martes, 30 de junio de 2026

Anatomía de un engaño: Cómo detectar un correo de phishing antes de hacer clic (y salvar tus cuentas)


Ilustración de estilo tecnológico y juvenil donde un chico con auriculares analiza un correo electrónico sospechoso en la pantalla de su ordenador usando una lupa. El correo finge ser un aviso urgente de Soporte de Netflix , pero se muestran burbujas flotantes de alerta que revelan un dominio de remitente falso y un enlace malicioso al hacer "hover". En la parte superior destaca un banner con el texto "TU ESCUDO ANTI-PHISHING: DETECTA ANTES DE ABRIR".


Admitámoslo!!

Todos vivimos pegados a la bandeja de entrada del correo, ya sea por trabajos de la universidad, correos del curro o las alertas de las plataformas de streaming... los mails es un no parar y claro, entre tanto bombardeo de notificaciones, los ciberdelincuentes encuentran el escenario perfecto para colarnos alguna.

El phishing ya no es lo que era, en pleno 2026, los malos ya no redactan con faltas de ortografía de traductor de tres al cuarto, ahora usan herramientas de inteligencia artificial para redactar correos impecables que imitan a la perfección a tu banco, a Netflix o a la empresa de mensajería que supuestamente trae ese paquete que no recuerdas haber pedido. Que casualidad!!

Si no quieres que te vacíen la cuenta corriente o te secuestren el acceso a tu cuentas necesitas afilar tu instinto. Aquí tienes la guía definitiva para convertirte en un detector humano de phishing en menos de lo que tarda en cargar un vídeo de tiktok :)


La psicología del ataque: ¿Por qué caemos?

Antes de mirar los aspectos técnicos, hay que entender cómo juegan con nuestra mente. El phishing no es un ataque contra tu ordenador, es un ataque contra tu atención, nunca lo olvides. Los atacantes siempre van a usar una de estas tres opciones para hacerte caer:

  • Urgencia: "Tu cuenta será suspendida en 24 horas". Quieren que actúes rápido y pienses después.
  • Miedo o Alerta: "Se ha detectado un inicio de sesión sospechoso en tu cuenta de yo que se...". Te asustas y entras en pánico.
  • Codicia o Curiosidad: "¡Has ganado un sorteo!" o "Mira las fotos de la fiesta de anoche". El clásico de los clásicos.

Regla de oro en ciberseguridad... Si un correo te genera una emoción fuerte (miedo, prisa o demasiada alegría), detente un segundo. Esa emoción es la primera gran red flag!


El checklist de choque: Las 5 partes del correo que debes revisar

Para pillar al estafador no hace falta ser un hacker de película, solo tienes que aprender a mirar en los lugares correctos antes de interactuar con el mensaje.


1. El remitente (No te fíes del nombre, mira el dominio):

Cualquiera puede ponerse de nombre "Soporte de Google" o "Banco Santander". Lo que un atacante no puede falsificar tan fácilmente es la dirección de correo real que hay detrás.

El truco está en desplegar los detalles del remitente, si el nombre dice "Netflix" pero la dirección real es "soporte-usuarios-netflix@seguridad-actualizacion-342.com", delete!!!

Ojo con el typosquatting, está muy de moda. A veces cambian una letra por otra para engañar a tu vista. Por ejemplo, "info@micorreo.com" frente a "info@mic0rreo.com" (con un cero) o "info@rnicorreo.com" (con una 'r' y una 'n' juntas que parecen una 'm').


2. El saludo genérico

¿Tu banco de toda la vida te enviaría un correo que empieza con un frío "Estimado cliente" o "Querido usuario"¿?  Seguramente no! Las empresas legítimas con las que tienes contrato suelen dirigirse a ti por tu nombre de pila porque tienen tus datos en su base de datos. Si tiran de fórmulas genéricas, sospecha, tiene pinta de campaña masiva enviada a millones de correos a la vez a ver quién pica.


3. El truco del "Hover" (Pasar el ratón por encima de los enlaces)

Este es el superpoder más fácil de usar. Si el correo te pide urgentemente que hagas clic en un botón que dice "Verifica tu cuenta aquí", por favor.... NO LO PULSES!!

Qué hacer? Pasa el cursor del ratón por encima del botón o del enlace sin hacer clic. 

Si te fijas, en la esquina inferior izquierda de tu pantalla (o en un pequeño bocadillo flotante) aparecerá la URL real a la que te quiere redirigir. Si el texto del correo dice "www.tu-universidad.es" pero al pasar el ratón el destino real es una web extraña llena de números y letras raras, te están intentando redirigir a una página falsa que clonará tus credenciales casi con toda seguridad.


4. Archivos adjuntos con "sorpresa"

Si te llega una supuesta factura de la luz, un extracto bancario o un justificante de Correos en un formato extraño, ni se te ocurra abrirlo.

Huye de archivos con extensiones como ".exe", ".scr", ".bat" o ".vbs". Son programas ejecutables que instalarán malware en tu equipo en cuanto hagas doble clic.

Bueno y cuidado también con los PDF o archivos de Office (".docx", ".xlsx")! Aunque parezcan inofensivos, pueden contener macros o código malicioso diseñado para explotar vulnerabilidades de tu software.


5. Redacción sospechosamente perfecta... o demasiado rara

Como decíamos, la IA ha mejorado mucho la ortografía de los estafadores, pero a menudo los correos traducidos o automatizados siguen sonando poco naturales. Expresiones que no se usan en tu país, un tono excesivamente formal o una mezcla rara de idiomas dentro del mismo texto son pistas claras de que algo huele un poquito mal.


¿Qué hacer si sospechas de un correo?

Si te llega un correo que te hace dudar, sigue estos pasos para mantenerte a salvo:

  1. No hagas clic en nada y no respondas, responder al correo solo sirve para confirmar a los atacantes que tu dirección está activa, lo que te convertirá en blanco de más ataques.
  2. Usa la vía alternativa, si el correo dice ser de tu banco avisando de un problema, cierra el gestor de correo, abre tu navegador y escribe tú mismo la URL de la web del banco o entra en su aplicación oficial móvil. Si de verdad hay un problema, verás el aviso en tu zona privada segura.
  3. Analiza los enlaces de forma segura: Hay veces que somos de naturaleza curiosa y si tienes ganas de saber a dónde lleva un enlace sospechoso... puedes copiar la dirección del enlace (haciendo clic derecho y pegarla en herramientas web gratuitas de análisis de seguridad como Virus Total. Ellos la escanearán por ti en un entorno seguro.
  4. Reporta y destruye: Usa la opción de "Denunciar phishing" o "Marcar como spam" de tu proveedor de correo (Gmail, Outlook, etc.). Esto ayuda a entrenar a sus filtros para que ese mismo correo no le llegue a otra persona menos prevenida. Después elimínalo!

Conclusión: 

La Inteligencia Artificial de los hackers puede ser muy avanzada, pero no es rival para tu nuevo superpoder... el arte de desconfiar! 
Ya sabes, la próxima vez que veas un correo sospechoso en tu bandeja, no entres en pánico, míralo con superioridad, sonríe con malicia, pon tu mejor cara de héroe de Mr Robot y pulsa el botón de "Eliminar". Tu orgullo, tus contraseñas y, sobre todo, tu salud mental, te lo agradecerán. 

¡A este juego ya no nos pillan!


>_Saludos!






No hay comentarios:

Publicar un comentario

Tu red doméstica explicada. ¿Qué pasa cuando haces clic?

Sólo nos acordamos de la existencia del WiFi cuando el vídeo de TikTok se queda en bucle, cuando el personaje de tu juego online favorito mu...