Phishing en el Correo: Cómo Detectarlo y Protegerte en 2026
Publicado · Actualizado · 7 min lectura
El phishing por correo electrónico está en máximos históricos en 2026. Los criminales imitan a la perfección correos de bancos, PayPal, Amazon, Google y hasta de tus amigos. Saber cómo detectar phishing en el correo puede salvarte de perder tu cuenta, tu dinero o tu identidad.
¿Qué es el Phishing por Correo Electrónico?
El phishing (del inglés "fishing", pescar) es un tipo de ataque donde los criminales te envían correos haciéndose pasar por alguien de confianza — tu banco, PayPal, Amazon, Google, o incluso un amigo — con el objetivo de:
Robar tus contraseñas llevándote a páginas falsas idénticas a las reales
Capturar datos bancarios o números de tarjeta
Instalar malware al abrir archivos adjuntos
Obtener información personal para suplantación de identidad
🚨 Dato alarmante: El 91% de los ciberataques comienzan con un correo de phishing. En 2025 se enviaron más de 3,400 millones de correos de phishing al día a nivel mundial.
12 Señales de Alerta para Detectar Phishing
1
El remitente usa un dominio falso: Un correo de "PayPal" que viene de paypa1.com, paypal-seguridad.net o support@paypal.helpdesk.ru es phishing. Verifica siempre el dominio completo después del @.
2
Urgencia y amenazas: "Tu cuenta será suspendida en 24 horas", "Actividad sospechosa detectada", "Confirma tu identidad ahora o perderás el acceso". Las empresas legítimas no te dan ultimátums por correo.
3
Los enlaces no coinciden: Pasa el cursor (sin hacer clic) sobre cualquier botón o link. La URL real que aparece abajo del navegador debería ser el sitio oficial. Si ves algo diferente, es phishing.
4
Te piden contraseñas o datos bancarios: Ninguna empresa legítima pide tu contraseña, PIN, número completo de tarjeta o clave de seguridad por correo. NUNCA.
5
Errores de ortografía y gramática: "Estimado Cliënte, su cuënta ha sido suspenida". Los errores extraños, acentos mal puestos o frases que parecen traducidas son señales claras de phishing.
6
Saludo genérico: "Estimado usuario" o "Querido cliente" en lugar de tu nombre. Tu banco sabe cómo te llamas y lo usa en sus correos reales.
7
Archivos adjuntos inesperados: Facturas que no pediste, documentos de "tu banco", archivos .exe, .zip, Word con macros o PDFs con formularios. Si no lo esperabas, no lo abras.
8
Premios o herencias inesperadas: "¡Ganaste un iPhone 16!", "Un familiar lejano en Nigeria te dejó $4.5 millones". Clásico, pero siguen funcionando.
9
El correo viene de alguien conocido pero es raro: El phishing de "spear phishing" suplanta amigos o compañeros. Si tu jefe te pide transferir dinero urgente por correo, llámale para confirmar.
10
La web a la que te llevan no tiene HTTPS o el candado: Si al hacer clic llegas a una web sin candado 🔒 o con una URL extraña, cierra inmediatamente.
11
Solicitudes de reenvío o confirmación de datos: "Para verificar tu cuenta, envía una foto de tu DNI o pasaporte". Las empresas no funcionan así por correo.
12
El correo no estaba esperado: Si recibes un enlace sospechoso, pásalo por Expandir.link para ver a dónde realmente te lleva. ¿Recibiste un aviso de entrega de un paquete que no pediste? ¿Un pago confirmado de algo que no compraste? Nunca hagas clic — ve directamente a la web del servicio.
Cómo Verificar si un Correo es Legítimo
Verificar el encabezado del correo
Los expertos revisan los encabezados técnicos del correo para ver la ruta real que siguió. En Gmail:
Abre el correo → clic en "⋮" (tres puntos) → "Mostrar original"
Busca la línea "From:" en el encabezado — muestra el remitente real
Busca "Authentication-Results" — un correo legítimo debería pasar DKIM y SPF
Comprobar la URL antes de hacer clic
En PC: pasa el cursor sobre el link sin hacer clic. La URL aparece en la barra inferior del navegador. También puedes usar Expandir.link para expandir URLs cortas y verificar si son seguras antes de abrirlas.
En móvil: mantén presionado el link. Aparecerá un menú con la URL real.
🔍 Herramienta gratuita: Pega cualquier URL sospechosa en VirusTotal.com antes de visitar el sitio. Analiza el link contra 70+ motores de seguridad.
¿Qué Hacer si Caíste en el Phishing?
Si hiciste clic y diste tus datos, actúa rápido:
Cambia la contraseña inmediatamente en el servicio afectado (banco, Gmail, PayPal)
Activa la verificación en dos pasos si aún no la tienes
Notifica a tu banco si diste datos financieros — pueden bloquear transacciones sospechosas
Revisa los movimientos bancarios de los últimos días
Ejecuta un análisis antivirus completo en tu dispositivo
Reporta el phishing a tu proveedor de correo y a las autoridades
⚠️ Actúa en las primeras 2 horas. Los criminales suelen usar los datos robados casi inmediatamente. Mientras más rápido actúes, más posibilidades de minimizar el daño.
Cómo Protegerte del Phishing de Forma Permanente
Activa la verificación en dos pasos (2FA)
Incluso si el atacante roba tu contraseña, con 2FA no puede acceder sin el código de tu móvil. Es la protección más importante que puedes activar. Hazlo en todas tus cuentas: Gmail, banco, redes sociales.
Usa un gestor de contraseñas
Herramientas como Bitwarden (gratis) o 1Password solo autorellenan la contraseña en el sitio correcto. Si estás en una web falsa, el gestor no completará nada — señal de alerta automática.
Actualiza tu cliente de correo
Las versiones actualizadas de Gmail, Outlook y otros proveedores incluyen detección de phishing mejorada que bloquea muchos ataques automáticamente.
Aprende a reconocer el "spear phishing"
El spear phishing ataca con información personalizada: conocen tu nombre, empresa y a veces hasta tu cargo. Confía en tu instinto — si algo no "cuadra", verifica por otro canal antes de actuar.
Colombia: denuncia en el CAI virtual de la Policía Nacional
APWG: reportphishing@apwg.org
Preguntas Frecuentes sobre Phishing en el Correo
¿Qué es el phishing y cómo funciona?
El phishing es un tipo de fraude donde criminales se hacen pasar por empresas o personas de confianza para robar contraseñas, datos bancarios o información personal. Crean webs falsas idénticas a las reales y engañan a la víctima para que ingrese sus datos.
¿Qué hago si hice clic en un enlace de phishing?
1) No ingreses ningún dato si todavía no lo hiciste. 2) Cambia inmediatamente la contraseña del servicio afectado. 3) Activa la verificación en dos pasos. 4) Reporta el phishing a Google o a tu banco. 5) Ejecuta un análisis antivirus completo.
¿El antivirus protege contra el phishing?
Parcialmente. Los antivirus modernos bloquean webs maliciosas conocidas. Pero la mejor protección eres tú: ningún software reemplaza la verificación manual del remitente y los enlaces antes de hacer clic.
¿Cómo saber si un correo de mi banco es real?
Tu banco NUNCA te pedirá contraseñas, claves completas ni PINs por correo. Si recibes algo así, es fraude. Llama al número oficial de tu banco (el del reverso de tu tarjeta) para verificar cualquier comunicación sospechosa.
¿Pueden robarme solo con abrir un correo?
En general, abrir un correo de texto es seguro. El riesgo viene al hacer clic en enlaces o abrir archivos adjuntos. Sin embargo, desactiva la carga automática de imágenes en correos desconocidos para no confirmar que tu email está activo.
¿Cómo reportar un correo de phishing?
En Gmail: Abrir el correo → ⋮ → Denunciar phishing. En Outlook: Clic derecho → Phishing → Denunciar. También puedes reportar en safebrowsing.google.com, reportphishing@apwg.org o al INCIBE en España.
Conclusión
El phishing es cada vez más sofisticado, pero con conocimiento eres casi inmune. Recuerda: verifica el remitente, no hagas clic en urgencias, y nunca des contraseñas por correo. Activa la verificación en dos pasos hoy mismo.
¿Recibiste un correo sospechoso y no sabes si es phishing? Pregúntale a nuestra IA — analiza contigo si el correo es seguro.