secure-os.org
ENFRESDEITPT
Todas las guíasQubes OSTailsWhonixLinux endurecidoCifrado de discoModelo de amenaza
phishing

Cómo identificar un correo de phishing: 7 señales que revisar (2026)

secure-os· Actualizado 20 de junio de 2026· 7 min de lectura #phishing#security#email#social-engineering#passwords
Un candado abierto sobre el teclado de un portátil iluminado de rojo y verde — una contraseña robada por phishing deja una cuenta sin bloquear

Un correo de phishing es un mensaje falso diseñado para parecer que viene de alguien de confianza, para que hagas clic en un enlace, abras un adjunto o escribas una contraseña donde el atacante pueda leerla. La buena noticia: la mayoría se delata si sabes exactamente qué mirar. Esta es una lista práctica, señal por señal, para identificar un correo de phishing antes de que te cueste nada. (Para la visión general, mira qué es el phishing.)

La mentalidad: ve más despacio antes de hacer clic

El phishing juega con la atención, no con la inteligencia. Los mensajes están diseñados para que actúes en el medio segundo antes de pensar — un plazo, una amenaza, una recompensa demasiado buena. El hábito más útil es simplemente detenerte ante cualquier correo que te exija actuar de inmediato y repasar las señales de abajo. Ninguna es prueba por sí sola, pero dos o tres juntas bastan para parar.

1. La dirección del remitente no coincide con la marca

El nombre mostrado es trivial de falsificar. Lo que cuesta más es la dirección real que hay detrás. Revisa lo que sigue a la @: un mensaje real de un banco o servicio viene de su propio dominio (por ejemplo @tubanco.com), no de un buzón gratuito como @gmail.com, ni de un clon (@tubanco-seguro.com, @tubanco.support), ni de una cadena de caracteres aleatorios. En el móvil, toca el nombre del remitente para desplegar la dirección completa — muchos correos de phishing cuentan con que nunca lo hagas.

2. El saludo y el tono suenan raros

El phishing masivo se envía a listas enormes, así que suele abrir con un saludo genérico — «Estimado cliente», «Estimado usuario», o tu dirección de correo en lugar de tu nombre. Una empresa donde de verdad tienes una cuenta suele conocer tu nombre. (El spear phishing dirigido puede acertar este punto, así que un saludo personal no es un certificado de buena salud — solo elimina una señal.)

3. Fabrica urgencia o miedo

Este es el motor de casi todo correo de phishing: una razón para actuar ahora mismo. «Tu cuenta será suspendida en 24 horas.» «Inicio de sesión sospechoso — verifica de inmediato.» «Tu pago falló, actualiza tus datos para evitar la cancelación.» Las organizaciones legítimas rara vez amenazan con cerrar una cuenta por correo con una cuenta atrás. Trata la presión temporal artificial como una señal de alerta en sí misma.

Una persona en una cafetería usando un portátil que muestra una bandeja de entrada de mensajería mientras sostiene un smartphone con la otra mano — comprobar quién envió realmente un mensaje, en ambas pantallas, antes de actuar.

4. Los enlaces no van adonde dicen

Este es el indicio que desenmascara más phishing. Pasa el cursor sobre un enlace (en ordenador) o mantén pulsado (en el móvil) para previsualizar el destino real antes de hacer clic. Vigila:

  • Un texto visible que dice una cosa mientras la URL real apunta a otra parte.
  • Un dominio clon — palabras añadidas antes del real (paypal.com.secure-login.net), caracteres cambiados (paypa1.com, rnicrosoft.com), o una extensión de país poco habitual.
  • Acortadores de enlaces que ocultan la dirección final.

En caso de duda, no hagas clic en el enlace en absoluto. Abre una pestaña nueva y escribe tú mismo la dirección del sitio, o usa tu marcador, y luego inicia sesión allí.

5. Empuja un adjunto inesperado

Una factura, un aviso de paquete o un «mensaje de voz» que no esperabas es un método clásico de entrega del phishing. Desconfía sobre todo de los adjuntos que te piden «habilitar el contenido», «habilitar macros» o «habilitar la edición» — esa indicación existe para ejecutar código en tu máquina. Documentos de Office, archivos .html y ficheros .zip de un desconocido son de alto riesgo. Si no lo pediste, no lo abras. (Los adjuntos son también la vía de entrada de mucho malware.)

6. Pide credenciales, códigos o datos de pago

Ningún servicio legítimo te escribirá para pedirte tu contraseña, número completo de tarjeta o código de dos factores. Tu banco nunca necesitará tu usuario por respuesta. Un mensaje que te pide «confirmar» esos datos — o mover dinero «para ponerlo a salvo» — es phishing hasta que se demuestre lo contrario. Lo mismo con los códigos de un solo uso: un atacante que ya tiene tu contraseña solo necesita que le leas el código.

7. La redacción tiene pequeños indicios

El phishing moderno puede estar muy pulido, así que esta es la señal más débil — pero aún ayuda. Vigila una redacción algo torpe, un branding incoherente, logotipos estirados o de baja resolución, pies de página que no encajan, o un correo que mezcla lenguaje formal y descuidado. Cualquiera de ellos junto a otra señal inclina la balanza hacia «eliminar».

Una lista rápida

Antes de hacer clic en nada dentro de un correo que pide acción, pregúntate:

  1. ¿La dirección real del remitente es el propio dominio de la marca?
  2. ¿Es un saludo genérico en lugar de mi nombre?
  3. ¿Empuja a la urgencia o a una amenaza?
  4. ¿Adónde apuntan realmente los enlaces al pasar el cursor?
  5. ¿Hay un adjunto inesperado que me pide habilitar algo?
  6. ¿Pide una contraseña, un código o un dato de pago?
  7. ¿Hay redacción, logotipos o pies de página extraños?

Dos «sí» o más significan: para y verifica por un canal de confianza.

Qué hacer cuando detectas uno

  • No hagas clic, no respondas, no abras adjuntos. Responder confirma que tu dirección está activa.
  • Verifica por otro canal. Si dice ser tu banco, llama al número de tu tarjeta — nunca a uno del mensaje.
  • Repórtalo y luego elimínalo. La mayoría de las apps de correo tienen un botón «Reportar phishing»; reportarlo ayuda al proveedor a bloquear la campaña para los demás también.
  • Si ya hiciste clic o introdujiste una contraseña, cámbiala de inmediato en el sitio real, y en cualquier otra cuenta que la reutilizara.

Un gestor de contraseñas atrapa el enlace que se te escapó

Incluso un lector cuidadoso puede caer ante una página clon perfecta. Ahí es donde un gestor de contraseñas gana su sitio en silencio. Vincula cada inicio de sesión guardado al dominio real exacto al que pertenece — así que en una página de phishing alojada en otra dirección, simplemente no ofrecerá autocompletar tus credenciales. Esa negativa silenciosa suele ser la señal más clara de que una «página de inicio de sesión» es falsa, y te impide escribir tu contraseña en el lugar equivocado.

Y un segundo factor frena la contraseña robada

Identificar el phishing es tu primera línea de defensa, pero nunca serás perfecto — así que construye una red. Con la verificación en dos pasos activada, una contraseña que te roben por phishing no basta por sí sola para entrar; harían falta también tu segundo factor. Una app de autenticación o una llave de hardware es más fuerte que el SMS, que puede ser interceptado.

Para recordar, con honestidad

No detectas el phishing con un único indicio mágico — lo detectas yendo más despacio y recorriendo una lista corta: quién lo envió de verdad, a qué te presiona, adónde van sus enlaces y qué pide. Adopta esos hábitos y, detrás de ellos, pon un gestor de contraseñas y la verificación en dos pasos, y un correo de phishing convincente se convierte en un susto sin consecuencias en lugar de una cuenta robada.