Ninguna persona debería entrar en pánico al ver un correo sospechoso. El phishing es común y, aunque muchos mensajes se quedan en la carpeta de spam, no todos los filtros son perfectos. Por eso conviene saber qué hacer si recibes un correo de phishing al encontrarlos. Esta guía, en lenguaje claro y directo, explica las señales más frecuentes y las acciones recomendadas para proteger cuentas y dinero.
Señales claras para detectar un correo de phishing
Asuntos demasiado llamativos
Los estafadores compiten por la atención. Suelen usar palabras como “urgente”, “premio”, “dinero” o “sorteo”. El objetivo es provocar clics rápidos. Si el asunto parece exagerado o fuera de contexto, es una alerta.
Llamadas a la acción sospechosas
El mensaje presiona para hacer clic, pagar o abrir un archivo adjunto. La meta es sacar a la persona del correo y llevarla a un sitio inseguro, donde intentarán robar datos o provocar pagos no necesarios.
Urgencia y tiempo que se agota
Frases como “Caduca en 24 horas” buscan acelerar decisiones sin pensar. Esa prisa es deliberada: si hay pánico, hay menos verificación. La seguridad se basa en lo contrario: calma y comprobación.
Errores de idioma o mezcla de lenguas
Se observan mensajes en varios idiomas a la vez, con fallos extraños de gramática u ortografía. Esa mezcla suele ser señal de automatización o copia y pega desde fuentes dudosas.
Dirección del remitente fuera de lugar
Si el remitente no encaja con la realidad del destinatario (por ejemplo, una cuenta italiana contactando a alguien en Brasil sin contexto), conviene desconfiar. También es típico ver dominios parecidos al original, pero ligeramente alterados.
Qué hacer al encontrar un correo sospechoso
1. Eliminar sin abrir si la sospecha es alta.
2. Reportar el intento de phishing:
• Outlook: usar “Reportar mensaje” → “Phishing” (o “Report message” → “Phishing”).
• Gmail: abrir el menú de tres puntos y elegir “Denunciar phishing”.
3. Bloquear al remitente cuando sea procedente.
4. Avisar al equipo (si aplica), para evitar que otras personas caigan.
Lo que no debes hacer
No abrir archivos adjuntos
Los adjuntos pueden contener malware o redirigir a sitios falsos. Esto incluye imágenes, HTML y hasta “mensajes de voz” en formatos inusuales. Un caso frecuente: un archivo .svg que promete un audio. Al abrirlo, la persona termina en una página que imita Google Voice, y luego en otro sitio que pide usuario y contraseña del correo. El truco: no había audio; era un cebo para robar credenciales.
Regla práctica: si el mensaje no se esperaba, no se abre ningún adjunto. En absoluto.
No hacer clic en enlaces
Es la regla de oro. Muchos correos mezclan idiomas, usan remitentes reales comprometidos o prometen premios. A veces, el enlace aparece dos veces para reforzar la acción. También es común el uso de acortadores como TinyURL para ocultar el destino real. Un enlace que empieza con tinyurl.com/… podría llevar a cualquier lado.
Verificación rápida: pasar el cursor sobre el enlace (sin hacer clic) y ver la URL real. Si hay dudas, mejor no abrir.
No creer en promesas ni amenazas
“¡Felicitaciones! Reclame su premio” o “Se suspenderá la cuenta si no confirma ya” son ganchos conocidos. A veces el correo se ve “más serio” porque usa Google Forms u otras herramientas legítimas. Eso no garantiza seguridad. Si la persona no participó en un sorteo, no hay premio. Si una plataforma grande necesita verificar algo, lo hará desde su sitio oficial, no desde un enlace extraño.
Buenas prácticas adicionales
- Comprobar el dominio del remitente. Diferencias mínimas (mi-banco.com vs. mi-banco.co) lo cambian todo.
- Escribir la dirección oficial en el navegador en vez de usar enlaces del correo.
- Activar la verificación en dos pasos (2FA) en cuentas importantes.
- Actualizar navegador, sistema operativo y aplicaciones.
- Mantener copias de seguridad de la información crítica.
- Capacitar al equipo: compartir ejemplos reales mejora la detección.
- Usar filtros anti‑spam y políticas de seguridad en la organización.
- Centralizar los reportes: un canal interno claro acelera la respuesta.
¿Y si el correo ya se abrió?
- No ingresar contraseñas ni datos de pago.
- Cerrar la pestaña y cambiar contraseñas si se llegó a escribir algo.
- Revisar actividad reciente de la cuenta.
- Aplicar 2FA si aún no está activo.
- Ejecutar un análisis con la solución de seguridad instalada.
- Informar al área de TI o seguridad para evaluar el alcance.
Protección extra con una solución de seguridad
Seguir estas reglas reduce el riesgo de forma notable, pero no lo elimina al 100%. Por eso es recomendable contar con una solución de seguridad fiable que bloquee enlaces y sitios de phishing en tiempo real.
Cada año, laboratorios independientes evalúan productos de ciberseguridad. En junio de 2025, por ejemplo, AV‑Comparatives otorgó el certificado Approved a Kaspersky Premium para Windows por su eficacia contra el phishing. Esa arquitectura tecnológica es común en su portafolio para hogar y empresas, lo que extiende el reconocimiento a otras ediciones (Kaspersky Standard, Plus y Premium) y soluciones corporativas (Kaspersky Endpoint Security for Business y Kaspersky Small Office Security).
Resumen accionable
- Mantener la calma.
- Desconfiar de asuntos exagerados, urgencias y premios.
- No abrir adjuntos ni enlaces no solicitados.
- Verificar remitentes y dominios con cuidado.
- Reportar el phishing en Outlook o Gmail.
- Fortalecer la seguridad con 2FA, actualizaciones y una solución confiable.
- Comunicar internamente para prevenir más incidentes.
Con criterio y una protección adecuada, cualquier persona puede evitar caer en trampas de phishing y cuidar su información.
