Spaceship Blog

Las diferentes caras de las amenazas por correo electrónico

Las estafas por correo electrónico se presentan de muchas formas. Algunas son tan obvias que resultan ridículas: no se ha hecho ningún esfuerzo por disfrazar la estafa.

Pero no pienses que todas son así. Las estafas por correo electrónico no dejan de volverse más retorcidas y creativas. Son de ese tipo que incluso la persona más experta en tecnología de la generación Z, que creció durmiendo con un iPad, miraría dos veces antes de darse cuenta. De hecho, si no fueran tan perversas, hasta podrías dar un paso atrás y admirar el enfoque. Vamos a mostrarte cómo reconocer el phishing y otras estafas comunes por correo electrónico, y cómo protegerte de ellas.

Un rápido viaje al pasado

Muchos recordamos los primeros días de las estafas por correo electrónico: aquellos tiempos dorados en los que éramos más ingenuos, pero también desconfiábamos más de los correos. Cuando recibíamos una estafa, la leíamos con interés y confusión, intentando averiguar por qué el remitente pensaría que nosotros éramos la persona adecuada a la que pedir ayuda.

¿Quién recuerda The Spanish Prisoner? Un alma desafortunada de gran riqueza que necesitaba desesperadamente que le ayudáramos a pagar su rescate para poder salir de prisión. Curiosamente, esta estafa es anterior al correo electrónico, ya que se originó a principios del siglo XIX. Evidentemente, algún intrépido internauta decidió digitalizarla.

Hoy en día, las estafas por correo electrónico aprovechan mucho más los puntos fuertes de su formato digital. A diferencia de algunas de las estafas originales, utilizan ventajas que Internet ha ido ofreciendo con los años — como la capacidad de procesar pagos online fácilmente, una mayor dependencia del correo electrónico para nuestras comunicaciones más importantes y la evolución de las redes sociales, por nombrar solo algunas.

Señales de una estafa, a simple vista

Antes de analizar más de cerca los distintos tipos de estafas por correo electrónico, vamos a compartir algunas reglas generales que puedes aplicar para ayudarte a identificar una estafa/spam por correo electrónico, porque todas comparten elementos comunes: un remitente, un asunto, el texto del cuerpo y, quizá lo más importante, la necesidad de ser leído y creído.

Nombre de la empresa/remitente

Presta atención a:

  1. Erratas o estilización incorrecta — Paypal frente a PayPal.

  2. Algo que parezca excesivamente descriptivo o poco probable — AA Car Emergency frente a AA.

  3. Empresas en las que no compras ni con las que tratas — Un aviso de Barclays cuando operas con Lloyds.

  4. Cualquier cosa que parezca extraña — Desde símbolos y nombres de empresas extraños, hasta espaciados raros — a veces hay algo en el remitente que simplemente no encaja.

Dirección de correo del remitente

Presta atención a:

  1. Una dirección de correo incongruente — Algo que no encaja con el nombre de la empresa.

  2. Imitaciones — Una dirección diseñada para parecerse a la de la empresa real. Puede ser el dominio (@paypalcare.com) o el TLD (@paypal.club).

  3. Errores— Erratas u otras irregularidades en la dirección.

Asuntos

Presta atención a:

  1. Frases diseñadas para provocar urgencia — «Advertencia: aviso final de pago».

  2. Lenguaje que promete demasiado — «Gana 1000 £ en cinco minutos».

  3. Lenguaje que provoca una fuerte reacción emocional — «¡Estás contratado! ¡Empiezas mañana!»

  4. Erratas — Los estafadores no son precisamente conocidos por su buena gramática.

  5. Uso excesivo de signos de puntuación o emojis — Pocas empresas reales los usan.

  6. La presencia de «Re» — Puede usarse para sugerir que ya has respondido antes cuando no es así.

  7. Botones y archivos adjuntos— Evita siempre hacer clic en botones o descargar archivos adjuntos en correos sospechosos.

Texto del cuerpo

Presta atención a:

  1. Promesas increíbles— Similar a la versión del asunto, pero en el cuerpo del texto hay espacio para explayarse, lo que da la oportunidad de hacer las mentiras más convincentes.

  2. Llamadas a la acción que buscan información personal — Especialmente dirección o datos de la tarjeta.

  3. Referencias a cosas que no recuerdas— Desde eventos hasta servicios que nunca recibiste

  4. Suplantación de identidad— Alguien afirma ser un amigo o familiar, pero no suena como esa persona.

Ahora que ya tienes algo de contexto sobre cómo los estafadores pueden manipular distintas partes de un correo electrónico, examinemos ejemplos concretos.

Malware

Para muchos, los ataques de malware son probablemente el primer tipo de correo malicioso que realmente temimos. En aquel entonces, probablemente nos referíamos a ellos simplemente como virus por correo electrónico. Lo abrías, la pantalla se quedaba negra. Fin de la partida. Ese tipo de cosas.

En realidad, el malware abarca una gran variedad de ataques maliciosos — y algunos de ellos son, francamente, bastante más aterradores que una rápida muerte del ordenador.

¿Monitorizar pulsaciones del teclado? ¿Consumir tu CPU sin que lo sepas? ¿Espiarte? ¿Forzar la aparición de anuncios sospechosos cada cinco minutos? Sí, el malware engloba una gran variedad de pequeños programas que se incrustan en tu ordenador sin que lo sepas, y sus funciones van desde cosas asociadas a bromistas sin escrúpulos hasta delincuentes en toda regla. Son escurridizos y a menudo difíciles de eliminar — eso si sabes que están ahí.

Cómo detectar malware

Si estás experimentando alguno de los síntomas enumerados arriba, hay muchas probabilidades de que sea malware. Puede que haya llegado a través de un correo electrónico, pero no necesariamente. Hay otras formas en las que estos programas pueden incrustarse en tu ordenador: descargas, sitios web sospechosos e incluso dispositivos de hardware maliciosos. Si alguna vez encuentras una memoria USB en la calle, no mires lo que contiene.

Protégete del malware

A riesgo de decir lo obvio, prueba con un software de detección de malware. Pero elige algo de confianza.

Si buscas en Google cómo prevenir el malware desde el principio, el principal consejo es instalar un antivirus. Personalmente, no conozco a nadie que haya hecho esto desde finales de la década de 2010, pero ¿quién soy yo para contradecir la totalidad del conocimiento humano y la experiencia colectiva homogeneizada en una respuesta de una sola línea de Gemini, servida en una fracción defracción de segundo?

Dicho esto, la protección contra amenazas que ofrecen los sistemas operativos suele ser mejor que en los primeros tiempos; Windows, especialmente, se actualiza para proteger frente a amenazas, pero lo más importante es que mucho software de correo electrónico está haciendo el trabajo por nosotros, filtrando los correos sospechosos antes de que nos lleguen.

Es buena idea encontrar un proveedor de correo electrónico que promueva una buena protección contra el malware y analice tus correos antes de que te lleguen. Esto es especialmente útil cuando se trata de evitar ataques psicológicos (y hablaremos de ellos en un momento).

Si hablamos de protección, más que de prevención, es buena idea mantener copias de seguridad periódicas, por si te ves afectado por uno de estos ataques. Personalmente, recomiendo algo como Mega Sync, que se actualiza cada vez que guardas un archivo.

Phishing

Hoy en día, lo más probable es que te encuentres con una estafa de phishing por correo electrónico. ¿Por qué? Porque, como una melodía pegadiza o el olor de la primavera, todos somos susceptibles a sus encantos. Pero ¿cómo puedes identificar el phishing?

Los ataques de phishing son eficaces por su versatilidad. A veces no es difícil detectar el phishing. Pueden ser cualquier cosa: literalmente cualquier cosa que consiga que alguien introduzca sus datos personales. Piensa en cualquier motivo por el que podrías sentirte obligado a compartir tus datos personales o a enviar dinero a alguien, y eso tiene potencial para convertirse en un correo de phishing.

Aquí tienes solo algunos ejemplos y ten en cuenta que la clave del phishing es que todos estos correos parecen reales, pero son falsos:

  1. Notificación de restablecimiento de contraseña.

  2. Completa los datos bancarios que faltan.

  3. Completa tu dirección postal para habilitar la entrega.

  4. Renueva tu suscripción.

  5. ¡Has ganado un concurso!

  6. Un amigo necesitado que pide ayuda.

  7. Notificación de devolución de impuestos.

  8. Solicitud de donaciones benéficas.

Si no has visto una estafa de phishing, ¿eres siquiera un pez? Son tan ubicuas que cuesta imaginar el correo electrónico sin ellas. Pero hay más de una forma de pescar…

Spear phishing y whaling

El spear phishing y el whaling se dirigen a personas concretas, a menudo con tácticas más agresivas.

El spear phishing utiliza información personal, normalmente obtenida de varias fuentes, para crear correos más convincentes. Como está redactado usando información personal, podría hacer referencia a amigos reales, situaciones reales o incluso suplantar a un banco (etc.) de forma más convincente. Si crees que esto es poco probable que te ocurra, ten en cuenta que la mayoría de la gente tiene más información accesible públicamente en internet de la que cree.

Si alguien se hiciera pasar por tu amigo y mencionara un acontecimiento muy concreto al que ambos asististeis hace una década, ¿por qué no ibas a creerlo? Puede que tardes un rato en recordar que publicaste sobre ello con detalle en Facebook y que la publicación es visible públicamente. Cuando te pida dinero prestado, quizá le eches una mano.

Todos somos susceptibles al spear phishing, lo que lo hace más peligroso que las estafas más evidentes. Una salvedad afortunada es que el nivel de investigación necesario para llevar a cabo con éxito una estafa de spear phishing resulta desalentador para la mayoría de los estafadores. Les resulta más fácil apostar por un correo masivo al que responderá menos gente. Pero ¿será ahí donde entre la IA en el futuro? Tenemos que mantenernos alerta.

Whaling

Entonces, ¿qué es el whaling? Bueno, en muchos sentidos, un ataque de whaling es prácticamente lo mismo que el spear phishing, pero se centra específicamente en personas con un alto patrimonio, como los CEO.

La triste realidad es que su estatus hace que merezca más la pena invertir tiempo en convertirlos en objetivo y que otros factores (como su riqueza, responsabilidad, falta de tiempo y amplia red de contactos) impliquen varias debilidades potenciales que explotar. Por ejemplo, quizá solo necesiten convencer a un asistente personal o a un secretario de que cuentan con el visto bueno del CEO. Así que parece que el whaling comercial siempre es algo malo.

Cómo protegerse del spear phishing y el whaling

Más allá de lo que figura en nuestra guía general anterior, también deberías configurar un filtrado de spam sólido. El factor humano es realmente donde brillan los correos de phishing. Si el malware es un truco sencillo, entonces, en cierto modo, el phishing requiere nuestra complicidad. Al fin y al cabo, somos nosotros quienes debemos entregar nuestra información. Como hemos comentado, lo consigue apelando a nuestra respuesta emocional.

Así que asegurarnos de no entrar nunca en contacto con ello en primer lugar es la forma más sólida de combatirlo. Los filtros de spam buscan múltiples elementos al evaluar un correo electrónico que nosotros, como humanos, no podemos detectar. Hacen referencias cruzadas con listas negras, patrones de comportamiento conocidos e incluso un método conocido como filtrado bayesiano. Este compara el contenido de un correo con correos de spam conocidos frente a correos legítimos para calcular la probabilidad de que sea spam. Además, los buenos filtros de spam tienen en cuenta lo que otros usuarios marcan como spam, creando lo que se conoce como un bucle de retroalimentación de usuarios.

Correo electrónico empresarial comprometido

Ligeramente distinto de todo lo que hemos visto hasta ahora, esto llega desde el ángulo opuesto: la idea de que una cuenta de correo electrónico legítima ha sido comprometida. No tiene por qué ser una cuenta empresarial, pero, a efectos de esta sección, hay algunos factores más interesantes de los que hablar si imaginamos que lo es.

Si un estafador puede acceder ilegalmente a una cuenta de correo electrónico empresarial, puede hacerse pasar por empleados para solicitar fondos o incluso acceder a otros sistemas internos que pueden incluir datos sensibles.

Comprometer una cuenta empresarial también aprovecha otra peculiaridad social inherente a muchas empresas, especialmente las grandes: es poco probable que todos los miembros del personal se conozcan entre sí. Esto, combinado con el hecho de que se espera que la gente sea educada en un entorno laboral, significa que estos correos tienen ventajas adicionales en comparación con las cuentas privadas.

Cómo protegerse contra esto

Asegurarse de que todos los empleados utilicen autenticación de dos factores (2FA del correo electrónico) y elijan contraseñas seguras reduce enormemente el riesgo de cuentas robadas o hackeadas. La 2FA garantiza que el titular de la cuenta siempre sabrá si alguien intenta entrar, y una contraseña segura dificulta los ataques de fuerza bruta.

También puedes reducir la probabilidad de problemas futuros desactivando inmediatamente las cuentas de los empleados que abandonan la empresa. Un cementerio de cuentas en desuso acumulando polvo es un accidente esperando a ocurrir.

Facturas falsas

Uno de los temas que quizá estés notando es la explotación de distintos extremos emocionales. Hasta ahora hemos considerado el miedo o el descuido de un CEO y la supuesta apatía de un empleado hacia otro. Ahora probemos con la ira.

Alguien afirma que le debes dinero y exige un reembolso inmediato. Está enfadado, dice cosas que te hacen dudar de tus propios recuerdos o crea una situación de la que no puedes estar seguro de que no sea real. La bilis y la ira continúan hasta que casi parece más fácil pagarle.

Puede que esto no parezca tan probable para muchos de nosotros, pero quizá eso sea lo peor: lo más probable es que «nosotros» no seamos sus objetivos. Su éxito estará en las personas vulnerables. Aquellas que quizá realmente no puedan recordar o que confíen más en los desconocidos.

Prevención

Si asumimos que nosotros no pagaremos facturas aleatorias que recibamos por correo electrónico, quizá merezca la pena aprovechar esta oportunidad para sugerir hablar con las personas de tu entorno que tienen menos experiencia en internet. Pregúntales si necesitan ayuda para identificar estafas y explícales que el hecho de que alguien exija dinero no hace que su reclamación sea legítima. Al fin y al cabo, tenemos que cuidarnos unos a otros y nadie quiere ver a alguien caer de lleno en una estafa evidente.

Hay recursos a los que puedes dirigir a la gente que pueden guiarlos de una forma fácil de usar.

Estafas de ofertas de trabajo

A diferencia de algunas de las otras, estas pueden ser difíciles de detectar incluso para los más experimentados. Una razón es que no existen en el vacío del correo electrónico. Si cualquiera de nosotros recibiera de la nada un correo diciendo que ha conseguido un trabajo, sabríamos enseguida que es spam. Pero ¿y si no hubiera ocurrido así?

¿Y si la estafa hubiera empezado como un anuncio real en un portal de empleo real? Te postulaste a él junto con otros trabajos reales y parecía tan probable como todos los demás. Bueno, entonces este es un correo que estás esperando — deseando recibir, incluso. Y, de forma similar al spear phishing, esto crea una oportunidad más elaborada para una estafa. Porque ahora eres un participante voluntario, al menos al principio.

¿Pero en qué? Estas estafas pueden adoptar infinidad de formas, pero, en esencia, como los antiguos esquemas piramidales del pasado, piden dinero por adelantado con el pretexto de cubrir costes, comprar equipo o incluso formación para el puesto, y nada de ello es real. A veces, incluso puede haber otras personas dentro del sistema que también crean que es real, y eso puede sugerir una legitimidad que no existe.

Cómo detectar una estafa de oferta de trabajo

Hay ciertas pistas en las que puedes fijarte cuando solicitas empleo y que podrían indicar que el trabajo no es legítimo:

  1. Salarios poco realistas — Si algo es demasiado bueno para ser verdad, probablemente no lo sea.

  2. Trabajos vagos o improbables — ¿De verdad alguien necesitaría o querría que alguien desempeñara este puesto?

  3. No se necesitan entrevistas — O una oferta de trabajo precipitada sin la debida diligencia.

  4. Comunicaciones poco profesionales — Solicitan más datos de los que deberían ser necesarios.

  5. Falta de presencia online de la empresa — O una empresa cuyo sitio web parece un poco sospechoso. Imágenes de archivo, reseñas inverosímiles, sin contenido real — ese tipo de cosas.

Del mismo modo, no querrás descartar trabajos legítimos solo por un anuncio mal elaborado. Así que lo principal a lo que debes prestar atención es a cualquiera que pida dinero antes de que empieces. Casi no hay ningún caso en el que un trabajo deba exigirte pagar algo por adelantado, y mucho menos realizar tareas gratis.

Por muy seguro que estés del proceso hasta ese momento, en cuanto la conversación gire en torno a transferir dinero, tenlo claro — es una estafa.

Estafas románticas

Podría decirse que es la manipulación emocional más fuerte de todas: cómo nos sentimos cuando estamos enamorados.

Tengo experiencia personal de alguien en una app de citas que me pidió dinero prestado (que es donde este tipo de estafa es más probable hoy en día). No es tan poco común como podrías pensar — y, en algunos casos, incluso podríamos tener dificultades para pensar en ello como una estafa…

Los límites se difuminan rápidamente cuando el corazón empieza a imponerse a la cabeza. Quizá una parte de nosotros incluso piense: «puede que me estén tomando por tonto, pero ¿qué son diez libras cuando se trata del amor?». Pero esa persona podría pasarse todo el día en la app de citas. Si consigue que diez personas al día le donen diez libras, en realidad no es un mal sueldo. Y, desde luego, se consideraría una estafa.

Cómo evitar enamorarte de una estafa romántica

A riesgo de convertirme en una consejera sentimental, no te dejes llevar por el corazón. Si tu cabeza te dice que es una estafa, probablemente lo sea. Nunca des dinero a alguien que no conoces bien, por mucho que afirme quererte. Es una triste realidad de la vida que la gente utilice los extremos emocionales para manipular.

Estafas de premios

Probablemente muchos recordemos haber recibido por correo postal un folleto diciendo que habíamos ganado una lotería y que teníamos que llamar a un número para reclamar el premio. Supongo que era inevitable que esto también acabara llegando por correo electrónico.

No hay mucho más que decir aquí que no se haya dicho ya en las otras secciones. Quizá podamos simplemente crear un mantra para la vida. Si un correo electrónico dice que has ganado un premio, no has ganado un premio*.

*A menos que hayas ganado un premio. Pero definitivamente no has ganado un premio. Deja de pensar en el premio.

Prevención

Mira, de verdad, de verdad no has ganado un premio. Compra un billete de lotería si es necesario — pero pulsa el botón de spam.

Protegerte a ti y a los demás

Hablando en serio, ya sea spam o estafa, no tiene ninguna gracia. La gente realmente sale perjudicada, pierde dinero o se siente estúpida después.

Hemos sugerido varias formas de protegerte, pero en realidad todo se reduce a tres cosas:

  • Activa toda la seguridad que puedas

Sea lo que sea que ofrezca tu proveedor, ya sea 2FA, contraseñas generadas automáticamente o incluso cifrado — lo que sea. Configúralo. Simplemente hace que tu cuenta sea un poco más difícil de secuestrar.

  • Elige un proveedor centrado en la seguridad

Un proveedor con un sólido software de gestión de spam y actualizaciones de seguridad frecuentes es probablemente tu mejor forma de protección continua como empresa. La mayoría de las estafas que hemos descrito empiezan y terminan con la gestión del spam. Si nunca las vemos, nunca serán un problema.

  • Mantente al día

Las estafas de phishing no dejan de evolucionar. Te atacan a ti, no a tu bandeja de entrada, así que tú eres tu mejor defensa.

¿Hay alguna práctica que utilices para evitar caer en el spam y las estafas? ¡Nos encantaría conocerla! Deja cualquier opinión o pregunta en la sección de comentarios de abajo

Preguntas frecuentes

El phishing consiste básicamente en enviar correos electrónicos haciéndose pasar por otra persona (normalmente una empresa) para conseguir que el destinatario realice una acción. Las acciones suelen implicar enviar dinero, datos de tarjetas u otros datos sensibles.

El whaling se dirige a una persona concreta con un patrimonio más elevado. Un director general de una empresa o alguien similar. Crear un correo electrónico a medida específicamente para atacar a una sola persona se considera rentable por el potencial de obtener una ganancia neta mayor.

En general, busca direcciones de correo electrónico que no coincidan con la empresa de la que afirman proceder, formatos descuidados, erratas y URL diseñadas para parecerse, pero que no son reales (joe@paypal-us.com).

Un buen filtro antispam te protegerá de la mayoría de las amenazas. Los correos electrónicos fraudulentos funcionan apuntando a las personas: convenciéndonos de que son reales. Cuando no llegamos a entrar en contacto con ellos, no supondrán un problema.

Depende del tipo de estafa y de cuándo te des cuenta de que has sido víctima. Si ya has pagado algo, ponte en contacto con tu banco lo antes posible para ver si se puede revertir el pago. Si has facilitado los datos de tu tarjeta, bloquea y cancela la tarjeta afectada. No hay garantías de que recuperes tu dinero, pero sin duda puedes evitar más daños. Cambiar las contraseñas de las cuentas que puedan haberse visto comprometidas también es una buena idea y, si sospechas de un ataque de malware, analiza tus dispositivos.

Las empresas corren más riesgo en cierto sentido: tienen muchos datos en sus sistemas que podrían ser útiles para atacar a otras personas. Al vulnerar el correo electrónico de una empresa, se puede obtener potencialmente una gran lista de distribución. Además, en términos de phishing y whaling, existen diferentes oportunidades. Por ejemplo, el hecho de que las personas quizá no conozcan personalmente a todo el mundo que les solicita dinero. Así que los riesgos son ligeramente distintos y probablemente más acusados.

La formación básica, para que todo el personal sepa cómo son las amenazas por correo electrónico, es probablemente la mejor medida preventiva. Después, conviene contar con un buen proveedor de correo electrónico empresarial que ofrezca protecciones como filtros antispam, autenticación de dos factores y actualizaciones sobre amenazas.


Artículos sugeridos

Comentarios (2)

  • Foto de perfil de Lily Simon

    Lily Simon

    9 ago 2025

    Another thing is these scamming companies/businesses have also taken to putting in fake Unsubscribe links. If you see a weird sender like g44tjw9@coldmail.inc, and there's an unsubscribe button/link... They get the most people with that it seems. I know I (before I was knowledgeable of this) used to fall for these to the point my eldest Gmail gets 77 emails a day (more: got. I don't pay attention to it anymore), and only ONE of those are legit. That was how I learnt my mistake.
    Se requieren más de 10 caracteres.
    Tu identidad para mostrar públicamente.
    Proporcionar tu dirección de correo electrónico es opcional. No se compartirá con terceros.

    • Foto de perfil de Olha Nesen. Product and Marketing Coordinator

      Olha Nesen. Product and Marketing Coordinator

      13 ago 2025

      You’re absolutely right — fake “unsubscribe” links are a common trick used in phishing and spam campaigns, and they can be very convincing. Clicking them often confirms to the sender that your address is active, which can lead to even more unwanted messages. We recommend avoiding those links from suspicious senders and using your email provider’s spam or junk reporting tools instead. It’s great that you’ve recognized the pattern — awareness is one of the best defenses against these tactics💪

Comparte tus ideas

Se requieren más de 10 caracteres.
Tu identidad para mostrar públicamente.
Proporcionar tu dirección de correo electrónico es opcional. No se compartirá con terceros.

Ayúdanos a mejorar nuestro blog

Comparte tu opinión en una breve encuesta de dos minutos.

Se requiere un correo electrónico válido