Lo esencial para detectar un correo sospechoso sin perder tiempo
- El nombre visible no basta: hay que mirar el dominio real, el remitente de respuesta y si el mensaje pide una acción urgente.
- Los enlaces cuentan más que el diseño: un logo correcto no compensa una URL rara, acortada o que lleva a un dominio distinto.
- La autenticación ayuda mucho: si Gmail u Outlook no pueden verificar el mensaje, conviene tratarlo con cautela.
- Spam y phishing no son lo mismo: la publicidad no deseada puede ser lícita; la estafa intenta suplantar o extraer datos.
- Si dudas, no respondas: verifica por un canal oficial y reporta el correo antes de abrir adjuntos o iniciar sesión.
Qué te dice el remitente antes de abrir el mensaje
Yo empiezo siempre por el campo De, porque ahí se esconden muchas suplantaciones. El nombre puede decir “Banco”, “Correos” o “Soporte”, pero lo que importa es el dominio real que va detrás de la dirección, no el texto bonito que aparece en pantalla. Un atacante puede copiar el nombre visible con facilidad; lo que le cuesta más es reproducir un dominio legítimo sin dejar pistas.
También miro si hay typosquatting, es decir, dominios casi idénticos al original pero con una letra cambiada, un guion de más o una extensión distinta. Ese detalle parece pequeño, pero suele ser suficiente para engañar a quien va con prisa. Si el correo afirma venir de una empresa seria y, aun así, llega desde una dirección gratuita o extraña, ya tengo una alerta seria.
| Señal | Qué reviso | Lectura práctica |
|---|---|---|
| Nombre correcto, dominio raro | El remitente muestra una marca conocida, pero la dirección no coincide | Posible suplantación aunque el diseño parezca profesional |
| Dominio casi igual | Cambios mínimos como una letra, un guion o una extensión distinta | Patrón clásico de fraude; conviene tratarlo como sospechoso |
| Remitente de respuesta distinto | El “Responder a” lleva a otro buzón no relacionado | Señal frecuente de desvío o de una campaña mal montada |
| Empresa con correo gratuito | La marca dice una cosa, pero el mensaje sale desde un dominio genérico | Si es una entidad formal, esto debería hacerte desconfiar |
Con esas pistas ya separo lo que parece legítimo de lo que huele a suplantación; el siguiente filtro es el propio contenido del mensaje.
Las pistas del mensaje que delatan un phishing aunque parezca serio
Muchos ataques funcionan porque imitan bien la apariencia del correo. Por eso yo no me quedo en el logo, la firma o el formato visual: me fijo en lo que el mensaje me empuja a hacer. Si me pide actuar ahora, verificar una cuenta, pagar una supuesta deuda o evitar un bloqueo inminente, ya está usando uno de los trucos más eficaces del phishing: la urgencia.
- Petición de datos sensibles: contraseñas, códigos SMS, números de tarjeta, DNI o datos bancarios no deberían pedirse por correo.
- Enlaces que no encajan: el texto dice una cosa, pero al pasar el cursor aparece otro dominio o una URL acortada.
- Adjuntos inesperados: archivos comprimidos, documentos que piden activar macros o ficheros que no esperabas recibir.
- Lenguaje genérico: saludos impersonales, mensajes que no usan tu nombre o referencias vagas a “tu cuenta”.
- Presión emocional: amenazas de cierre, pérdida de acceso o cargos automáticos si no respondes de inmediato.
Mi regla aquí es simple: un mensaje muy bien maquetado no deja de ser sospechoso si te pide algo raro. También al revés: una falta de ortografía no demuestra fraude por sí sola, porque hoy muchas campañas están muy pulidas. Lo que de verdad pesa es la combinación de urgencia, identidad dudosa y solicitud de acción sensible. Cuando eso aparece junto, el siguiente paso es revisar la parte técnica del correo.
La comprobación técnica que más confianza da
Cuando el mensaje todavía deja dudas, yo paso del contenido a la autenticación. Esa es la capa que muchas personas no miran, pero suele ofrecer una respuesta más fiable que el diseño del correo. Si el cliente de correo puede indicar si la identidad del remitente está verificada, esa pista vale oro; si no puede, conviene rebajar la confianza de inmediato.
Qué significan SPF, DKIM y DMARC
SPF comprueba qué servidores tienen permiso para enviar correos en nombre de un dominio. DKIM añade una firma digital para demostrar que el mensaje no ha sido alterado durante el envío. DMARC define qué debe hacer el receptor cuando SPF o DKIM fallan, y ayuda a frenar suplantaciones y abuso de dominio.
Qué verás en Gmail y Outlook
En Gmail, un mensaje no autenticado puede mostrar un signo de interrogación junto al remitente; eso no significa automáticamente que sea spam, pero sí que hay que ir con cuidado antes de responder o abrir adjuntos. Outlook, por su parte, señala remitentes no verificados y marca muchos mensajes maliciosos como correo no deseado o sospechoso. En ambos casos, la clave es la misma: si el correo no pasa la prueba básica de identidad, no merece confianza automática.
Lee también: Mensaje falso - Cómo detectarlo y blindar tus cuentas
Dónde está el límite de esta prueba
La autenticación no sustituye al juicio humano. Un correo legítimo puede fallar por reenvíos, listas de distribución o configuraciones de envío mal hechas, y un atacante que compromete una cuenta real puede superar comprobaciones básicas. Yo uso esta señal como apoyo, no como permiso para relajarme. Si además el contenido pide dinero, credenciales o un cambio urgente, el riesgo sube enseguida.
Con la parte técnica clara, toca ver qué hacer dentro del propio cliente de correo para cortar el problema sin convertir un correo dudoso en un incidente mayor.
Qué hacer en Gmail, Outlook y otros clientes cuando dudas
Si el mensaje te parece raro, la reacción correcta es sencilla: no responder, no clicar y usar las funciones de reporte. En Gmail puedes marcarlo como spam o phishing; en Outlook, como correo no deseado o phishing, y además bloquear al remitente o al dominio si el bombardeo se repite. Eso no solo protege tu bandeja: también ayuda al filtro a aprender.
| Situación | Qué haría yo | Resultado esperado |
|---|---|---|
| El correo parece falso | Lo reporto como phishing | Ayudo a frenar la campaña y evito volver a verlo |
| Recibo el mismo mensaje repetidamente | Blooqueo el remitente o el dominio | Reduzco el ruido y corto una fuente persistente |
| El remitente sí es de confianza, pero cayó en la carpeta equivocada | Lo marco como no spam o no correo no deseado | El filtro aprende y deja de tratarlo como sospechoso |
| Es una newsletter comercial real | Busco la opción de baja o cancelo la suscripción | Dejo de recibir publicidad sin mezclarla con un fraude |
Si el remitente es conocido pero el contenido te pide una acción extraña, yo confirmaría el mensaje por otra vía: entrar manualmente en la web oficial, llamar a un número verificado o preguntar por un canal interno. Ese pequeño desvío evita muchos engaños. Y, cuando el mensaje es publicidad real pero no deseada, conviene separar la molestia del fraude, porque no se gestionan igual.
Publicidad legítima, correo no deseado y estafa real no son lo mismo
En España conviene separar bien estos tres casos. La AEPD recuerda que parte de la publicidad electrónica puede ser lícita si existe una relación contractual previa, los datos se obtuvieron legalmente y se promocionan productos o servicios similares; otra cosa es que el mensaje sea insistente, que no respete la baja o que esconda una suplantación.
- Publicidad legítima: identifica claramente a la empresa, incluye opción de baja y no pide credenciales.
- Spam molesto: no lo pediste, pero puede tratarse de marketing masivo; se gestiona con bloqueo, baja o listas de exclusión.
- Phishing: suplanta marcas, busca robar datos o dinero y suele apoyarse en la urgencia.
Si ya hiciste clic, todavía puedes limitar el daño
Si abriste un enlace o descargaste un archivo, no te quedes solo en borrar el mensaje. Yo haría esto en este orden: cambiar la contraseña desde la web oficial, activar o revisar la verificación en dos pasos, cerrar sesiones abiertas en dispositivos desconocidos y comprobar si se han creado reglas nuevas de reenvío o filtros extraños en tu buzón.- Si diste la contraseña, cámbiala también en los servicios donde la reutilizaste.
- Si introdujiste datos bancarios, llama a tu banco y bloquea la tarjeta o el medio de pago afectado.
- Si instalaste algo o abriste un adjunto raro, pasa un análisis completo del equipo y actualiza sistema y navegador.
- Si era una cuenta corporativa, avisa a soporte o a tu equipo de seguridad cuanto antes.
En España, si necesitas orientación rápida, el 017 de INCIBE es un buen punto de apoyo para incidentes de ciberseguridad. Cuanto antes cortes el acceso al atacante, menos probabilidades hay de que convierta un clic aislado en un problema mayor.
La comprobación de 30 segundos que yo repito antes de confiar en un correo
Mi regla es simple: miro el dominio real, comparo el nombre visible con la dirección, reviso si el mensaje me empuja a actuar con urgencia y confirmo el enlace antes de tocarlo. Si algo no encaja, no discuto con el correo: lo verifico por una vía oficial y lo trato como sospechoso hasta que se demuestre lo contrario.
- ¿El remitente coincide? Si no, ya tengo una primera alerta.
- ¿Pide datos o dinero? Esa petición eleva mucho el riesgo.
- ¿El enlace lleva al sitio esperado? Si no lo veo claro, no hago clic.
- ¿Puedo confirmar el mensaje por otro canal? Una llamada o acceso manual al portal oficial suelen resolver la duda sin arriesgar nada.
Cuando conviertes esta revisión breve en hábito, dejar de confundir spam, publicidad legítima y phishing deja de ser una cuestión de suerte y pasa a ser un proceso bastante fiable.
