Correo. Inteligente. Eficaz.
Correo electrónico rápido y multiplataforma diseñado para filtrar el ruido.
Definición
💡 Correo electrónico de phishing: Un mensaje fraudulento diseñado para engañarte y hacer que reveles información confidencial, como contraseñas, números de tarjeta de crédito o credenciales de cuenta. Los estafadores se hacen pasar por bancos, empresas o personas que conoces para que el correo parezca legítimo.
Cómo funciona el phishing
Alguien te envía un correo electrónico que parece venir de tu banco. Asunto: "Urgente: actividad sospechosa en tu cuenta." El correo incluye el logotipo de tu banco, usa sus colores y te dice que hagas clic en un enlace para verificar tu identidad de inmediato. Haces clic, llegas a lo que parece exactamente la página de inicio de sesión de tu banco, introduces tu nombre de usuario y contraseña, y listo. Acabas de entregar tus credenciales a un estafador.
Eso es phishing. El correo en realidad no es de tu banco. La página de inicio de sesión es falsa. El estafador ahora tiene tu contraseña y puede vaciar tu cuenta.
Estos ataques funcionan porque explotan la urgencia y la confianza. "Tu cuenta será suspendida en 24 horas." "Detectamos actividad inusual." "Confirma tu identidad ahora o perderás el acceso." Te presionan para que actúes rápido, sin pensar. Y cada vez son más sofisticados. Los correos de phishing modernos suelen tener una gramática perfecta, direcciones de remitente que parecen legítimas y una imagen de marca convincente. La época de las estafas evidentes del "príncipe nigeriano" prácticamente ya pasó.
Cómo identificar un correo electrónico de phishing
El lenguaje urgente o amenazante es la primera señal de alerta. Las empresas legítimas no amenazan con cerrar tu cuenta si no respondes en cuestión de horas. Los estafadores crean una urgencia artificial para saltarse tu escepticismo.
Mira con atención la dirección del remitente. "support@amaz0n.com" (con un cero) no es Amazon. "accounts@paypa1.com" (con el número uno) no es PayPal. Pasa el cursor sobre el nombre del remitente para ver la dirección de correo real. Mejor aún, revisa la información de los encabezados del correo.
Saludos genéricos como "Estimado cliente" o "Estimado usuario" en lugar de tu nombre real sugieren phishing masivo. Aunque algunos ataques sofisticados sí usan tu nombre real, así que esto por sí solo no es definitivo.
Presta atención a los archivos adjuntos o enlaces inesperados. Tu banco no va a enviarte una factura en un archivo ZIP. Probablemente tu compañero de trabajo no te envió un PDF aleatorio si no lo esperabas. Si tienes dudas, contacta al supuesto remitente por otro canal antes de abrir nada.
Ninguna empresa legítima te enviará jamás un correo pidiéndote tu contraseña, número de Seguro Social, datos de tu tarjeta de crédito o códigos de autenticación de dos factores. Nunca. Si un correo te pide estas cosas, es falso.
La mala gramática o el mal formato ahora son señales menos fiables, pero muchos correos de phishing todavía tienen frases raras o traducciones torpes. Las empresas profesionales revisan sus correos antes de enviarlos.
Pasa el cursor sobre los enlaces antes de hacer clic (no hagas clic, solo pasa el cursor). Si la URL mostrada no coincide con el lugar al que el enlace dice dirigir, es phishing. Un enlace que dice "mybank.com" pero en realidad apunta a "mybank-verify-login-2024.ru" es obviamente falso.
Tipos de ataques de phishing
Algunos ataques de phishing son dirigidos; otros son masivos y al azar.
El spear phishing apunta a personas concretas con información personalizada. Los estafadores te investigan en LinkedIn, encuentran a tus compañeros de trabajo, quizá notan que acabas de empezar en un nuevo empleo. Luego elaboran mensajes que resultan inquietantemente precisos. Mucho más convincentes que los envíos genéricos.
Luego está el whaling. Ahí es cuando van tras los directivos. Alguien suplanta al director general y envía un correo al departamento financiero solicitando una transferencia urgente. Estos ataques cuestan millones a las empresas porque los directivos tienen acceso a grandes sumas de dinero.
El clone phishing es más sigiloso. Toman un correo legítimo que recibiste antes (quizá un recibo o una notificación), lo copian, sustituyen los enlaces por otros maliciosos y lo reenvían. Lo reconoces porque recibiste la versión real la semana pasada, así que confías en él sin pensarlo dos veces.
¿Vishing y smishing? No son correos electrónicos, pero están relacionados. El vishing son llamadas telefónicas; el smishing, mensajes de texto. Las mismas tácticas de estafa, distintos canales.
Estafas de phishing recientes de 2026
Estafa de phishing con Microsoft Power BI
Esta fue bastante ingeniosa. Los estafadores usaron la función real de notificaciones de Microsoft Power BI para enviar correos de phishing desde direcciones reales de Microsoft. Recibías un mensaje que afirmaba que se habían cargado entre 400 y 700 dólares a tu cuenta de PayPal, con un número de teléfono al que llamar para "impugnarlo".
Aquí es donde se puso feo: cuando llamabas, la persona al otro lado afirmaba ser de Microsoft. Te guiaban para instalar software de acceso remoto para "solucionar el problema". Eso les daba control total sobre tu ordenador. PCWorld documentó el ataque completo a principios de 2026.
Los correos parecían legítimos porque lo eran, solo que estaban siendo utilizados de forma maliciosa. Eso fue lo que hizo que este ataque funcionara.
Operación Tycoon 2FA
Tycoon 2FA era básicamente phishing como servicio. Pagabas una suscripción y obtenías acceso a una plataforma capaz de enviar correos de phishing convincentes que eludían la autenticación de dos factores. En su punto álgido, llegó a atacar a más de 500.000 organizaciones al mes con decenas de millones de mensajes.
Los sectores de salud y educación fueron los más golpeados. Más de 100 miembros de Health-ISAC fueron víctimas de phishing, lo que causó problemas operativos reales (atención a pacientes retrasada en hospitales de Nueva York, escuelas interrumpidas). Microsoft rastreó a 96.000 víctimas distintas en todo el mundo antes de que las fuerzas del orden lo desmantelaran en marzo de 2026.
A mediados de 2025, Tycoon era responsable del 62% de todos los intentos de phishing que Microsoft bloqueaba. Solo en un mes, detuvieron más de 30 millones de correos de esta única plataforma. Así es como funciona ahora el phishing a escala industrial.
Ataques de ClickFix y CAPTCHA falsos
¿Conoces esas comprobaciones CAPTCHA de "No soy un robot"? Los atacantes descubrieron cómo falsificarlas. Llegabas a lo que parecía una página de verificación legítima, pero en lugar de hacer clic en casillas, te engañaban para copiar y ejecutar comandos maliciosos de PowerShell en tu ordenador.
The Hacker News informó de que aproximadamente 147.500 sistemas se infectaron entre finales de agosto de 2025 y principios de 2026. Campañas recientes apuntaron a creadores de redes sociales afirmando que podían optar a insignias verificadas. Las víctimas veían vídeos instructivos que les mostraban cómo copiar "tokens de autenticación" de las cookies de su navegador, lo que en realidad instalaba software de monitoreo remoto.
En 2025, el 30% de estos ataques usó avisos de verificación falsos para instalar herramientas de acceso remoto. ¿La tasa de éxito? Lo bastante alta como para que los atacantes siguieran usando el mismo método.
¿Por qué funciona esto? Porque las personas están acostumbradas a completar CAPTCHAs sin pensar. Ves "verifica que eres humano" y sigues adelante. Ese instinto es precisamente lo que lo hace peligroso.
Qué hacer si recibes un correo electrónico de phishing
No hagas clic en nada. No abras archivos adjuntos. No sigas enlaces. No respondas. Simplemente elimínalo.
Repórtalo: La mayoría de los clientes de correo tienen un botón de "Reportar phishing". Gmail, Outlook y otros proveedores usan estos reportes para mejorar sus filtros de spam y proteger a otros usuarios.
Verifica de forma independiente: Si el correo afirma ser de tu banco, cierra el correo e inicia sesión en tu banco directamente desde su sitio web o aplicación. No uses los enlaces del correo sospechoso. Si todo está bien en tu cuenta real, el correo era falso.
Compruébalo con el remitente: Si el correo de phishing afirma ser de alguien que conoces, contacta con esa persona por un método diferente (llámala, mándale un mensaje de texto, escríbele por Slack). No respondas al propio correo sospechoso.
¿Qué debo hacer si ya hice clic en un correo de phishing?
Cambia tus contraseñas de inmediato, especialmente si introdujiste credenciales en un sitio falso. Activa la autenticación de dos factores si aún no lo has hecho. Supervisa tus cuentas para detectar actividad no autorizada. Si introdujiste información de tu tarjeta de crédito, contacta con tu banco para cancelar la tarjeta.
Cómo protegerte
SPF, DKIM y DMARC
Si controlas un dominio, implementa SPF, DKIM y DMARC para evitar que los estafadores suplanten tu dirección de correo ante otras personas. Aunque esto no te protegerá de recibir intentos de phishing, sí protege a otros de ataques de phishing que te suplanten.
Activa la autenticación de dos factores siempre que sea posible.
Aunque alguien robe tu contraseña mediante phishing, no podrá acceder a tu cuenta sin el segundo factor, lo que te convierte en un objetivo considerablemente más difícil. Mantente alerta ante correos inesperados, especialmente solicitudes urgentes relacionadas con dinero o credenciales. Cuando algo parece sospechoso, normalmente lo es—confía en tu instinto.
Mantén tu software actualizado.
Los navegadores modernos y los clientes de correo tienen detección de phishing integrada que mejora con cada actualización, así que mantenerlos al día te ayuda a beneficiarte de las funciones de seguridad más recientes. Si eres responsable de una empresa, realiza simulaciones de phishing con regularidad. Los empleados suelen ser el eslabón más débil de la seguridad, y la formación mediante pruebas realistas les ayuda a reconocer y evitar ataques reales.
Considera usar un gestor de contraseñas.
Estas herramientas autocompletan contraseñas solo en sitios legítimos, lo que significa que, si tu gestor de contraseñas no autocompleta en lo que parece ser el sitio de tu banco, es una señal de alerta de que el sitio es falso. Esta capa adicional de verificación puede detectar intentos de phishing que de otro modo podrían engañarte.
Desactiva la carga de imágenes remotas
En algunos clientes de correo, como Spark Desktop, incluso puedes desactivar la carga de imágenes remotas para una mayor protección: abre Configuración de Spark Desktop > General > Cargar imágenes remotas > Desactiva el interruptor.
Contenido relacionado
- Privacidad en el correo de Spark
- Frases que debes evitar en el correo electrónico
- La regla de los dos minutos para el correo electrónico
- Los mejores clientes de correo electrónico
Términos relacionados
- Correo no deseado
- Suplantación de correo electrónico
- Autenticación de dos factores
- Autenticación de correo electrónico