Recibir un correo que exige una acción urgente o te invita a confirmar datos nunca es buena señal. Entre mensajes que imitan a tu banco, a proveedores, a la Agencia Tributaria o incluso a compañeros de trabajo, cada vez es más fácil «picar» sin querer. Por eso conviene tener un método claro para revisar con lupa cualquier email o SMS sospechoso y evitar malware o phishing.
En la práctica, más del 31% del correo es spam y cerca del 1,4% incluye enlaces maliciosos, y los ataques por email han crecido en los últimos meses —informes de aumento de ciberestafas hablan de un incremento del 197% interanual y de que casi la mitad de los usuarios han sido objetivo—. Con este panorama, aprendamos a identificar las señales, los trucos más habituales y qué hacer si ya has hecho clic.
¿Qué es el phishing y por qué funciona tan bien?
El phishing es una técnica de engaño para robar información confidencial (credenciales, datos bancarios, números de tarjetas). Los atacantes se hacen pasar por organizaciones de confianza: bancos, plataformas de pago, la Agencia Tributaria, empresas de mensajería o incluso tu propia empresa (remitentes internos suplantados). También existe su versión por SMS, SMiShing, que usa textos cortos con enlaces.
Estos mensajes parecen legítimos porque copian el estilo, el logo y el tono de marcas conocidas. Aun así, casi siempre dejan pistas: URLs que no cuadran, saludos genéricos, urgencia que presiona, adjuntos inesperados o pequeños fallos de diseño.
Señales claras (y sutiles) para detectar un correo o SMS con malware o phishing
Antes de hacer clic, detente y revisa sistemáticamente los siguientes indicios. Si se acumulan varias banderas rojas, trata el mensaje como malicioso.
1) Remitente y dirección: comprueba de dónde viene de verdad
Empieza por el «De»: ¿conoces al remitente? Si no, mira la dirección completa y el dominio. Ojo con nombres que parecen reales pero esconden letras cambiadas o añadidos raros (por ejemplo, dominios con guiones, caracteres extraños o subdominios confusos). Verifica también el Reply-To (dirección de respuesta): a veces es distinto y revela la trampa.
Si algo no te cuadra, investiga el dominio y la empresa fuera del correo. Una búsqueda rápida te dirá si existe de verdad y si ofrece lo que el email afirma. Y pregúntate: «¿Esperaba este correo?» Si la respuesta es no, extrema la precaución.
2) Asunto y tono: vaguedad o urgencia injustificada
Los atacantes suelen usar asuntos genéricos o alarmistas, del tipo «verifica tu cuenta», «aviso urgente», «última oportunidad». Si acabas de interactuar con una marca, el asunto legítimo suele reflejar la acción concreta (pedido, ticket, consulta). Ante dudas, contacta directamente por canales oficiales de la organización, nunca desde el enlace del correo.
3) Ortografía, gramática y estilo: pequeños fallos que delatan
Los correos maliciosos a menudo traen errores ortográficos, frases raras o repetitivas («por favor» por duplicado, giros extraños). Aunque la calidad ha mejorado, especialmente con el uso de IA, sigue siendo habitual detectar saludos genéricos («Estimado usuario») o firmas que no encajan con el remitente real.
4) Logos e imagen corporativa: detalles desproporcionados
Muchos phishers roban el logotipo de la marca, pero lo pegan con mala calidad o deformado. Si el logo se ve borroso, estirado o a baja resolución, mala señal. Compara con correos anteriores auténticos si los tienes.
5) Enlaces que no coinciden: mira antes de clicar
El núcleo del phishing suele ser un enlace. Pasa el cursor por encima para previsualizar la URL sin abrirla: si ves faltas, dominios extraños o direcciones que no coinciden con el sitio oficial, no hagas clic. En ordenador, puedes hacer clic con el botón derecho, copiar el enlace y pegarlo en un editor de texto para inspeccionarlo sin abrir el navegador. En móvil, mantén pulsado el enlace para ver a dónde lleva.
Comprueba siempre el destino del enlace antes de abrirlo. Si no apunta a un dominio legítimo de la marca, no interactúes.
6) Falta de personalización
Muchos ataques masivos no incluyen tu nombre ni datos de contexto. Un «Hola» a secas o un «Estimado cliente» en un correo supuestamente específico suena raro. Cuidado: que lleve tu nombre no garantiza que sea legítimo; esos datos pueden haberse obtenido de Internet.
7) ¿Cuánta información concreta ofrece?
Los mensajes maliciosos suelen ser vagos y poco detallados sobre productos, servicios o personas de contacto. La ambigüedad es un recurso clásico para empujarte a hacer clic por curiosidad o miedo.
8) Adjuntos inesperados y nombres de archivo sospechosos
Desconfía de archivos adjuntos no solicitados, sobre todo si llegan como .zip, .exe, .docm o PDF inusual. ¿El «nombre de la factura» es genérico, sin referencias ni formato habitual? Contrasta con adjuntos legítimos previos del proveedor: no suelen cambiar su nomenclatura de un día para otro.
Incluso internamente: si «Recursos Humanos» te envía un PDF sobre un plan médico que acaba de cambiar hace poco, o «Finanzas» una hoja de cálculo de resultados en un formato que nunca usa, sospecha. Aplica el filtro lógico: ¿tiene sentido que esa persona me envíe ese archivo ahora?
9) Firma y datos de contacto: coherencia ante todo
Comprueba si la firma del correo coincide con el remitente (nombre, cargo, teléfono). Incongruencias básicas son una señal de alerta. Si te genera dudas, verifica por otra vía (teléfono oficial o portal de clientes).
10) Los «falsos legitimadores»
Para parecer reales, muchos atacantes registran dominios que suenan a empresa de seguridad («algo-control.com»), incluyen marcas reales dentro de la URL o marcan el correo como de alta prioridad. Esa capa de «credibilidad» no sustituye a la verificación: examina siempre el dominio completo y el contenido.
11) Firma digital: un plus de confianza
Si el correo está firmado digitalmente (S/MIME) y confías en el emisor, la identidad ha sido validada por un tercero. En clientes como Outlook, verás un distintivo en la interfaz y puedes abrir la información de la firma para consultar el certificado. Aun así, que un correo esté firmado no implica que el contenido sea seguro si la cuenta se ha visto comprometida, pero sí reduce la suplantación directa.
Tipos de correos y SMS de malware o phishing que verás una y otra vez
Conocer los «clásicos» ayuda a reaccionar rápido. Estos son algunos de los cebos más frecuentes y cómo suelen presentarse:
«Hemos suspendido tu cuenta»
Un falso aviso del banco o de una plataforma de pago dice que ha detectado actividad sospechosa y te pide «verificar datos». Si no eres cliente, elimínalo sin más. Si sí lo eres, no uses el enlace del correo: entra a tu cuenta desde la app oficial o llama al número de tu tarjeta.
Abuso de la autenticación de dos factores
Te invitan a «confirmar tu identidad» con un código o a iniciar sesión «por seguridad». Como la 2FA es habitual, muchos caen. Revisa con lupa remitente, enlaces y contexto, sobre todo si no has iniciado ninguna operación.
Devoluciones de impuestos y Agencia Tributaria
En campaña de la renta proliferan correos que prometen ingresos inesperados o devoluciones. Mucho ojo: la Administración no solicita datos sensibles por email y, tradicionalmente, sus comunicaciones clave se realizan por canales oficiales. Nunca facilites números de cuenta o credenciales desde enlaces recibidos por correo.
Confirmaciones de pedidos y «recibos» adjuntos
Te llega una «confirmación de compra» que no recuerdas, con un archivo adjunto o enlace para «ver el recibo». Es un clásico para colarte malware o robar tus credenciales. Si dudas, entra en la tienda desde tu acceso habitual y revisa tus pedidos reales.
Phishing laboral y fraude del CEO
Un supuesto directivo te pide transferir fondos con urgencia o enviar datos. A veces falsifican la dirección o usan dominios parecidos. Verifica por teléfono interno o chat corporativo antes de mover un dedo. Los procesos financieros nunca deberían saltarse los controles por correo.
Solicitudes de donación tras desastres
Después de una catástrofe, llegan peticiones emotivas de ayuda desde organizaciones poco conocidas o recién creadas, con dominios llamativos. Si quieres colaborar, hazlo acudiendo directamente a ONG reconocidas o a sus páginas oficiales, no desde enlaces que llegan de sorpresa.
Suplantación de marcas muy conocidas (p. ej., Correos)
Marcas con gran reconocimiento suelen ser objetivo de suplantación. En España, Correos presta un servicio esencial con casi 4.800 puntos de atención, y su nombre lo explotan los atacantes para enviar SMS o emails falsos sobre «envíos retenidos», «tasas pendientes» o «dirección incompleta». Nunca pagues ni completes datos desde enlaces recibidos por sorpresa; comprueba el estado de tu envío en los canales oficiales.
Técnicas modernas de evasión de malware o phishing y el papel de la IA
Los kits de phishing han mejorado. Algunos emplean JavaScript para detectar máquinas virtuales y, si «huelen» análisis automatizados de ciberseguridad, muestran una página en blanco para no ser cazados. Esto complica la detección en entornos corporativos.
A la vez, herramientas de inteligencia artificial generativa permiten redactar correos con un lenguaje impecable y adaptado al objetivo. Se han popularizado utilidades que fabrican mensajes creíbles, con personalización y tono profesional, elevando la tasa de éxito de los ataques. Traducción: menos faltas, más contexto y más engaño.
Qué pasa si haces clic en un enlace de phishing
Normalmente te llevan a una página de inicio de sesión o formulario que imita a la oficial y te pide credenciales, tarjetas o incluso números de identificación. Si introduces los datos, van directos al atacante. En ocasiones, además, descargan malware desde el navegador.
¿Qué hacer si sospechas de un correo con malware o phishing o si ya has interactuado?
Ante la duda: no hagas clic y no abras adjuntos. Si crees que puede ser legítimo, contacta por los canales oficiales (app, web tecleada por ti o teléfono corporativo). Evita responder al propio correo para «preguntar».
Si has introducido datos o descargado un archivo: pasa un análisis completo de malware en tus dispositivos, haz copia de seguridad y cambia las contraseñas de tus cuentas principales. Aunque solo expusieras una, los atacantes a menudo reutilizan credenciales para intentar acceder a más servicios.
En entornos de empresa, avisa al departamento de TI y reenvía el correo sospechoso por los canales establecidos. Ellos podrán validar si es legítimo, bloquear dominios y advertir al resto del personal.
Acciones inmediatas si te llega a la bandeja de entrada
Elimínalo sin abrirlo si ya huele a fraude. Aunque la mayoría de amenazas requieren abrir el adjunto o pulsar un enlace, algunos clientes de correo pueden ejecutar scripts básicos al abrir el mensaje.
Bloquea manualmente al remitente y/o su dominio si tu cliente lo permite. Es especialmente útil en buzones compartidos para evitar que otra persona caiga.
Refuerza la protección con un buen antivirus que supervise el correo y analice adjuntos automáticamente. Una segunda capa nunca sobra.
Herramientas y comprobaciones técnicas que ayudan a detectar malware o phishing
En servidores y pasarelas de correo, verificaciones como SPF y DKIM reducen la suplantación al validar si un mensaje proviene de servidores autorizados. Investiga su estado en tu dominio y pide a tus proveedores que los apliquen correctamente.
Respecto a firmas digitales, si recibes correos firmados con S/MIME desde tu organización o socios de confianza, revísalos para confirmar que la identidad del firmante coincide. En clientes como Outlook, verás un indicador en la interfaz; al pulsarlo, puedes comprobar el certificado y su validez.
Trucos prácticos para revisar enlaces y adjuntos
Para analizar enlaces, previsualiza la URL pasando el cursor. En ordenador, copia el hipervínculo con el botón derecho y pégalo en un editor de texto para mirarlo con calma; en móvil, mantén pulsado para ver el destino. Si la dirección no es exactamente el dominio oficial, no lo abras.
Con adjuntos, verifica si esperabas realmente el archivo, si el nombre encaja con tu proyecto y si el formato es el que esa empresa suele usar. Si no estabas esperando nada, confirma con el supuesto remitente por un canal independiente.
Buenas prácticas que siempre funcionan para detectar malware o phishing en correos
En caso de duda, contacta tú directamente con la organización por sus vías oficiales en lugar de pinchar en los enlaces del correo sospechoso.
Revisa el correo en busca de señales de fraude: faltas, logos de mala calidad, URLs que no coinciden, urgencias forzadas, adjuntos inesperados o firmas incoherentes.
Si pulsaste por error, cierra la página sin introducir ningún dato, limpia el navegador (historial/descargas) y ejecuta un análisis antimalware.
Si notas una campaña activa, comunícalo a TI (en empresas) o a tu proveedor de correo. Y recuerda: hay recursos de referencia, como guías e infografías de organismos de confianza (p. ej., materiales descargables de INCIBE o infografías de IFLA) que resumen estas señales para compartir en tu equipo o comunidad.
Aunque los filtros antispam ayudan mucho, es normal que correos peligrosos se cuelen en la bandeja de entrada. Algunos serán obvios; otros parecerán venir de gente conocida e intentarán que actúes con urgencia, pulses en enlaces o entregues contraseñas.
Fuente: materiales divulgativos de IFLA
Con todo lo anterior, cada correo sospechoso se analiza en segundos: remitente, asunto, tono, enlaces, adjuntos y firma. Si algo falla, no interactúes, verifica por vías oficiales o reporta. Estar atento a los tipos de fraude más comunes (cuentas suspendidas, devoluciones imposibles, pedidos inventados, donaciones tras emergencias, suplantación de marcas como Correos o de directivos) reduce muchísimo el riesgo.
Y si alguna vez caes, actuar rápido —analizar el equipo, cambiar contraseñas y avisar— corta la cadena y limita el daño. Comparte esta información y ayuda a otros a usuarios a prevenir correos electrónicos con malware o phishing.