Un correo falso rara vez se delata por una sola pista; casi siempre combina prisa, suplantación y una petición diseñada para que actúes sin pensar. La forma más útil de aprender cómo saber si un correo es falso es revisar remitente, dominio, enlaces, adjuntos y el tipo de presión que ejerce el mensaje. En esta guía voy a separar las señales que realmente importan, los errores más comunes y qué hacer antes de responder, abrir un archivo o entregar tus datos.
Las pistas que más reducen el riesgo al revisar un correo sospechoso
- El nombre visible del remitente no basta: el dominio real manda.
- La urgencia, las amenazas y las ofertas demasiado buenas suelen ser la palanca del fraude.
- Los enlaces y adjuntos son el punto donde más se rompe la estafa.
- Un mensaje bien escrito no es garantía de legitimidad; hoy muchos phishing están muy pulidos.
- Si el correo pide credenciales, códigos o pagos, conviene comprobarlo por otro canal.
- Si ya has hecho clic o has respondido, actuar rápido marca la diferencia.
La primera lectura casi siempre da pistas
Yo empiezo por lo más simple: leo el mensaje entero sin tocar nada. Si insiste en que tu cuenta se va a bloquear, que hay una factura pendiente, que una entrega está retenida o que debes validar algo “ahora mismo”, ya tengo una alerta activa. El fraude funciona porque te empuja a reaccionar antes de comprobar.
También miro qué pide exactamente. Un correo legítimo puede informarte de un cambio, pero un correo sospechoso suele pedir una de estas tres cosas: que inicies sesión, que compartas un código de un solo uso o que hagas un pago fuera del canal habitual. Si además mete miedo, prisa o una recompensa inesperada, yo lo trato como sospechoso hasta demostrar lo contrario. Con esa primera lectura hecha, el siguiente filtro más útil es mirar quién firma el mensaje de verdad.
Revisa quién dice que envía el mensaje
El nombre visible del remitente puede engañar con facilidad; el dominio real es el dato que importa. Un correo puede mostrar “Banco X”, “Correos” o “Agencia Tributaria” y, sin embargo, salir de una dirección que no tiene nada que ver con esa entidad. Como recuerda INCIBE, en España las administraciones públicas suelen usar dominios que terminan en .gob.es; cualquier variante rara merece sospecha inmediata.
Yo me fijo en tres capas: el nombre visible, la dirección completa y el campo de respuesta. A veces el “From” parece correcto, pero el “Reply-To” apunta a otra cuenta, y eso ya me cambia por completo la lectura.
| Señal | Qué revisar | Qué suele significar |
|---|---|---|
| Nombre conocido | La dirección real que aparece junto al nombre | El remitente visible puede estar suplantado |
| Dominio parecido | Variantes como letras cambiadas, guiones extra o dominios genéricos | Posible spoofing o suplantación |
| Respuesta desviada | Si al contestar sale otra dirección distinta | El atacante quiere que le escribas a una cuenta que controla |
| Correo de la administración | Si termina en .gob.es u otro dominio oficial esperado | Si no coincide, yo lo considero una alerta fuerte |
SPF, DKIM y DMARC son mecanismos de autenticación del correo que ayudan a comprobar si un dominio autoriza el envío, si el mensaje fue firmado correctamente y qué hacer si algo no cuadra. No son infalibles, porque un correo legítimo también puede fallar en algunos casos, pero cuando faltan o no encajan, yo bajo la confianza bastante. Si el remitente ya me genera dudas, el siguiente paso es mirar el lenguaje y el contexto, porque ahí muchos fraudes se hunden solos.
El lenguaje, el contexto y la prisa suelen delatarlo
Durante años, el consejo fácil fue “busca faltas de ortografía”. Eso ya no basta. Hoy muchos correos fraudulentos están bien escritos, usan logotipos reales y copian el tono de una empresa o una administración con bastante precisión. Aun así, casi siempre dejan huellas: un tono demasiado dramático, una petición fuera de lugar o una redacción que no encaja con la forma habitual de comunicarse de esa entidad.
Yo suelo sospechar cuando veo alguno de estos patrones:
- Saludos genéricos como “estimado cliente” o “usuario” cuando se supone que la empresa te conoce.
- Mensajes que mezclan formalidad con errores de contexto, como si hubieran sido traducidos o automatizados.
- Urgencia artificial: “último aviso”, “tu acceso expira hoy”, “evita sanciones inmediatas”.
- Presión emocional: miedo, vergüenza, premio inesperado o amenaza de bloqueo.
- Detalles que no cuadran con tu situación real, por ejemplo una “factura” de un servicio que no usas.
En campañas recientes se nota mucho el phishing asistido por IA: menos erratas, más personalización y una apariencia más limpia. Precisamente por eso ya no me fio de la ortografía como filtro principal; me fio más de la coherencia entre quién dice escribirte y lo que realmente te pide. Y cuando ese mensaje trae un botón o un archivo, el riesgo sube todavía más.
Los enlaces y adjuntos son la parte más peligrosa
Si un correo es falso, muchas veces no necesita convencerte mucho: solo necesita que pulses una vez. El truco más común sigue siendo el mismo, aunque el envoltorio cambie. Un botón con aspecto oficial puede llevarte a una página clonada, y un archivo adjunto puede descargar malware, abrir un formulario falso o robar credenciales.
Yo hago una comprobación simple antes de tocar nada: paso el cursor por encima del enlace, miro la URL real y me pregunto si ese destino tiene sentido con el remitente. En móvil, donde esa vista previa no siempre ayuda, prefiero abrir la web por mi cuenta desde el navegador o la aplicación oficial, nunca desde el enlace del correo.
| Elemento | Riesgo habitual | Qué hago yo |
|---|---|---|
| Enlace acortado | Oculta el destino real | Lo trato con desconfianza si no espero ese formato |
| Botón de acceso | Lleva a una web clonada | Entro manualmente por la web o app oficial |
| Archivo .zip, .html, .iso o .docm | Puede contener malware o una falsa pantalla de inicio de sesión | No lo abro si no lo esperaba y no lo he verificado por otro canal |
| Código QR en el correo | Es un enlace disfrazado | Lo considero tan sensible como una URL |
Los adjuntos merecen una regla sencilla: si el mensaje intenta que descargues algo para “ver la factura”, “validar el envío” o “actualizar tu cuenta”, yo paro ahí. Si de verdad necesitara una acción urgente, la empresa debería poder confirmártela por otro canal. Eso nos lleva al siguiente paso: contrastar la petición fuera del propio correo.
Antes de responder, contrasta la petición por otro canal
La mayoría de estafas por email funcionan porque te obligan a validar algo dentro del mismo hilo donde te atacan. Yo prefiero romper ese círculo: si el mensaje dice venir de mi banco, entro desde la aplicación oficial; si habla de un envío, abro la web del transportista escribiendo la dirección yo mismo; si parece una factura, compruebo el pedido o el proveedor por una vía independiente.
Hay una regla que me ahorra muchos problemas: nunca uso los datos de contacto que aparecen en el propio correo sospechoso. Si necesito llamar, uso un número que ya conocía antes, la web oficial guardada en favoritos o la app del servicio. Y si me piden un código de verificación, una contraseña o un pago “para desbloquear”, doy por hecho que estoy delante de un intento de fraude hasta que la fuente oficial diga lo contrario.- Si es un banco, comprueba la alerta dentro de la app o entra tú mismo en su web.
- Si es una administración pública, verifica el trámite desde el portal oficial, no desde el enlace del correo.
- Si es una empresa de mensajería, revisa el número de envío en su web o aplicación.
- Si te piden un código de un solo uso, no lo compartas: ese código existe para proteger tu acceso, no para “verificarte”.
Cuando hago esa comprobación externa, se descubre enseguida si el mensaje tenía sentido o solo quería empujarme a entregar datos. Y si ya has dado un paso en falso, todavía hay margen para minimizar el daño.
La rutina que sigo cuando el correo ya ha pasado el primer filtro
Cuando un correo me sigue pareciendo dudoso después de revisar remitente, tono y enlaces, no intento adivinar. Aplico una rutina corta y bastante mecánica, porque en este punto la velocidad importa más que la duda infinita. Si el mensaje era falso, cada minuto sin reaccionar puede darle más margen al atacante.
| Situación | Qué hago de inmediato | Por qué importa |
|---|---|---|
| Solo abriste el correo | Ciérralo, no respondas y márcalo como phishing si tu cliente lo permite | Evitas normalizar el mensaje y ayudas a filtrar futuros intentos |
| Has pulsado un enlace | Comprueba qué web se abrió, cierra la página si no coincide y revisa si introdujiste datos | Reduce el riesgo de que el ataque continúe sin que te des cuenta |
| Has escrito una contraseña | Cámbiala de inmediato, cierra sesiones activas y activa o refuerza la doble autenticación | La cuenta puede quedar comprometida en minutos |
| Has descargado o ejecutado un archivo | Desconecta el equipo de la red si es posible y pásalo por un análisis de seguridad | Evitas que el malware se propague o robe más información |
Si el correo afecta a una cuenta de trabajo, yo avisaría también al equipo de soporte o seguridad para que bloqueen dominios, revisen accesos y alerten a otros usuarios si hace falta. En la práctica, la mejor defensa es una costumbre sencilla: no decidir dentro del correo, sino fuera de él. Si un mensaje es legítimo, seguirá esperando cuando entres por el canal oficial; si no lo es, habrás evitado el error que más caro sale.
