Phishing y malware por email: Cómo detectarlos

  • Señales clave: urgencia, remitente dudoso, dominios y enlaces que no encajan.
  • Verificación técnica: cabeceras, SPF/DKIM, dominios y firma digital.
  • Acciones seguras: no clicar, analizar malware, cambiar contraseñas y avisar.
Daniel Terrasa

7 minutos

Señales de phishing en el correo electrónico

Te llega un correo del «banco» con actividad sospechosa y un enlace urgente para verificar tus datos. ¿Qué haces? Esa duda es la puerta por la que entran miles de fraudes cada día. El phishing (suplantación de identidad) es un engaño que busca que seas tú quien entregue información sensible como contraseñas, números de tarjeta o documentos, y los atacantes lo pulen para que parezca 100% legítimo.

En las siguientes líneas vas a aprender a detectar un e‑mail de phishing con señales claras, ejemplos reales, comprobaciones técnicas (como revisar cabeceras, SPF y DKIM) y pasos concretos para actuar si ya has hecho clic. Integramos prácticas de empresas y organismos de referencia y lo adaptamos a un contexto cotidiano, para que puedas reaccionar con calma y seguridad.

¿Qué es el phishing y por qué funciona?

El phishing es un delito informático que se basa en la suplantación de una entidad de confianza (bancos, plataformas de firma, tiendas, mensajería, Administración, tu propia empresa) con el fin de recolectar tus credenciales o instalar malware. Los correos, SMS o mensajes directos imitan logos, tono y plantillas para parecer auténticos y provocar respuesta inmediata.

El truco suele combinar apariencia profesional y urgencia artificial: un aviso de cuenta suspendida, un pedido que no recuerdas, una devolución de impuestos, una verificación de doble factor o un documento “para firmar” que no esperabas. Si consiguen que cliques antes de pensar, ganan.

phishing

Cómo reconocer un e‑mail de phishing de un vistazo

Existen señales recurrentes que, juntas, pintan un cuadro de fraude. No todas aparecen a la vez, pero con dos o tres pistas ya conviene desconfiar y verificar por vías oficiales.

  • Urgencia o amenaza: “actúa ahora o perderás acceso”, “actividad no autorizada”, “último aviso”.
  • Remitente nuevo o externo marcado por tu cliente de correo (p. ej., ) y sin relación previa.
  • Saludo genérico tipo “Estimado cliente” en vez de tu nombre completo.
  • Errores evidentes de ortografía, gramática o frases torpes que no encajan con una gran marca.
  • Dominio que no coincide con la empresa (microsoftsupport.ru, micros0ft.com, rnicrosoft.com…).
  • Banner de alerta en Outlook indicando que no se ha podido verificar al remitente.
  • Vínculos y adjuntos inesperados; al pasar el ratón, la URL real no concuerda con el texto o apunta a IPs raras.

La verificación de enlaces sin hacer clic es obligatoria: pasa el cursor (o mantén pulsado en móvil) y mira la dirección completa. Si dudas, no interactúes.

Tipos de correos de phishing que más se repiten

Ver ejemplos te entrena el ojo y reduce el riesgo de caer. Estos son algunos patrones muy usados y por qué son efectivos.

Cuentas bloqueadas o actividad inusual

Supuestos bloqueos temporales de tu banco o servicio de pago para “verificar identidad”. Si no tienes cuenta en esa entidad, bórralo sin más. Si sí la tienes, valida por la app oficial o el teléfono de su web, nunca desde el enlace del correo.

Falsas verificaciones de doble factor

La autenticación en dos pasos se usa como cebo: un mensaje que insta a confirmar tu acceso con un código o a “reactivar” la protección. Comprueba que esperabas esa operación; si no, es probable que intenten secuestrar tu cuenta.

Devoluciones de impuestos o trámites urgentes

El gancho fiscal promete dinero fácil o exige regularizar datos ya. Ojo: la Agencia Tributaria no solicita información sensible por e‑mail ni te obliga a pinchar en enlaces para cobrar “un reembolso sorpresa”.

Confirmaciones de pedidos o facturas que no recuerdas

Recibos falsos con adjuntos o enlaces a “detalle del pedido” son una puerta al malware. Si esperas un envío, contrasta en la web oficial tecleando la URL tú mismo; si no, desconfía.

Phishing en el trabajo: fraude del CEO y pagos urgentes

Correos que parecen del director o un partner pidiendo transferencias “discretas” o tarjetas regalo. Contrasta por teléfono interno antes de mover un euro. La presión por rapidez es parte del truco.

Cuando el phishing se camufla aún mejor

Algunos kits de phishing detectan análisis automatizados o máquinas virtuales mediante JavaScript y muestran una página en blanco para esquivar a los defensores. Eso no cambia lo esencial: las señales en el correo siguen delatando el fraude.

phishing

Qué pasa si haces clic (y por qué no debes hacerlo)

El clic te puede llevar a formularios clonados donde entregar credenciales, un número de la Seguridad Social o datos de tarjeta. O puede descargar spyware que robe lo que tecleas, ransomware o troyanos bancarios. Si ya pulsaste, no rellenes nada y cierra la pestaña.

Los adjuntos maliciosos suelen camuflarse como PDF o facturas, pero también llegan como ZIP o ejecutables. Si no esperabas el archivo, trátalo como peligroso.

Si sospechas, o si ya has sido víctima, actúa con rapidez pero con método. Los siguientes pasos minimizan daños y dificultan que el ataque escale a otras cuentas.

  • No completes formularios ni descargues nada y cierra la web fraudulenta.
  • Pasa un análisis completo de malware con tu antivirus y herramientas de limpieza reputadas.
  • Haz copia de seguridad de tus archivos recientes por si aparece cifrado o comportamiento anómalo.
  • Cambia contraseñas de todas tus cuentas importantes; no te limites a la afectada, y activa 2FA.
  • Vigila movimientos bancarios y activa avisos por SMS o app para cargos inusuales.
  • Contacta con la entidad suplantada por canales oficiales; por ejemplo, bancos como Santander no piden claves por e‑mail.
  • Reporta el fraude y bloquea al remitente en tu gestor de correo para protegerte y proteger a terceros.
  • En España, puedes llamar al 017 de INCIBE para orientación gratuita y confidencial.

Reportar a la empresa real ayuda a cortar la campaña y a avisar a otros clientes. Utiliza sus canales oficiales y facilita capturas, cabeceras y la URL fraudulenta.

Hábitos que te blindan a diario

La prevención es tu mejor antivirus. Adopta estos hábitos y reducirás drásticamente el riesgo.

  • Borra correos sospechosos sin abrir, sobre todo si tu cliente permite scripts en la vista previa.
  • Bloquea manualmente dominios y remitentes que te ataquen y añade reglas antispam.
  • Refuerza con una capa de seguridad adicional (antivirus/antiphishing) que escanee el buzón.
  • No compartas datos personales ante la mínima duda, y valida por teléfono oficial.

Si compartes el buzón con familia o equipo, el bloqueo preventivo del remitente reduce el riesgo de que otra persona caiga.

11 claves para detectar correos maliciosos (guía rápida)

Si no tienes claro por dónde empezar, recorre esta lista crítica antes de hacer nada con el mensaje.

  1. Remitente sospechoso: nombre que no cuadra o dirección con letras y números sin sentido.
  2. Contenido desalineado con lo que esperabas recibir de esa empresa o contacto.
  3. Asunto vago o alarmista que busca generar curiosidad o miedo inmediato.
  4. Errores de idioma o estilo impropio de una marca profesional.
  5. Enlaces comprobados: pasa el cursor y valida que el dominio es legítimo antes de clicar.
  6. Falta de personalización en un correo que supuestamente te afecta solo a ti.
  7. Escasez de detalles reales sobre productos, servicios o contactos en común.
  8. Nombre de adjunto genérico o incoherente con la operativa de esa empresa.
  9. Firma que no coincide con los datos del remitente o con su cargo habitual.
  10. Falsos legitimadores: dominios registrados ad hoc, urgencia marcada, marcas incrustadas en la URL.
  11. Firma digital inexistente cuando en tu empresa se usa de forma sistemática.

Cuando algo no cuadra, la prudencia siempre gana: contacta con TI o con el remitente por un canal alternativo verificado.

Detectar un e‑mail de phishing no es cuestión de suerte, sino de método: revisar remitente y enlaces, identificar urgencias sospechosas, validar dominios, comprobar cabeceras y autenticaciones, y actuar con decisión si hubo exposición (escaneo, copias, contraseñas, 2FA, avisos y reportes). Con estas prácticas, el engaño pierde fuerza y tu bandeja gana en seguridad.

trucos seguridad outlook
Artículo relacionado:
Trucos para mejorar la seguridad en Outlook