológica: el principio de familiaridad. Si ya viste un correo idéntico hace dos días y no pasó nada, tu cerebro lo marca como seguro. El segundo correo —el clonado— hereda esa confianza.
Además, los filtros antispam lo tienen complicado. El contenido del email es legítimo, las cabeceras pueden estar bien formadas, y si el atacante usa un dominio recién registrado con certificado SSL válido, no hay mucho que un filtro basado en reputación pueda hacer en las primeras horas.
| Phishing tradicional | Clone phishing |
|---|---|
| Mensaje inventado desde cero | Copia exacta de un email real |
| Errores ortográficos frecuentes | Redacción impecable (es la original) |
| Remitente sospechoso | Remitente aparentemente legítimo |
| Fácil de detectar con formación básica | Engaña incluso a usuarios entrenados |
| Filtros antispam lo capturan a menudo | Puede evadir filtros por contenido legítimo |
Señales para detectar un correo duplicado falso
Aunque el clone phishing es sutil, hay indicadores que pueden delatarlo si sabes dónde mirar:
- Recibir el mismo email dos veces sin motivo claro. Si tu banco ya te envió la factura el lunes y el jueves llega otra vez con un "enlace actualizado", sospecha.
- El enlace apunta a un dominio diferente. Pasa el ratón por encima sin clicar. Si el correo original enlazaba a banco.es/facturas y este apunta a banc0-es.com/facturas, ya tienes la respuesta.
- Cabeceras de email inconsistentes. Revisa el Return-Path y los registros SPF/DKIM. Un email clonado enviado desde otro servidor no pasará la verificación DKIM del dominio original.
- Adjuntos con extensiones sospechosas. El PDF original ahora es un .pdf.exe, o un .docm con macros habilitadas.
- Tono ligeramente diferente. A veces el atacante añade una frase de urgencia que no encaja con el estilo habitual del remitente.
Para verificar enlaces sospechosos, VirusTotal permite analizar URLs antes de abrirlas. Copia el enlace, pégalo en virustotal.com y revisa si algún motor lo marca como malicioso. No es infalible —los dominios nuevos pueden tardar horas en ser catalogados— pero es una primera barrera útil.
Casos reales y técnicas avanzadas de clonación
En 2023, el grupo APT29 (vinculado a inteligencia rusa, también conocido como Cozy Bear) utilizó clone phishing contra objetivos diplomáticos europeos. Clonaron correos internos del Servicio Europeo de Acción Exterior, sustituyendo enlaces a documentos compartidos por URLs que desplegaban el malware EnvyScout. Las víctimas ya conocían esos hilos de email, lo que hizo que la tasa de éxito fuera alta.
Otro vector habitual es la copia de email fraudulento combinada con compromiso de cuentas corporativas (Business Email Compromise o BEC). El atacante accede a la cuenta de un empleado real, busca en su bandeja de enviados un correo con factura adjunta, lo clona cambiando el número de cuenta bancaria, y lo reenvía al departamento financiero desde la misma dirección legítima. Según el FBI (informe IC3 de 2023), los ataques BEC generaron pérdidas superiores a 2.900 millones de dólares solo en Estados Unidos.
Estos ataques a veces instalan backdoors o puertas traseras que permiten al atacante mantener acceso persistente al sistema, incluso después de que cambies contraseñas. Y en los peores casos, el correo duplicado falso puede ser la puerta de entrada para un ransomware contratado como servicio que cifre toda la infraestructura.
Cómo protegerte del phishing por clonación
La defensa técnica empieza por configurar correctamente los protocolos de autenticación de email en tu dominio:
- SPF (Sender Policy Framework): define qué servidores pueden enviar correo en nombre de tu dominio.
- DKIM (DomainKeys Identified Mail): firma criptográficamente cada email saliente para que el receptor verifique su integridad.
- DMARC (Domain-based Message Authentication): indica qué hacer cuando un correo no pasa SPF ni DKIM. Configúralo en modo reject tras un periodo de monitorización.
A nivel personal, activa la autenticación en dos factores (2FA) en todas las cuentas que lo permitan. Si un clone phishing roba tus credenciales, el segundo factor impide que el atacante acceda. Mejor aún si usas llaves de seguridad físicas tipo YubiKey en lugar de SMS, que son vulnerables a SIM swapping.
Otras medidas prácticas:
- Ante cualquier email que pida clicar un enlace o descargar algo, accede al servicio directamente escribiendo la URL en el navegador.
- Usa gestores de contraseñas. Un gestor no autocompletará credenciales en un dominio falso, aunque visualmente se parezca al real.
- Revisa periódicamente si tus credenciales han sido filtradas en Have I Been Pwned (haveibeenpwned.com).
- Si gestionas dominios o tienes presencia online, consulta las guías de Piqture sobre buenas prácticas de configuración web.
Qué hacer si ya has picado
Actúa rápido. Los primeros minutos importan.
- Cambia la contraseña de la cuenta comprometida inmediatamente. Si usas la misma contraseña en otros servicios (no deberías, pero seamos realistas), cámbialas todas.
- Revoca sesiones activas. La mayoría de servicios (Google, Microsoft 365, etc.) permiten cerrar todas las sesiones desde el panel de seguridad.
- Analiza tu equipo. Si descargaste un adjunto, ejecuta un análisis con tu antivirus actualizado. Sube el archivo a VirusTotal para un segundo diagnóstico.
- Avisa a tu equipo de IT o a los contactos afectados. Si el ataque fue corporativo, tu cuenta comprometida puede usarse para lanzar más emails clonados contra tus compañeros.
- Denuncia. En España, puedes reportar al INCIBE (017) o a la Policía Nacional (Brigada de Investigación Tecnológica). Si hubo pérdida económica, denuncia también ante la Guardia Civil.
Preguntas frecuentes
¿En qué se diferencia el clone phishing del spear phishing?
El spear phishing crea mensajes personalizados desde cero para un objetivo concreto. El clone phishing copia un email legítimo ya existente y lo reenvía con modificaciones mínimas. Ambos son dirigidos, pero el clonado aprovecha la confianza previa en un mensaje que ya recibiste.
¿Puede un filtro antispam detectar un email clonado?
Depende. Si el atacante envía desde un servidor sin autenticación SPF/DKIM válida, sí. Pero si compromete la cuenta real del remitente y envía desde su propio servidor de correo, el correo duplicado falso pasará la mayoría de filtros. Las soluciones avanzadas con análisis de comportamiento (como las que usan IA para detectar anomalías en patrones de envío) tienen mejor tasa de detección.
¿Cómo sé si un email de mi empresa ha sido clonado para atacar a clientes?
Monitoriza los informes DMARC de tu dominio. Si recibes reportes de fallos de autenticación desde IPs que no reconoces, alguien está intentando enviar correo suplantando tu dominio. Herramientas como dmarcian o Postmark DMARC facilitan esta monitorización.
¿El clone phishing solo funciona con correo electrónico?
La técnica se ha extendido a SMS (smishing clonado), mensajes de WhatsApp y notificaciones de apps. El principio es el mismo: replicar un mensaje legítimo previo y sustituir el enlace. En plataformas de mensajería instantánea, la verificación del remitente es aún más débil que en email.
El siguiente paso
Abre tu bandeja de entrada ahora mismo y busca los últimos 5 correos que contengan enlaces. Pasa el ratón por encima de cada uno sin clicar y verifica que el dominio visible coincide con el dominio real del enlace. Si encuentras alguna discrepancia, márcalo como phishing y repórtalo. Ese gesto de 2 minutos es la mejor vacuna contra el clone phishing: convertir la verificación en un hábito automático antes de hacer clic en cualquier cosa.
