Recibir un correo falso que parece venir de tu banco, de Amazon o de la Agencia Tributaria es algo que le ocurre a prácticamente todo el mundo. La mayoría son fáciles de identificar si sabes exactamente dónde mirar. El problema es que muchas personas no saben qué analizar más allá del aspecto visual, y los atacantes lo aprovechan.
En esta guía vas a aprender a diseccionar un correo sospechoso en menos de treinta segundos para saber con certeza si es legítimo o una trampa.
⚠️ Por qué el aspecto visual no es suficiente
Los correos de phishing modernos son visualmente casi perfectos. Copian el logo, los colores, la tipografía y el tono de las empresas que imitan. Ver un correo que parece de tu banco no significa que lo sea. Necesitas ir más allá de lo que ves a primera vista.
🔎 Cómo analizar un correo sospechoso paso a paso
Paso 1 — Mira la dirección real del remitente, no el nombre
El nombre que aparece en el campo «De» puede ser cualquier cosa — «Banco Santander», «Amazon», «Soporte Google» — porque ese campo es completamente manipulable. Lo que no se puede falsificar fácilmente es la dirección de correo real.
Para verla en Gmail, haz clic en el nombre del remitente y aparecerá la dirección completa. En Outlook pasa el cursor por encima del nombre. En el móvil, toca el nombre del remitente.
Lo que debes buscar es el dominio — la parte después del @. Ejemplos reales de phishing detectados en España:
soporte@banco-santander-alertas.com— no es Santander, cuyo dominio real es@bancosantander.esnoreply@amazon-seguridad.net— no es Amazon, cuyo dominio es@amazon.esnotificaciones@correos-paquete.com— no es Correos, cuyo dominio es@correos.eshacienda@agencia-tributaria-online.es— no es la AEAT, cuyo dominio es@agenciatributaria.gob.es
La regla es simple: si el dominio no es exactamente el dominio oficial de la empresa, el correo es falso independientemente de todo lo demás.
Paso 2 — Analiza los enlaces sin hacer clic
En un ordenador, pasa el cursor por encima de cualquier enlace del correo sin hacer clic. En la parte inferior de la pantalla verás la URL real a la que llevaría ese enlace. Compárala con el dominio oficial.
En el móvil, mantén pulsado el enlace durante un segundo para ver una vista previa de la URL antes de abrirla.
Señales de alerta en las URLs:
- El dominio no coincide con la empresa:
verificar-cuenta.bancosantander-online.com - Usa HTTP en lugar de HTTPS
- Incluye números o caracteres extraños:
amazon.es.verificacion123.com - Usa acortadores de URL que ocultan la dirección real:
bit.ly/xxxxx
Paso 3 — Lee el cuerpo del correo buscando incoherencias
Los correos de phishing suelen tener señales en el texto que los delatan aunque el diseño sea bueno. Busca:
Saludos genéricos como «Estimado cliente» o «Estimado usuario» en lugar de tu nombre. Las empresas legítimas suelen personalizar sus correos con tu nombre real.
Urgencia artificial: «Tu cuenta será bloqueada en 24 horas», «Acción requerida inmediatamente», «Último aviso». Esta presión temporal está diseñada para que actúes sin pensar.
Errores sutiles de redacción: frases que suenan ligeramente extrañas, construcciones gramaticales poco naturales o mezcla de idiomas. Muchos correos de phishing están generados o traducidos automáticamente.
Peticiones que ninguna empresa hace por correo: contraseñas, códigos de verificación, datos completos de tarjeta o número de cuenta bancaria. Ningún banco, ninguna plataforma y ningún organismo oficial te pedirá estos datos por email.
Paso 4 — Verifica las cabeceras del correo
Este paso es más técnico pero muy revelador. Las cabeceras de un correo contienen información detallada sobre su origen real. Para verlas:
En Gmail haz clic en los tres puntos del correo → «Mostrar original». En Outlook ve a Archivo → Propiedades. En Apple Mail ve a Visualización → Mensaje → Todas las cabeceras.
Lo que buscas es la línea Return-Path o Reply-To. Si el correo dice venir de @amazon.es pero el Return-Path muestra una dirección completamente diferente, es phishing confirmado.
También busca la línea Received: from — muestra el servidor desde el que se envió realmente el correo. Si un correo supuestamente de tu banco se envió desde un servidor en un país inesperado, es una señal clara.
🚨 Ejemplos reales de phishing habituales en España
Correos falsos de Correos
Es uno de los más comunes. El correo dice que tienes un paquete retenido y que debes pagar una pequeña cantidad de gastos de aduana. El remitente real suele ser algo como info@correos-envios.net o notificacion@correos-paquete.es. El dominio oficial de Correos es @correos.es.
Correos falsos de la Agencia Tributaria
Suelen aparecer en época de declaración de la renta. Dicen que tienes una devolución pendiente o una notificación urgente. El dominio oficial de la AEAT es @agenciatributaria.gob.es. Cualquier otra variación es falsa.
Correos falsos de bancos
Santander, BBVA, CaixaBank y ING son los más imitados. El pretexto habitual es actividad sospechosa en la cuenta o necesidad de verificar la identidad. Los dominios oficiales terminan siempre en .es con el nombre exacto del banco — @bancosantander.es, @bbva.es, @caixabank.es.
Correos falsos de Netflix o plataformas de streaming
Dicen que hay un problema con el pago y que debes actualizar los datos de facturación. El dominio oficial de Netflix es @netflix.com. Cualquier variación como @netflix-pagos.com o @netfix.es es phishing.
🛠️ Herramientas para verificar correos sospechosos
MXToolbox — mxtoolbox.com/EmailHeaders.aspx — analiza las cabeceras de un correo y muestra información detallada sobre su origen real.
Google Message Header Analyzer — disponible buscando «Google Admin Toolbox Message Header» — interpreta las cabeceras de forma visual y clara.
VirusTotal — puedes pegar URLs de correos sospechosos y verificar si están marcadas como maliciosas por algún motor de seguridad.
❓ Preguntas frecuentes
¿Puede un correo de phishing tener el dominio exacto de la empresa? Es muy difícil pero existe una técnica llamada spoofing que permite falsificar el campo «De» para mostrar el dominio real. Sin embargo, el Return-Path y las cabeceras revelarán el origen real. Por eso revisar las cabeceras es más fiable que solo mirar el remitente visible.
¿Es peligroso abrir un correo de phishing sin hacer clic en nada? En la mayoría de casos no. El riesgo real está en hacer clic en enlaces o descargar archivos adjuntos. Algunos correos pueden cargar píxeles de seguimiento al abrirlos, pero eso solo confirma que tu dirección es activa — no compromete tu seguridad directamente.
¿Qué hago si he introducido mis datos en una página de phishing? Cambia inmediatamente la contraseña de la cuenta afectada desde la web oficial — no desde el enlace del correo. Activa la verificación en dos pasos. Si introdujiste datos bancarios, llama a tu banco de inmediato.
¿Cómo sé cuál es el dominio oficial de una empresa? Busca la empresa directamente en Google y entra a su web oficial. La dirección que aparece en la barra del navegador es el dominio oficial. También puedes buscar el dominio en whois.domaintools.com para ver información de registro.
✅ Conclusión
Detectar un correo de phishing no requiere conocimientos técnicos avanzados. Requiere el hábito de mirar la dirección real del remitente, verificar la URL de los enlaces sin hacer clic y desconfiar de cualquier correo que genere urgencia o pida datos sensibles. Esos treinta segundos de análisis pueden evitarte perder el acceso a tus cuentas o tu dinero.
✍️ Artículo elaborado por el equipo de NexoDigital
