Los correos de phishing son una de las estafas en línea más comunes y, con frecuencia, parecen convincentes. Estos mensajes están diseñados para engañarle y conseguir que comparta información o descargue archivos haciéndose pasar por fuentes de confianza.
Lo que debe saber:
- Los correos de phishing son mensajes maliciosos creados para robar datos personales, dinero o el acceso a cuentas.
- A menudo suplantan a empresas o personas de confianza y generan sensación de urgencia para provocar reacciones rápidas.
- Puede detectar la mayoría de correos de phishing comprobando el remitente, los enlaces y la petición que hacen.
- Abrir un correo de phishing no siempre causa daños inmediatos, pero actuar con rapidez reduce el riesgo.
- Reportar correos de phishing mejora la protección de todos y ayuda a frenar futuros ataques.
- Existen servicios de correo temporal por comodidad, pero no protegen frente al phishing.
¿Qué es un correo electrónico de phishing?
Un correo de phishing es un mensaje fraudulento que se hace pasar por una persona u organización legítima para engañar a los usuarios. Su objetivo es que las víctimas compartan información o descarguen algo dañino, normalmente a través de un enlace.
No todos los correos falsos o spam son phishing. Muchos mensajes de spam son solo anuncios no deseados. El phishing es distinto: está pensado para causar un daño real y suele centrarse en robar contraseñas y acceder a sus cuentas, incluso a las bancarias. Con frecuencia copian el estilo y el tono de correos legítimos, por eso dan la sensación de ser seguros (y cada vez lo hacen mejor).
La finalidad de un correo de phishing es provocar una acción. Si consigue que haga clic o introduzca información personal identificable (PII), el atacante puede, en poco tiempo, pasar de un simple mensaje a la toma de control de una cuenta o al robo de datos.
¿Cómo funciona un correo de phishing?
Un correo de phishing opera suplantando a un remitente de confianza y empujándole a realizar una acción planeada por el atacante. Puede tratarse de rellenar datos para supuestamente “restablecer” una contraseña o verificar algo en una cuenta.
El mensaje suele crear urgencia o presión emocional, por ejemplo una advertencia sobre la seguridad de la cuenta o un problema inesperado. Esta presión pretende evitar que el destinatario piense con calma o verifique la petición.
Los correos de phishing suelen incluir enlaces o archivos adjuntos. Los enlaces pueden llevar a páginas de acceso falsas que aparentan ser reales pero que solo buscan capturar sus datos. Los archivos adjuntos pueden instalar malware o abrir la puerta a ataques posteriores. Una vez que actúe, el atacante podrá usar la información o el acceso obtenido para causar más daño.
¿Cómo detectar un correo de phishing?
Los estafadores suelen ser muy hábiles creando correos que parecen provenir de empresas o personas legítimas. Copian los mismos logotipos y formatos que los mensajes auténticos. Saber distinguir cuándo un correo es phishing es una habilidad clave.
Conviene saber qué comprobar antes de hacer clic en nada.
Características de un correo de phishing
Los correos de phishing están diseñados para que actúe. El atacante normalmente busca datos de acceso o información de tarjeta. Intentarán que abra un enlace o un archivo que les dé acceso.
Para lograrlo, combinan confianza y urgencia. Suelen suplantar a una empresa o servicio conocido y añadir presión para actuar rápido. Un correo de phishing que imite a Amazon, por ejemplo, puede usar su imagen para que el usuario introduzca una contraseña o datos de pago sin pensarlo.
En muchos casos, una sola interacción basta. Un clic o un intento de inicio de sesión pueden entregar la información que el atacante necesita para avanzar.
Señales habituales de advertencia
Algunos correos de phishing parecen convincentes, pero pequeños detalles suelen delatarlos. La dirección del remitente o el nombre de dominio pueden parecer similares al real pero contener caracteres extra o cambios sutiles —un cero en lugar de una «o», por ejemplo.
También son habituales las solicitudes inesperadas o instrucciones que no encajan con la forma habitual de comunicarse la empresa. Mensajes que piden confirmar datos, introducir contraseñas o efectuar pagos sin contexto deben despertar sospechas.
Las tácticas de pánico son otra señal clara. Correos que amenazan con el cierre de la cuenta o con consecuencias inmediatas buscan precipitarle para que actúe sin verificar.
Cómo comprobar enlaces y archivos adjuntos de forma segura
Los enlaces en correos de phishing suelen ocultar su destino real. El texto puede parecer el de un sitio legítimo, pero el enlace apunta a una página falsa o maliciosa.
Los archivos adjuntos inesperados son especialmente peligrosos. Incluso formatos habituales pueden usarse para instalar malware o provocar acciones inseguras al abrirlos. Además, es muy raro que empresas legítimas pidan descargar algo sin aviso previo. Piense siempre de dónde proviene la petición.
La forma más segura es evitar hacer clic en enlaces o abrir archivos desde el propio correo. En su lugar, acceda directamente al sitio o a la aplicación oficial que use habitualmente y compruebe allí si hay mensajes o alertas.
¿Qué debe vigilar en dispositivos móviles?
Detectar phishing en el móvil suele ser más difícil. Las apps de correo a menudo ocultan la dirección completa del remitente, y los largos URLs pueden truncarse deliberadamente para dificultar su inspección.
Por eso es más seguro verificar los mensajes desde las aplicaciones oficiales o sitios guardados en favoritos en vez de interactuar con el correo en una pantalla pequeña. Si algo le resulta sospechoso, cambiar de dispositivo o comprobarlo más tarde puede evitar clics accidentales.
Protéjase del phishing
Kaspersky Premium puede ayudar señalando comportamientos sospechosos y protegiendo sus cuentas con el tiempo.
Pruebe Premium gratis¿Qué tipos de correos de phishing son los más comunes?
La mayoría de correos de phishing siguen unos patrones habituales. Conocerlos ayuda a reconocer las estafas rápidamente, incluso cuando los mensajes parecen profesionales.
Phishing de cuentas e inicio de sesión
Estos correos simulan alertas de seguridad o avisos de restablecimiento de contraseña. Alegan que hay un problema con su cuenta y le empujan a hacer clic en un enlace para “arreglarlo”, que conduce a una página de acceso falsa.
Phishing relacionado con pagos, facturas y entregas
Estos mensajes giran en torno al dinero o a paquetes. Pueden incluir facturas falsas o solicitudes de pago. Algunos son avisos de reembolso o actualizaciones de entrega que piden pago o datos personales para resolver un problema que no existe. Pueden emplearse para el robo de identidad o para sustraer dinero directamente.
Phishing dirigido y suplantación
Un tipo de phishing dirigido denominado spear phishing utiliza datos personales para sonar creíble. Las estafas de suplantación de ejecutivos copian el tono de directivos o compañeros para presionar a los destinatarios y conseguir que actúen deprisa, dando así más legitimidad al mensaje.
Ejemplos de correos de phishing
Ver cómo suelen estructurarse estos correos facilita identificar las señales de advertencia. Aunque cambien los textos y la imagen, muchas estafas siguen patrones básicos.
¿Cómo es un correo de phishing?
Estos correos suelen contener:
- El logotipo de una empresa u otro elemento de marca
- Un mensaje breve que explica un problema inventado (incidencia de seguridad, entrega fallida)
- Una llamada a la acción clara, como un botón o enlace
Como hemos dicho, el lenguaje suele ser urgente y directo, diseñado para empujarle a hacer clic o responder deprisa.
Una vez conozca la estructura, será más fácil reconocer los correos de phishing.
Ejemplos reales
Desafortunadamente, circulan muchos ejemplos de estos correos. Muchas campañas de phishing reutilizan nombres de marcas conocidas porque la gente confía en ellas.
- Correos de phishing que imitan DocuSign: Un fraude habitual afirma que ha recibido un documento que necesita revisión urgente. El enlace lleva a una página de acceso falsa diseñada para robar credenciales.
- Correos de phishing de PayPal: Un correo de phishing que suplanta a PayPal suele advertir de actividad sospechosa o un pago no autorizado, empujándole a “asegurar” su cuenta rápidamente.
- Estafas de entrega tipo FedEx: Un fraude de phishing relacionado con FedEx en 2025 afirmaba que un paquete se había retrasado o requería un pago, usando lenguaje de seguimiento para parecer legítimo y llegando desde dominios que son variaciones leves del sitio de FedEx.
- Suplantación de Apple e iCloud: Un correo que imita a Apple puede advertir sobre problemas de almacenamiento o la suspensión de la cuenta para provocar una acción rápida.
- Estafas de renovación: Muy difundidas el año pasado, estos correos afirman que su suscripción a McAfee está a punto de expirar o que se renovará automáticamente, suelen incluir facturas y números de teléfono falsos. También hubo ventanas emergentes con marca McAfee advirtiendo de infecciones. Todo ello generó una sensación de urgencia.
- Intento de phishing que imita a Geek Squad: Geek Squad es el servicio técnico de Best Buy, y los correos de estafadores que se hacen pasar por ellos pueden avisar de métodos de pago que caducan o de acciones necesarias para mantener la cobertura.
- Avisos de seguridad de cuentas Microsoft: Estos correos de phishing alegan actividad de inicio de sesión inusual o un problema de seguridad con una cuenta Microsoft, solicitando que el destinatario “verifique” su identidad o asegure la cuenta mediante un enlace que conduce a una página de acceso falsa.
Los correos de phishing también suelen suplantar bancos, organismos públicos y grandes comercios como Amazon. Se apoyan en la autoridad y la familiaridad para evitar sospechas. Tener criterio sobre qué información es sensible es esencial para mantener los datos a salvo.
¿Qué ocurre si abre un correo de phishing?
Abrir un correo de phishing puede dejarle expuesto a seguimiento y a ser objetivo de futuros ataques, pero no siempre significa que sus cuentas se hayan visto comprometidas de inmediato.
Algunos correos incluyen píxeles de seguimiento que confirman que su dirección está activa, lo que puede derivar en más intentos de phishing. Otros están diseñados para lanzar mensajes o llamadas de seguimiento una vez saben que alguien ha abierto el correo. El riesgo real suele comenzar cuando hace clic en un enlace, descarga un archivo o comparte información.
Qué hacer si abre un correo de phishing
Si solo abrió el correo y no interactuó con él, ciérrelo y evite hacer clic en nada. Marque el mensaje como phishing o spam para que su proveedor de correo pueda bloquear mensajes similares en el futuro.
Si hizo clic en un enlace o realizó alguna acción que busca el estafador, como descargar algo, actúe con rapidez. Cambie las contraseñas de las cuentas afectadas, empezando por el correo electrónico. Ejecute un análisis de seguridad en su dispositivo y vigile actividad inusual.
Contacte con su banco o con el proveedor del servicio si se compartieron datos de pago o si el correo afectaba a cuentas financieras.
Cómo reportar un correo como phishing
Reportar correos de phishing ayuda a protegerle a usted y a los demás, bloqueando fraudes similares antes de que se extiendan. En muchos casos, reportar es mejor que eliminar, porque mejora los filtros y alerta a la empresa suplantada sobre estafas activas que usan su nombre.
Si un correo parece convincente o suplantar un servicio real, reportarlo puede prevenir futuros ataques y reducir la probabilidad de ser atacado de nuevo.
Cómo reportar correos de phishing a servicios principales:
Outlook / Microsoft
¿Cómo reportar un correo de phishing en Outlook? Primero, seleccione el mensaje, elija Informar y después Phishing. También puede reenviarlo a phish@office365.microsoft.com. Esto aplica a cualquier correo de phishing relacionado con Microsoft que reciba.
Amazon
Reenvíe el mensaje a reportascam@amazon.com sin hacer clic en ningún enlace. Amazon investigará y bloqueará estafas similares.
PayPal
Reenvíe los mensajes sospechosos a phishing@paypal.com. Un correo de phishing de PayPal suele alegar problemas con la cuenta o con pagos.
Apple / iCloud
Reenvíe correos de phishing a reportphishing@apple.com o a abuse@icloud.com. También puede adjuntar capturas de pantalla u otras pruebas.
Netflix
Reenvíe cualquier correo de phishing que imite a Netflix a phishing@netflix.com. Las estafas relacionadas con Netflix suelen mencionar fallos de pago o la suspensión de la cuenta.
Reportar lleva segundos y ayuda a impedir que campañas de phishing lleguen a más personas.
¿Cómo protegerse del phishing a largo plazo?
La protección a largo plazo combina un nivel de alerta con hábitos sencillos que reducen el riesgo antes de que un correo de phishing pueda causar daño.
Cuando reciba un correo sospechoso, deténgase y evite hacer clic en enlaces o abrir adjuntos. Verifique los mensajes mediante las apps oficiales o sitios guardados en favoritos en lugar de usar el propio correo. Tome las solicitudes inesperadas como motivo para comprobar su legitimidad. Ser desconfiado puede ser muy útil.
Contraseñas fuertes y únicas y la autenticación multifactor añaden otra capa de protección. Incluso si una contraseña se filtra, MFA puede impedir que los atacantes accedan a sus cuentas. Mantener los dispositivos y el software actualizados también es importante, ya que las actualizaciones cierran brechas de seguridad que las campañas de phishing suelen explotar.
El software de seguridad le ofrece además una capa robusta de protección bloqueando malware y protegiendo su identidad en línea. Funciones como protección de identidad y monitorización en tiempo real de filtraciones de datos aportan tranquilidad adicional.
Artículos relacionados:
- ¿Cómo puede identificar eficazmente las estafas de phishing?
- ¿Cuál es la diferencia entre spam y phishing?
- ¿Qué debe saber sobre los ataques spear phishing?
- ¿Cuáles son las señales clave de los ataques de smishing?
Productos recomendados:
Preguntas frecuentes
¿Pueden hackear mi correo solo por abrir un email?
Normalmente no. Abrir un correo por sí solo no da acceso a los atacantes, pero interactuar con enlaces o archivos sí puede crear riesgo.
¿Qué pasa si abro un correo de phishing pero no hago clic en nada?
Probablemente esté a salvo. Cierre el correo, no interactúe con él y márcelo como phishing para que mensajes similares se bloqueen.
¿Debería simplemente eliminar los correos de phishing?
Elimínelos solo después de reportarlos. Reportar ayuda a proteger a otros y mejora los filtros de correo; eliminarlo sin más no es suficiente.
