Laptop mostrando un correo sospechoso de phishing junto a una planta

10 señales para detectar correos de phishing y cómo protegerte

por

Los correos de phishing imitan a empresas reales (banco, PayPal, Netflix, gobierno) para que des clic en un enlace falso y entregues tus datos sin darte cuenta. Te mostramos las 10 señales más claras para detectar un phishing en segundos y qué hacer si ya caíste.

Atajo rápido: 5 verificaciones en 30 segundos

  1. Mira el dominio del remitente (parte después del @). ¿Coincide exactamente con el dominio oficial?
  2. Pasa el cursor por encima de los enlaces (sin hacer clic) y revisa la URL real que aparece abajo a la izquierda del navegador o cliente de correo.
  3. Comprueba si hay urgencia o amenaza («tu cuenta será bloqueada en 24 h»).
  4. Verifica que no haya errores de ortografía, tildes raras, espacios extra o caracteres latinos sustituidos.
  5. Nunca descargues adjuntos inesperados con extensión .exe, .zip, .js o .docm.

Si una sola de estas alarmas se activa, trata el correo como sospechoso hasta confirmarlo por otro canal (la app oficial, el sitio web tecleado a mano o un teléfono conocido).

¿Qué es el phishing y por qué es tan eficaz?

El phishing es una técnica de ingeniería social en la que un atacante se hace pasar por una empresa o persona de confianza para robarte contraseñas, datos de tarjetas o información personal. Funciona porque explota dos cosas: la prisa con la que abrimos correos en el celular y la confianza visual en logos, colores y plantillas que cualquiera puede copiar.

La mayoría de los ataques de phishing llegan por correo electrónico, pero también verás variantes por SMS (smishing), WhatsApp, llamadas (vishing) y mensajes directos en redes sociales.

10 señales para detectar un correo de phishing

1. El dominio del remitente no coincide con el oficial

Mira siempre la parte que va después del símbolo @. Un correo legítimo de PayPal llega de @paypal.com, no de @paypal-mx-security.com o @paypaI.com (esa «I» mayúscula imitando una L minúscula). Los atacantes registran dominios casi idénticos al original.

2. Saludo genérico tipo «Estimado cliente»

Las empresas con las que tienes cuenta (banco, Amazon, Netflix) suelen llamarte por tu nombre o por las últimas cifras de tu cuenta. Un «Estimado usuario» o «Hola querido cliente» en un correo que pide acción urgente es bandera roja.

3. Crean urgencia o miedo

Frases como «tu cuenta será cerrada en 24 horas», «hemos detectado un acceso no autorizado», «actúa ahora o perderás tu suscripción» buscan que decidas con prisa y sin pensar. La urgencia es el motor del phishing.

4. Errores de ortografía y gramática

Tildes mal puestas, dobles espacios, mezcla de tú y usted, traducciones literales del inglés («nosotros somos enviando este email») o caracteres latinos extraños son señal de plantilla traducida automáticamente. Las empresas grandes revisan sus comunicaciones.

5. La URL del enlace no coincide con el texto

Pasa el cursor por encima del botón «Verificar mi cuenta» sin hacer clic. En la esquina inferior izquierda del navegador o cliente de correo verás la URL real. Si el texto dice paypal.com pero la URL real es bit.ly/xyz o un dominio raro, es phishing.

6. Adjuntos inesperados

Un mensajero, banco o servicio jamás te enviará facturas o avisos como .exe, .zip, .js, .vbs o .docm. Si recibes un adjunto que no esperas, no lo abras. Los archivos .pdf también pueden contener enlaces maliciosos: ábrelos solo si confías en el remitente.

7. Te piden contraseñas, códigos de verificación o números de tarjeta

Ninguna empresa legítima te pedirá tu contraseña por correo, ni el código SMS de la verificación en dos pasos, ni los tres dígitos del CVV. Si el correo te pide alguno de esos datos, es phishing por definición.

8. Logos pixelados o desfasados

Los atacantes copian logos de Google, capturas de baja resolución. Si la imagen del banco se ve borrosa, descentrada o tiene colores ligeramente distintos al sitio oficial, sospecha. Compara abriendo la web oficial en otra pestaña.

9. Te ofrecen premios, devoluciones o herencias

«Has ganado un iPhone», «tienes un reembolso pendiente del SAT», «una herencia te espera en Nigeria». Si suena demasiado bueno para ser verdad, no lo es. Estos correos solo buscan que ingreses datos en una web falsa para cobrar.

10. El correo no aparece en la app oficial

Si recibes un aviso de tu banco, tu PayPal o tu Netflix, abre la app oficial o la web tecleando la dirección a mano. Si el aviso es real, aparecerá ahí también. Si no aparece en ningún lado oficial, era phishing.

Qué hacer si crees que caíste en un phishing

  1. Cambia inmediatamente la contraseña de la cuenta afectada y de cualquier otra cuenta donde uses la misma.
  2. Activa la verificación en dos pasos en esa cuenta y en tu correo principal.
  3. Revisa los movimientos de banco/PayPal/tarjeta en los últimos 30 días.
  4. Reporta el correo como phishing en tu cliente de correo (Gmail tiene «Denunciar suplantación de identidad») y reenvíalo a [email protected] de la empresa suplantada.
  5. Avisa al banco o servicio por su canal oficial si entregaste datos financieros.
  6. Escanea tu equipo con un antivirus actualizado.

Cómo prevenir el phishing en el día a día

  • Activa la verificación en dos pasos en todas tus cuentas importantes (Google, Apple, banco, redes sociales).
  • Usa un gestor de contraseñas (Bitwarden, 1Password, el de Apple o Google) para no reutilizar la misma clave.
  • Mantén el sistema operativo y el navegador actualizados.
  • Marca como spam los correos sospechosos en lugar de borrarlos, así entrenas el filtro.
  • Configura una alerta de SMS o app en tu banco para cada movimiento.
  • Nunca entregues códigos de verificación por teléfono o chat: nadie legítimo te los pedirá.

Preguntas frecuentes sobre phishing

¿Cómo sé si un correo de PayPal es real?

El dominio oficial es @paypal.com o @e.paypal.com. Cualquier variante (@paypaI.com con I mayúscula, @paypal-security.net, @paypal.mx-support.com) es falsa. Si dudas, no toques el correo: abre la app de PayPal y revisa ahí si hay alguna alerta o mensaje real.

¿Qué pasa si abrí un enlace de phishing pero no escribí nada?

Si solo abriste el enlace y no introdujiste datos, en la mayoría de los casos no pasa nada grave. Cierra la pestaña, borra la caché del navegador y, si la página intentó descargar un archivo, ejecuta un antivirus. Cambia la contraseña por si acaso.

¿Es seguro usar Gmail para protegerse del phishing?

Gmail tiene un filtro antiphishing potente y marca con un aviso los correos sospechosos, pero no es infalible. Siempre debes verificar tú mismo el dominio del remitente y los enlaces antes de hacer clic, aunque el correo haya pasado el filtro.

¿Los SMS sospechosos también son phishing?

Sí, se llama smishing y funciona igual: te llega un SMS de una supuesta paquetería, banco o servicio con un enlace. Aplica los mismos criterios: revisa el remitente, no hagas clic en enlaces acortados y nunca entregues contraseñas o códigos.

Te puede interesar también: