El primer correo electrónico spam fue enviado por Gary Thuerk en 1978 a unas 400 personas. El correo incluía un folleto de los ordenadores DECSYSTEM-20. Fue un éxito increíble y generó alrededor de 13 millones de dólares en ventas. También abrió el correo electrónico como un nuevo canal para llegar a los clientes y vender productos.
Hay dos formas de ver el spam por correo electrónico.
Llega a tu bandeja de entrada, haces clic en eliminar, ¿qué tiene de malo?
Un juego internacional del gato y el ratón, en el que tu bandeja de entrada, y lo que llega a ella, está en primera línea mientras las grandes tecnológicas, las agencias gubernamentales y las organizaciones criminales luchan por tu seguridad, tu atención y tu cuenta bancaria.
La segunda visión puede sonar dramática, pero si te ahorra unos cuantos dolores de cabeza y quizá incluso algo de dinero, merece la pena entenderla, ¿no?
Bueno… todo empieza con una broma sobre una lata de carne en conserva.
¿Qué es un correo electrónico spam y por qué se llama spam?
Hay muchas cosas que el spam puede ser: anuncios, estafas, boletines basura, la lista sigue. Pero hay una cosa que el spam no es: invitado. Como una nube de mosquitos que llega con la primera mención del verano, el spam casi siempre llega en masa. Es no solicitado, no deseado y bastante molesto.
Pero ¿por qué comparte su nombre con una lata de carne en conserva hecha de paleta de cerdo y jamón? Por eso podemos dar las gracias a un famoso sketch de Monty Python, en el que la palabra “spam” se repetía una y otra vez, casi hasta la locura. Eso consolidó “spam” como símbolo de lo incesante y no deseado. En 1993, un avispado usuario de internet tomó esta idea y describió una avalancha de publicaciones repetidas como spam, y voilà, el nombre se quedó.
Pero, a pesar de sus peculiares orígenes, la palabra en sí no refleja lo dañino que puede ser el spam, ni lo difícil que es deshacerse de él. Como los mosquitos, los correos spam suelen llevar materiales peligrosos que pueden causar estragos en tus dispositivos. Por no hablar del riesgo para tus datos personales y de la migraña que puede provocar tener la bandeja de entrada inundada de anuncios sospechosos. Pero entender la historia ayuda. Si puedes entender cómo el spam encuentra su camino hasta tu bandeja de entrada, harás un mejor trabajo manteniéndolo fuera.
Tipo de spam | Ejemplo |
Spam publicitario | Correos electrónicos promocionales |
Phishing | Correos electrónicos falsos de inicio de sesión bancario |
Spam con malware | Archivos adjuntos maliciosos |
Correos electrónicos de estafa | Falsas estafas de lotería o herencia |
¿Cuándo se envió el primer correo electrónico spam?

Entonces, ¿de dónde viene el correo spam? Puede que te sorprenda saber que el primer correo electrónico spam se envió antes incluso de que existiera internet. No vino de algún grupo criminal en las sombras, vino de un solo profesional del marketing que intentaba vender una nueva línea de ordenadores y, aunque cueste creerlo, ganó millones.
En 1978, el director de marketing Gary Thuerk envió un correo electrónico a unas 400 personas a través de ARPANET, la red militar que existió antes de internet. Su mensaje era una invitación a una presentación sobre los nuevos ordenadores DECSYSTEM-20. El correo generó unos 13 millones de dólares en ventas, pero también molestó a casi todos los que lo recibieron.
La parte más interesante de esta historia de la historia del spam no es cuándo se envió el correo, sino el arma de doble filo que hay detrás del spam por correo electrónico. Por un lado, se pueden ganar cantidades mareantes de dinero con anuncios enviados a cientos, miles o incluso millones de personas. Pero el spam es, obviamente, molesto. Por desgracia, esta es la relación de tira y afloja que acompañará al spam a lo largo de su turbulenta historia.
¿Cómo ha evolucionado el spam a lo largo de las décadas?
Si has tenido la suerte de crecer en la era de la protección de Google y Microsoft, quizá no recuerdes los primeros días de internet, cuando sacar el spam de tu bandeja de entrada era más una tarea manual.
Cronología de la evolución del spam por correo electrónico
Año | Evento |
1978 | Gary Thuerk envía el primer correo electrónico spam |
1994 | Campaña de spam de la “Green Card Lottery” |
1996 | MAPS lanza listas blackhole |
2003 | Se introduce la ley CAN-SPAM |
Años 2000 | Las botnets y el phishing se disparan |
Años 2010 | Mejora el filtrado con IA |
Años 2020 | Aumentan el phishing y el spam generados por IA |
Años 1980–1990: el salvaje oeste del correo electrónico
En 1983, un año antes de la predicción de George Orwell sobre un superestado totalitario, estaba tomando forma algo muy distinto. Por primera vez, fue posible que múltiples redes independientes se conectaran entre sí, creando la base de la red global de redes de hoy, o internet, como nos gusta llamarla.
Durante la década siguiente, millones de nuevos usuarios se conectaron y empezaron a crear direcciones de correo electrónico. No había una autoridad central que dijera “no puedes hacer eso” y el correo electrónico podía servir básicamente como un canal publicitario gratuito. Un solo mensaje enviado masivamente a miles, incluso millones, de personas a un coste casi nulo.
¿Cuál fue el resultado? En la década de 1990, el spam se disparó, y también los esfuerzos por controlarlo. En 1994, los abogados Canter & Siegel lanzaron su infame anuncio de la “Green Card Lottery” en miles de grupos de Usenet, a menudo considerado la primera gran campaña comercial de spam. Las defensas no tardaron en llegar. El Mail Abuse Prevention System (MAPS) lanzó la primera Real-time Blackhole List en 1996, bloqueando correo de servidores de spam conocidos, y grupos como Spamhaus crearon listas de bloqueo y compartieron información para mantener a los spammers fuera.
Años 2000: la década en que el spam se volvió oscuro
Puede que los años 2000 marcaran el final del milenio, pero para muchos fueron el verdadero comienzo de los molestos correos electrónicos inundando las bandejas de entrada. Google, Yahoo y Microsoft se subieron al carro de detener el spam. Pero ya no se trataba de anuncios cutres ni de esquemas para hacerse rico rápidamente, el spam se estaba volviendo más oscuro. Los spammers habían empezado a usar “botnets”, redes de ordenadores infectados, para enviar spam a gran escala.
Los gobiernos decidieron que era hora de intervenir. En 2003, Estados Unidos puso en marcha la ley CAN-SPAM (Controlling the Assault of Non-Solicited Pornography and Marketing). Obligaba a los spammers a respetar las solicitudes de baja y a evitar asuntos engañosos, pero el problema era que la responsabilidad seguía recayendo en los destinatarios para darse de baja. Europa, por su parte, fue más estricta. La UE estableció un sistema de consentimiento previo para el email marketing, lo que significaba que las empresas no podían enviar correos comerciales sin obtener permiso primero.
Los años 2000 marcaron la verdadera explosión del juego del gato y el ratón que llegó a definir el spam. Los spammers inventaban nuevos trucos, y los defensores encontraban formas de contrarrestarlos. Tomemos como ejemplo el filtrado bayesiano: analiza las palabras de un correo electrónico, calcula las probabilidades y decide si es basura o legítimo. Cuando apareció por primera vez, supuso un gran avance en la forma en que los proveedores de correo podían combatir el spam. En 2004, Bill Gates incluso predijo que el problema del spam se resolvería en dos años. Pero, como siempre, los spammers se adaptaron rápidamente.
Ejemplos del tira y afloja del spam en acción:
La era moderna: cuando el spam aprendió a pensar

Stephen Hawking advirtió una vez que los humanos podrían llegar a ser para la IA lo que los perros son para los humanos, una idea inquietante. Y aunque eso pueda sonar sombrío, no es exagerado decir que el auge de la IA podría ser tan transformador como la invención de la máquina de vapor. No es de extrañar, entonces, que la IA esté dando forma a la batalla entre quienes buscan beneficiarse del spam y quienes intentan controlarlo. La diferencia es que, a diferencia de los filtros de spam tradicionales, la IA puede aprender y adaptarse.
La ironía aquí es que los estafadores están usando las mismas herramientas para mejorar sus correos spam que los universitarios usan para aprobar sus exámenes. Antes de las herramientas de IA, los correos spam estaban llenos de erratas, errores gramaticales y señales de alerta evidentes. Ahora, gracias a los modelos de lenguaje de gran tamaño, se pueden enviar en masa correos spam con gramática impecable, tono localizado y ganchos personalizados. En lugar de enviar 10’000 correos idénticos, los estafadores pueden enviar 10’000 correos ligeramente distintos y evitar los censores. Al pasar el texto por modelos que simulan la puntuación de spam, los atacantes pueden ajustar sus mensajes hasta que parezcan “seguros”.
Los gigantes del correo electrónico están haciendo lo mismo. Usan IA y aprendizaje automático no solo para analizar el contenido, sino también para analizar el comportamiento del remitente, las señales de la red e incluso el contexto de los mensajes. Gmail, por ejemplo, ahora puede detectar patrones sospechosos, como ráfagas repentinas de correos desde dominios nuevos o contenido que imita señuelos de phishing conocidos, y adaptarse en tiempo real para frenar nuevas campañas de spam.
¿Qué impacto ha tenido el spam en el correo electrónico y en las empresas?
Si volvemos a la historia del origen del correo spam, y a su homónimo de Monty Python, el tema era simple: molesto. En aquel entonces, así era exactamente como se veía la mayor parte del spam. Pero en las décadas transcurridas desde entonces, se ha vuelto mucho más peligroso. Hacer clic en el enlace equivocado ahora puede significar virus o una grave pérdida económica.
Y no son solo las personas las que están en riesgo. Desde los años 2000, los estafadores han ideado formas elaboradas de ir a por objetivos mayores. Muchos de estos esquemas incluso tienen apodos pegadizos que restan importancia a lo graves que pueden ser las consecuencias.
Ejemplos de spam dirigido a empresas:
Spam masivo y estafas – Los correos masivos siguen inundando las bandejas de entrada a diario, desde anuncios molestos hasta falsas loterías o esquemas del “príncipe nigeriano”. Son de bajo nivel, pero saturan las bandejas de entrada y aún pueden engañar a los empleados.
Correos electrónicos de phishing – Suplantan a marcas de confianza y atraen a los usuarios a sitios falsos. Antes torpes, estos correos de phishing ahora están pulidos, automatizados y son difíciles de distinguir de los reales.
Spear phishing y whaling – Ataques dirigidos que usan nombres reales o proyectos para engañar a empleados concretos. Cuando se dirigen a ejecutivos, se llama “whaling”, y el beneficio puede ser enorme.Business Email Compromise (BEC) – Los delincuentes se hacen pasar por directores generales, proveedores o RR. HH. para engañar al personal y conseguir que transfiera dinero o envíe datos.
Malware y ransomware – El spam suele llevar archivos adjuntos o enlaces maliciosos. Un solo clic puede desatar virus o ransomware, bloquear sistemas enteros y costar millones a las empresas.
Pero el verdadero peligro está en la magnitud de las consecuencias. El spam hace perder tiempo a una escala enorme. Empleados dudando de los correos o directivos investigando falsas alarmas. Todo ello va mermando la productividad.
Lo que realmente cuesta el spam
El FBI estima que solo el Business Email Compromise ha drenado más de 50 000 millones de dólares entre 2013 y 2022. Por eso la lucha contra el spam sigue evolucionando. Los filtros ahora miran más allá de las palabras clave para analizar patrones, archivos adjuntos e incluso el comportamiento del remitente. Leyes como CAN-SPAM y GDPR establecen normas sobre consentimiento y transparencia. Y los proveedores de correo electrónico han añadido protecciones como SPF, DKIM y DMARC, lo que hace mucho más difícil que los atacantes se hagan pasar por alguien que no son.
¿Cómo combatimos el spam hoy en día?
Los filtros de spam modernos funcionan con IA y aprendizaje automático. Pueden analizar el comportamiento del remitente y el contexto del mensaje, y luego adaptarse en tiempo real.
Pero la concienciación sigue siendo importante. Incluso con los mejores filtros de spam, la formación de los empleados debe convertirse en una parte clave de detener el spam.
Cómo protegerte de los correos electrónicos spam
Hoy en día, las empresas llevan a cabo programas periódicos de concienciación que enseñan a las personas a ir más despacio y detectar señales de alerta, o a verificar solicitudes antes de actuar. Algunos de ellos incluyen:
Piensa antes de hacer clic
Aquí sigue siendo válido el consejo de siempre. Si has recibido un correo electrónico que no esperabas y no conoces al remitente, no hagas clic en un enlace cualquiera. Puedes pasar el cursor sobre el enlace en escritorio, o mantener pulsado en móvil para previsualizar primero el destino real. Si la dirección del enlace y la dirección real son diferentes, eso es una señal de alerta.
Si decides hacer clic en un enlace de un correo electrónico, no te dejes engañar por un candado junto a la URL, eso no significa que el sitio sea seguro. El candado solo confirma que alguien ha cifrado la conexión. Por desgracia, un sitio de phishing puede conseguir un certificado SSL con la misma facilidad que un sitio legítimo.
Verifica el remitente
El nombre para mostrar en un correo electrónico no siempre es la identidad real del remitente. Eso se debe a que cualquiera puede cambiarlo por algo completamente distinto. Para verificar la identidad real, tienes que comprobar la dirección exacta de correo electrónico de la que proviene el mensaje.
A veces esto es obvio, como cuando el correo proviene de una cuenta gratuita barata y desechable. Pero no siempre es tan fácil. Los atacantes suelen disfrazar los correos cambiando unos pocos caracteres, como @p4ypal.com. Si no estás seguro de si el correo es auténtico, lo mejor es recurrir a los canales oficiales de comunicación.
Elige un proveedor con SPF, DKIM y DMARC
Cuando se trata del spam, SPF, DKIM y DMARC son el estándar de oro de la autenticación del correo electrónico. Son la mejor manera de saber si los correos enviados desde tu dominio realmente provienen de ti o de un impostor. SPF comprueba que el correo proviene de un servidor autorizado para enviar en tu nombre. DKIM añade una firma a prueba de manipulaciones, para que el mensaje no pueda alterarse discretamente por el camino. DMARC une ambos y le dice al servidor receptor qué hacer cuando un mensaje no supera la comprobación.
La buena noticia es que no tienes que configurar nada de esto manualmente. Un buen proveedor de correo electrónico debería hacerlo por ti. Así que, cuando elijas dónde alojar tu correo, busca uno que admita SPF, DKIM y DMARC de serie.
Usa 2FA
2FA añade una segunda capa de seguridad a tu cuenta. Significa autenticación en dos factores y básicamente consiste en demostrar quién eres con dos cosas en lugar de una. La primera es tu contraseña; la segunda puede ser tu teléfono, una aplicación de autenticación, una huella dactilar o una llave de seguridad.
Esto significa que, si te roban la contraseña, el atacante no podrá acceder a tu cuenta sin tener la segunda forma de autenticación. Cualquier 2FA es mejor que no tener 2FA. Busca proveedores de correo electrónico que la ofrezcan y actívala en todos los sitios donde puedas, empezando por tu correo.
Ten cuidado con los archivos adjuntos
Los humanos somos curiosos, y los atacantes se aprovechan de eso. La mejor forma de protegerte es evitar abrir archivos adjuntos de correos electrónicos que no esperabas. Esto se aplica incluso si vienen de alguien que conoces. Eso se debe a que las cuentas suelen ser secuestradas y los remitentes suplantados.
Trata siempre con especial cuidado los PDF, los documentos de Word y Excel, los archivos ZIP y RAR, los archivos HTML, las imágenes de disco ISO y, especialmente, los archivos .exe. En caso de duda, confirma con el remitente a través de un canal distinto antes de abrir nada.
Mantén a tu equipo formado
En última instancia, los humanos son la última línea de defensa cuando se trata de ataques. Los filtros, la autenticación y el análisis de archivos adjuntos detienen mucho, pero cualquier mensaje que logre pasar está diseñado para engañar a una persona.
Aquí es donde la formación puede marcar una gran diferencia. Y, lo que es crucial, las empresas deben formar para los ataques de hoy, no para los de ayer. Eso significa cebos escritos por IA sin erratas, voz y vídeo deepfake, y estafas a través de SMS, códigos QR y avisos de MFA, no solo por correo electrónico.
Preguntas frecuentes
El primer correo electrónico spam se envió en 1978 en ARPANET, la predecesora de internet. Un comercializador llamado Gary Thuerk envió un correo electrónico a 400 personas promocionando nuevos ordenadores. El correo generó millones de dólares, pero molestó a mucha gente.
El spam por correo electrónico comenzó como una forma barata de anunciarse a muchas personas a la vez por email. La internet de los primeros tiempos no tenía muchas normas, y era fácil llegar a miles de bandejas de entrada con un gasto casi nulo.
El nombre proviene de un sketch de Monty Python en el que “spam” se repetía sin parar. Los primeros usuarios de internet tomaron prestado el término para describir el mismo tipo de repetición en los mensajes no deseados.
El spam comenzó como anuncios y cadenas de cartas, y evolucionó hacia phishing, malware y estafas a gran escala. Hoy, la IA ayuda a los spammers a redactar mensajes pulidos y personalizados, por lo que los filtros han tenido que volverse más avanzados para mantenerse al día.
A principios de los años 2000, el spam representaba casi la mitad de todo el tráfico mundial de correo electrónico. Los gobiernos intervinieron con leyes como la CAN-SPAM Act, y grandes proveedores como Yahoo, Microsoft y Google desarrollaron defensas más sólidas.
Los modernos filtros de spam usan IA y aprendizaje automático para analizar algo más que palabras clave. Observan el comportamiento del remitente, las señales de la red y los patrones de los mensajes, como una ráfaga repentina de correos electrónicos desde un dominio nuevo o contenido que imita señuelos de phishing conocidos, y luego se adaptan en tiempo real para bloquear nuevas campañas de spam.
El spam de phishing suplanta a una marca o contacto de confianza para engañarte y hacer que pulses en un enlace malicioso o compartas información confidencial. Antes, los correos electrónicos de phishing estaban llenos de errores tipográficos y señales de alerta evidentes; ahora están pulidos y son difíciles de detectar.
El spam es cualquier tipo de correo masivo no deseado, como anuncios, boletines basura u ofertas falsas de lotería. El phishing es un tipo de spam diseñado para robar tus datos o tu dinero haciéndose pasar por alguien en quien confías. Todo phishing es spam, pero no todo spam es phishing.


Comparte tus ideas