Cómo saber si un email es phishing o es seguro

Recibir un mensaje que supuestamente viene de tu banco, de una empresa de paquetería o de una plataforma de firma digital puede ponerte en alerta. Los ciberdelincuentes perfeccionan a diario los correos que envían para que parezcan legítimos y lograr que hagas clic, descargues algo o compartas datos sensibles. Por suerte, hay señales claras para diferenciarlos y técnicas sencillas para comprobar si un email es fiable.

En esta guía encontrarás cómo identificar un phishing con ejemplos típicos, cómo analizar enlaces, remitentes y cabeceras, además de qué hacer si ya has hecho clic o diste datos sin querer. Integramos prácticas de empresas y organismos que tratan a diario estos fraudes, desde bancos y servicios de firma hasta administraciones públicas, para que revises cualquier mensaje con criterio.

Qué es el phishing y por qué funciona

El phishing es una forma de ingeniería social que intenta que la víctima entregue información confidencial o instale malware haciéndose pasar por una entidad de confianza. El objetivo suele ser robar credenciales, datos bancarios o tomar el control de cuentas, pero también desviar pagos o infectar equipos para operar a largo plazo.

Estos fraudes triunfan porque imitan marcas conocidas, copian logotipos e incluso replican diseños de emails y webs oficiales. Los atacantes cuentan una historia creíble para forzar una reacción rápida: verificaciones urgentes, recibos que no reconoces, supuestas alertas de seguridad o devoluciones de impuestos muy tentadoras.

Cómo son los correos y SMS de phishing

Los correos electrónicos y mensajes de texto fraudulentos se caracterizan por pedirte que hagas algo con prisa: validar una cuenta, abrir un adjunto, “reactivar” un servicio o confirmar pagos. El formato es cada vez más profesional, pero suelen dejar pistas si miras con calma el remitente, los enlaces, la redacción y el dominio al que te llevan.

También existe el SMiShing (por SMS), que replica el mismo patrón pero en tu teléfono. El modus operandi es idéntico: te empujan a pulsar un enlace o descargar un archivo desde un mensaje que aparenta ser de tu banco, una empresa de logística o un servicio que usas a menudo.

Señales para detectar un correo fraudulento

Conviene revisar cada mensaje con lupa. Estas banderas rojas no son exclusivas, pero juntas aumentan mucho la sospecha de que estás ante un intento de phishing:

• Errores de estilo: faltas, sintaxis peculiar, expresiones raras o textos poco naturales. Los fallos ortográficos siguen siendo una pista muy frecuente.
• Gráficos “raros”: logotipos pixelados, proporciones deformadas o imágenes que no respetan el diseño habitual. Cuando el branding no encaja, desconfía.
• Saludos genéricos: “Estimado cliente” en una empresa que debería llamarte por tu nombre. La falta de personalización indica envío masivo.
• Urgencias artificiales: plazos de minutos, amenazas de cierre de cuenta o “última oportunidad”. La presión temporal es una táctica clásica.
• Adjuntos inesperados (ZIP, RAR, ejecutables) y facturas que no encajan. Los archivos comprimidos suelen esconder malware.
• Enlaces camuflados que no coinciden con el dominio oficial. Si al pasar el ratón no ves una URL legítima, no hagas clic.

Cómo verificar enlaces y dominios sin riesgos

Antes de interactuar, comprueba el destino real del vínculo. Pasa el cursor por encima del enlace sin hacer clic y mira la URL que aparece en la barra de estado del correo o del navegador. En móvil, mantén pulsado el enlace para ver la dirección.

Otra táctica segura es copiar la URL sin abrirla: haz clic con el botón derecho, copia el enlace y pégalo en un documento para revisarlo con calma. Si ves dominios mal escritos, subdominios extraños o cadenas de caracteres sospechosas, no lo abras.

Ojo con los trucos visuales: “docusing.com” por “docusign.com”, sustituir la “l” por “1” o añadir palabras antes del dominio legítimo para parecer oficial. Que haya candado o “https” no garantiza legitimidad si el dominio no es el correcto.

Tipos de estafas de phishing más comunes

Los delincuentes varían los cebos según la temporada y la actualidad, pero hay patrones que se repiten. Conocer estos guiones te ayuda a reconocerlos en segundos:

• Cuentas suspendidas: mensajes que dicen haber bloqueado tu banca online por actividad inusual. Si no es tu banco, bórralo; si lo es, verifica por vías oficiales.
• Autenticación de dos factores (2FA): intentos de que apruebes accesos o introduzcas códigos para “confirmar identidad”. Desconfía si no iniciaste tú el proceso.
• Devoluciones de impuestos: supuestas comunicaciones de la Agencia Tributaria con reembolsos inesperados. Se apoyan en pedir datos muy sensibles y no llegan por correo electrónico.
• Confirmaciones de pedidos: recibos o facturas de compras que no hiciste con adjuntos maliciosos. El adjunto suele ser el ataque en sí.
• Fraude del CEO y phishing laboral: correos que imitan a jefes o clientes pidiendo urgencias de pago. Verifica internamente antes de mover un euro.
• Extorsión digital: correos que aseguran tener vídeos tuyos “comprometedores” pidiendo rescate. Buscan asustar para que pagues; no cedas.

Cuando el phishing intenta pasar desapercibido

Algunos kits de phishing incluyen JavaScript para detectar si una web está siendo analizada en una máquina virtual o por un sistema automatizado. Si detectan análisis, pueden mostrar una página en blanco para burlar herramientas de seguridad. Mantenerte actualizado en técnicas de fraude ayuda a reconocer estas trampas cambiantes.

Señales específicas que ofrecen algunos servicios

Plataformas y empresas con fuerte foco en seguridad dan pistas claras para verificar emails. Algunos indicadores son muy útiles si conoces su política de comunicación:

• Firmas electrónicas: los correos legítimos de invitación a firmar no incluyen adjuntos ejecutables ni ZIP, y añaden un código único de seguridad en la notificación. Si falta ese código o el enlace no apunta a su dominio oficial, cuidado.
• Paquetería y envíos: ciertos operadores incorporan códigos verificables en sus emails. Comprueba el código en la web oficial antes de tocar nada.
• Clientes de correo: algunas aplicaciones marcan con “?” los remitentes no autenticados. Si ves símbolos inusuales en contactos que reconoces, podría haber suplantación; considera opciones para proteger el correo en tu organización.

Remitente falso y suplantación por email spoofing

El email spoofing permite que un atacante modifique el campo “De” para que parezca que el mensaje lo envía otra persona o empresa. Este engaño es posible porque SMTP, el protocolo de correo, no exige autenticación por defecto.

Además de engañar al destinatario (víctima directa), también puede perjudicar al titular de la dirección suplantada (víctima indirecta). Mientras tú recibes el fraude, otra persona puede estar siendo suplantada sin enterarse, con impacto en su reputación o sus relaciones.

Cómo leer cabeceras y verificar autenticaciones

Las cabeceras del correo contienen datos técnicos útiles: servidores por los que pasó, fechas de tránsito, cliente de envío y validaciones como SPF o DKIM. Analizarlas ayuda a ver si el correo es coherente con el dominio que dice enviarlo.

Pasos rápidos según tu gestor de correo: en Outlook abre el mensaje en ventana nueva y ve a Archivo > Información > Propiedades para hallar “Encabezados de Internet”. En Gmail, ábrelo, pulsa en los tres puntos y elige “Ver origen del mensaje”. En Yahoo, busca “Ver mensaje sin formato”.

Con esa información puedes usar herramientas que desglosan la cabecera para verla clara. Interpreta datos como el tiempo de entrega, el dominio de From y los resultados de SPF y DKIM. Por ejemplo: tránsito inusualmente largo, dominio que no corresponde o DKIM con errores son señales de alerta.

Buenas prácticas para decidir si un email es fiable

La regla de oro es comprobar por canales oficiales lo que te pidan hacer en el correo. Si tienes cuenta, entra desde tu app o web de siempre o llama al número que ya conoces; no uses teléfonos o enlaces del mensaje sospechoso.

Repasa todo el contenido visual y textual: saludos, tono, errores, logotipos y consistencia del dominio. Y recuerda que muchas compañías legítimas no te pedirán actualizar datos sensibles a través de enlaces en correos no solicitados.

Qué hacer si te llega phishing a la bandeja principal

Si detectas un intento en tu bandeja de entrada, la opción más segura es no abrirlo. Algunos clientes permiten ejecución de scripts al abrir un correo, así que mejor elimínalo sin interactuar.

Si no puedes evitar abrirlo, jamás descargues adjuntos ni pulses enlaces. Bloquea al remitente manualmente si tu gestor lo permite y añade el dominio a la lista de bloqueados, sobre todo si compartes el buzón con alguien que pueda caer.

Reforzar tu protección con un buen antivirus y filtros antispam también ayuda. Un software de seguridad actualizado puede detectar adjuntos maliciosos o URLs peligrosas antes de que causen daño; para entornos corporativos considera soluciones como Defender for Office 365.

Verificación de emails y exposición en fugas de datos

Si dudas de si una dirección existe o está operativa, puedes usar servicios de verificación de emails que validan sintaxis y disponibilidad del buzón en el servidor. Estas herramientas permiten detectar direcciones falsas o caducadas sin enviar un correo real.

Además, algunas soluciones permiten comprobar si tu dirección apareció en una brecha de datos. Si tu email está comprometido, cambia contraseñas y activa la autenticación de múltiples factores para limitar el impacto.

Casos concretos: bancos, impuestos, paquetería y firmas

Banca: si te avisan de accesos sospechosos o bloqueos, no pulses nada. Abre la app oficial o llama al teléfono que figura en tu tarjeta o web de siempre. No compartas claves por email.

Agencia Tributaria: cada campaña aparecen correos con “devoluciones” inesperadas. El organismo no gestiona reembolsos pidiéndote datos por email, y los correos que piden números de cuenta o DNI suelen ser una trampa.

Operadores de paquetería: hay compañías que han implantado códigos verificables en sus emails de envíos. Introduce ese código exclusivamente en la web oficial para comprobar que el mensaje es auténtico y evitar clones de phishing.

Servicios de firma digital: revisa que el correo incluya el código único de seguridad en la notificación y que los enlaces apunten al dominio correcto. Las invitaciones legítimas a firmar no llevan adjuntos ZIP ni ejecutables, y no te pedirán contraseñas por correo.

Protecciones técnicas y hábitos que marcan la diferencia

Activa actualizaciones automáticas en tu ordenador y en el móvil. Los parches corrigen fallos que los atacantes explotan, y mantener el sistema al día reduce mucho el riesgo.

Haz copias de seguridad periódicas de tu información. Ten al menos un respaldo fuera de tu equipo o en la nube para recuperarte si algo sale mal o te infecta un malware.

Qué hacer si hiciste clic o diste datos

Si pulsaste un enlace y llegaste a una web sospechosa, no introduzcas nada y cierra la página. Actualiza tu antivirus, ejecuta un análisis completo y elimina cualquier amenaza detectada en el equipo.

Si compartiste información sensible (tarjeta, cuenta bancaria, identificación), ponte en contacto con tu banco y cambia contraseñas. Activa alertas de actividad y la MFA donde sea posible. Si cediste datos de identidad, sigue el proceso recomendado por las autoridades competentes de tu país para gestionar un posible robo de identidad.

Cuando el correo suplantaba a un servicio específico (por ejemplo, una plataforma de firma), revisa si ese proveedor dispone de un canal de reporte. Algunas empresas piden reenviar el correo fraudulento o escribir a un buzón dedicado a abuso para bloquear campañas.

Cómo reportar intentos de phishing

Denunciar ayuda a reducir el alcance de estas campañas. Utiliza la opción “Reportar phishing” o “Correo no deseado” en tu cliente de correo y, si procede, reenviarlo al departamento de seguridad de la empresa suplantada.

En entornos corporativos, avisa al equipo de TI o de seguridad para que aíslen mensajes similares y avisen a otros usuarios. Cuanto antes se corte la cadena, menos víctimas habrá y más fácil será neutralizar la campaña.

Indicadores en clientes de correo como Outlook

Algunos clientes muestran pistas visuales cuando algo no cuadra. Si ves un “?” en la imagen del remitente, puede indicar que el mensaje no se ha autenticado. No significa que sea malicioso, pero exige prudencia adicional.

También pueden resaltar cuando la dirección real del remitente no coincide con la que aparece en el campo “De”. Si el cliente subraya la discrepancia, es una señal potente de suplantación y suficiente motivo para no interactuar. Si necesitas restaurar mensajes borrados por error, sigue pasos para recuperar correos eliminados en Outlook.

Ejemplos prácticos de campañas que verás a menudo

Estas plantillas de engaño circulan todo el año con ligeros retoques. Si las identificas una vez, te resultará sencillo reconocerlas las próximas veces:

• Falso currículum o candidatura: llega un CV con un documento infectado. El adjunto es el vector de malware.
• Renovaciones de servicios inexistentes: correos que buscan que pagues por un servicio que no tienes. El fin es captar datos de pago.
• Factura pendiente: aprovecha tu rutina para que pagues sin verificar. Revisa siempre el emisor y el importe.
• Premios o cupones imposibles: ofertas demasiado buenas para ser verdad. El reclamo oculta un enlace malicioso.
• Alertas de seguridad falsas: “detectamos actividad extraña” que te lleva a un clon de login. No inicies sesión desde el enlace.
• Mensajes de redes sociales: supuestas solicitudes o mensajes directos con enlaces de phishing. Accede desde la app oficial.
• Extorsión por “hackeo” de cámara: chantaje para que pagues un rescate. Busca asustarte; no entres al juego.

Cuándo una organización no contacta por email

Ten en cuenta la política de comunicación de cada entidad. Hay organismos que no solicitan datos personales por correo electrónico y prefieren notificaciones por otros medios oficiales. Conocer estos hábitos te evita caer ante correos que aprovechan su nombre.

En campañas sensibles como la declaración de la renta, los estafadores aumentan los envíos con promesas de devoluciones exprés. Si un mensaje pide información financiera por email, sospecha inmediatamente y valida por canales oficiales.

Medidas rápidas si gestionas un equipo o empresa

Implanta formación periódica en detección de phishing y simula campañas internas para medir la preparación. Refuerza SPF, DKIM y DMARC en tu dominio para reducir la suplantación y mejorar la reputación de tus envíos; además revisa una comparativa Google Workspace vs Microsoft 365 para elegir la plataforma adecuada.

Establece un flujo claro de reporte (por ejemplo, un botón o buzón específico) y define protocolos de verificación para transferencias urgentes. Ante solicitudes atípicas, exige una segunda validación por un canal distinto del email.

Si una marca de confianza te contacta, usa su web o app de siempre para acceder a tu cuenta. No descargues adjuntos ni hagas clic en enlaces promovidos por correos no solicitados, aunque el diseño sea impecable.

Mantener la calma y dedicar unos segundos a validar remitente, enlaces y coherencia del mensaje evita la mayoría de incidentes. Con estas pautas tendrás criterio para distinguir entre comunicaciones reales y trampas, y sabrás cómo reaccionar si algo ya se ha escapado.