+34 93 415 31 15 info@guardianhubx.com GuardianHubX GuardianHubX GuardianHubX News / Blog

He rebut un correu sospitós: és phishing i què haig de fer?

22 de març de 2026 GuardianHubX
Com identificar email de phishing i protegir-se dels atacs
Font: GuardianHubX

Rebre un correu electrònic inesperat ja no és quelcom excepcional. Tanmateix, quan aquest missatge sol·licita informació sensible, inclou enllaços estranys o genera sensació d’urgència, és legítim preguntar-se: estic davant d’un intent de phishing?

El phishing és una de les tècniques d’atac més utilitzades en el món. El seu èxit no depèn tant de la tecnologia com de la manipulació psicològica. Per això, qualsevol empleat, directiu o usuari pot convertir-se en objectiu. El 2026, el phishing continua sent el vector d’atac número u, responsable del 91% dels incidents de ciberseguretat exitosos.

Què és el phishing

El phishing és un tipus d’atac basat en la suplantació d’identitat. L’atacant es fa passar per una entitat legítima —banc, proveïdor, empresa tecnològica o fins i tot un company de feina— per enganyar el destinatari i aconseguir:

  • Contrasenyes i credencials
  • Dades bancàries
  • Informació confidencial o estratègica
  • Accés a sistemes corporatius
  • Descàrrega de malware (com infostealers)

L’objectiu pot ser el robatori directe d’informació o obrir la porta a atacs posteriors més greus, com ransomware o compromís d’identitat.

Senyals clares que pot ser phishing

Malgrat que els atacs són cada vegada més sofisticats, existeixen senyals d’alerta habituals que poden salvar-te:

1. Urgència artificial

Missatges que exigeixen actuar de seguida: “El teu compte serà bloquejat”, “Pagament pendent”, “Accés suspès”, “Verifica la teva identitat ara”.

Aquesta tècnica de pressió temporal és un dels pilars de l’enginyeria social, que busca anul·lar el teu pensament crític.

2. Adreça del remitent estranya

El nom pot semblar legítim, però el domini real pot contenir petites variacions. Per exemple:

  • amazon-verifica.cat en lloc de amazon.cat
  • paypa1.com amb número 1 en lloc de lletra L
  • suport.bancari@empresa-falsa.cat

Sempre verifica el domini complet abans de confiar en un correu.

3. Enllaços sospitosos

En passar el cursor per sobre de l’enllaç (sense fer clic), l’adreça real no coincideix amb l’empresa que suposadament envia el correu. És una tècnica habitual amagar URLs malicioses amb text enganyós.

4. Errors gramaticals o de format

Malgrat que són cada vegada menys freqüents, segueixen essent un indicador. Els correus professionals no contenen faltes d’ortografia evidents ni formats trencats.

5. Sol·licitud de dades confidencials

Regla d’or: Cap entitat legítima demana contrasenyes, codis de verificació o dades bancàries per correu electrònic. Si reps aquesta sol·licitud, és pràcticament segur que és phishing.

6. Fitxers adjunts sospitosos

Documents PDF, Word o Excel que no esperaves, especialment si contenen instruccions per “habilitar macros” o “deshabilitar proteccions”.

Tipus de phishing més comuns el 2026

TipusDescripcióRisc
Phishing massiuCorreus a milers de persones sense personalitzacióMITJÀ
Spear phishingAtacs dirigits amb informació personalitzada sobre la víctimaALT
WhalingPhishing contra executius i directiusMOLT ALT
BEC/Frau del CEOSuplantació de CEO demanant transferències urgentsCRÍTIC
QuishingCodis QR falsos que redirigeixen a pàgines de login fraudulentesALT
VishingPhishing per telèfon usant enginyeria socialALT
SmishingPhishing per SMS o WhatsAppMITJÀ-ALT

Què passa si fas clic en un enllaç maliciós

Si fas clic en un enllaç de phishing poden ocórrer vàries coses immediates:

  • Redirecció a pàgina falsa — Una còpia idèntica del lloc legítim que captura les teves credencials
  • Descàrrega automàtica de malware — Sense que facis res més, el navegador descàrrega un fitxer maliciós
  • Instal·lació d’infostealer — Malware que extreu totes les contrasenyes guardades en el navegador
  • Segrest de sessió — Si el teu navegador té cookies actives, l’atacant les captura
  • Compromís de dispositiu — Si descarregues un executable, l’atacant obté accés complet

El risc escala ràpidament. Si introdueixes les teves credencials, l’atacant pot accedir directament als teus comptes, fins i tot a sistemes corporatius. En entorns empresarials, una única credencial compromesa pot permetre accés lateral a tota la xarxa.

Què fer si reps un correu sospitós

Segueix aquests 5 passos immediats:

No facis clic — No obris enllaços ni descarreguis adjunts sense verificar abans

Verifica el remitent — Revisa el domini complet (no només el nom mostrat)

Contacta directament — Truca a l’empresa per telèfon (número de la seva web oficial, no del correu)

Reporta el correu — Marca’l com phishing / spam en el teu client d’email; a empresa notifica a IT

Elimina el correu — Només després de reportar-lo, elimina’l de forma segura

Si treballes a empresa: Comunica l’incident al departament de seguretat perquè alerta els altres empleats de possibles atacs similars.

Què fer si ja has interactuat amb un email de phishing

Has comès un error. Actúa ARA per limitar el dany:

🔴 Accions crítiques (primers 30 minuts)

  • Canvia contrasenyes — Si vas introduir credencials, canvia-les immediatament en aquest compte
  • Activa MFA — Habilita autenticació multifactor en comptes crítics si no estava activa
  • Notifica a IT — A empresa, comunica al departament d’IT ara mateix

🟡 Accions secundàries (següents 24 hores)

  • Executa antimalware — Usa un antivirus/antimalware actualitzat per anàlisi complet (revisa infostealers)
  • Revisa accessos — A Gmail/Outlook busca “Activitat recent” o “Inicis de sessió recents”
  • Busca accessos inusuals — Des de ubicacions estranyes, dispositius desconeguts o hores rares
  • Monitoritza comptes — Revisa transaccions bancàries, canvis en configuració d’email, etc.

📋 Verificacions addicionals

[ ] Notifica a bancs si vas compartir dades financeres
[ ] Considera congelar crèdit a agències de crèdit (si vas compartir dades personals)
[ ] Revisa informes de crèdit en línia
[ ] Considera canviar altres contrasenyes relacionades

Recorda: La rapidesa és crítica. Com més ràpid actuïs, menys dany pot causar l’atacant.

Per què el phishing continua funcionant el 2026

Malgrat tots els avançaments en seguretat, el phishing funciona perquè no explota vulnerabilitats tècniques, sinó humanes. Es basa en principis fundamentals de psicologia:

  • Confiança — El missatge sembla venir de quelcom de confiança
  • Por — “El teu compte serà bloquejat”, “Les teves dades estan en risc”
  • Urgència — “Actúa ara”, “Només 5 minuts disponibles”
  • Autoritat — Suplantació de figures de poder (cap, CEO, regulador)
  • Curiositat — “Mira això”, “Tens que veure aquest vídeo”

En entorns corporatius, n’hi ha prou amb que un sol empleat caigui en l’engany per comprometer tota l’organització.

Com protegir la teva empresa front al phishing

Una defensa multicapa requereix aquests 7 pilars:

Formació contínua

Campanyes de conscienciació sobre tipus d'atac i senyals d'alerta

CRÍTICA
Simulacions periòdiques

Atacs falsos per avaluar i entrenar empleats que "cauen"

CRÍTICA
MFA obligatòria

Autenticació multifactor en comptes crítics (email, financer, VPN)

CRÍTICA
Monitorització d'accessos

Detecta patrons inusuals (ubicacions noves, hores rares, falles múltiples)

ALTA
Filtres de correu

Detecten dominis falsos, URLs malicioses i patrons de phishing

ALTA
Informe intern clar

Empleats saben a qui reportar sense por a represàlies

ALTA
Segmentació de xarxa

Limita accés lateral si un dispositiu és compromès

ALTA

L’objectiu: No eliminar completament el risc (impossible), sinó reduir la probabilitat d’èxit de l’atacant i minimitzar l’impacte quan inevitablement algú cometi un error.

El phishing com a porta d’entrada a atacs majors

Aquí està el veritable risc: el phishing gairebé mai és l’atac final. És la porta d’entrada.

Molts incidents de ransomware, robatori de dades i compromisos corporatius comencen amb un simple correu de phishing. Una credencial compromesa permet accés lateral dins de la xarxa corporativa. Des d’aquí, l’atacant explora, escalona privilegis i acaba xifrant sistemes crítics o exfiltrant bases de dades completes.

El 2025 i 2026, la combinació de phishing + infostealers + ransomware s’ha convertit en la cadena d’atac estàndard. Per això subestimar un correu sospitós pot tenir conseqüències estratègiques.

Conclusió

Si has rebut un correu que et genera dubtes, la precaució és sempre la millor decisió. En ciberseguretat, un segon de verificació pot evitar setmanes de crisi.

El phishing és una amenença constant i adaptable. Els atacants aprenen de les defenses i iteren les seves tècniques contínuament. Però amb formació, controls adequats i monitorització activa, és possible reduir significativament el seu impacte.

Protecció contra phishing amb GuardianRadar

GuardianRadar, la nostra solució d’intel·ligència de menaces, monitoritza intents de phishing dirigits a la teva empresa, alertant-te de suplantacions de domini, emails maliciosos i campanyes d’enginyeria social abans que afectin els teus empleats.

Combinat amb formació periòdica en seguretat, crea una defensa multicapa contra els atacs que dominen el 2026.

Si vols avaluar el nivell d’exposició de la teva organització front als atacs de phishing o reforçar els teus mecanismes de protecció, l’equip de GuardianHubX pot ajudar-te a implementar una estratègia adaptada als teus riscos reals.

Coneix com protegim la teva empresa →

Articles relacionats

Veure tots els articles →