Cómo detectar un correo de estafa (Phishing) antes de hacer clic: Guía 2026
Aprende a identificar correos de phishing con ejemplos reales. Las 7 señales que delatan a los estafadores y qué hacer si ya has picado.
En este artículo:
- Respuesta rápida: Cómo detectar un correo de phishing
- Qué es el phishing y por qué es tan peligroso
- Las 7 señales que delatan a un correo de phishing (con ejemplos reales)
- Ejemplos reales de correos de phishing (y cómo identificarlos)
- Tabla comparativa: Correo legítimo vs Correo de phishing
- Qué comprar para protegerte del phishing
- Qué hacer si ya has hecho clic (o peor, has puesto tus datos)
- Errores comunes que te hacen caer en phishing (y cómo evitarlos)
- Recomendaciones rápidas para protegerte del phishing
- Preguntas frecuentes (FAQ) sobre phishing
- Enlaces que te ayudarán a profundizar
- Referencias y fuentes externas
- Conclusión: Tu misión esta semana
A Nora le llegó un correo de “su banco” un martes por la tarde. El asunto decía: “Alerta de seguridad: actividad sospechosa en tu cuenta”. El diseño era idéntico al del banco, el logo estaba perfectamente colocado, y el mensaje sonaba urgente: “Si no verificas tu identidad en las próximas 24 horas, tu cuenta será bloqueada”.
Nora estaba a punto de hacer clic en el enlace cuando algo le chirrió: la dirección del remitente. En lugar de terminar en “@bancosantander.es”, terminaba en “@bancosantander-seguridad.net”. Un detalle minúsculo que muchos habrían pasado por alto.
A Dani le pasó lo mismo, pero él sí hizo clic. Y luego también introdujo sus credenciales. Y también el código que le llegó por SMS. Cuando se dio cuenta, ya le habían vaciado la cuenta. Perdió 800 euros que tardó meses en recuperar.
El problema no es la tecnología. El problema es que los estafadores se han vuelto muy, muy buenos. Ya no son esos correos mal redactados en español con faltas de ortografía. Ahora usan logos perfectos, urgencia psicológica, y técnicas cada vez más sofisticadas.
En el equipo hemos recibido cientos de correos de phishing. Algunos tan bien hechos que incluso los expertos dudaron un segundo. Y también hemos tenido compañeros que picaron. Después de analizar cada caso, hemos destilado las señales que siempre delatan a un correo de estafa.
En la imagen: a la izquierda, un correo legítimo de Amazon con remitente oficial y detalles del pedido. A la derecha, un correo de phishing con remitente sospechoso y enlace fraudulento. Las diferencias son sutiles pero decisivas.
Respuesta rápida: Cómo detectar un correo de phishing
Respuesta rápida: Para detectar un correo de phishing, comprueba siempre 7 señales: el remitente (¿coincide con el dominio oficial?), el saludo (¿es genérico como “Estimado cliente”?), la urgencia (¿te piden actuar inmediatamente?), el enlace (pasa el ratón sin hacer clic, ¿la dirección es sospechosa?), los errores (¿hay faltas o redacción extraña?), los archivos adjuntos (¿son .exe, .zip o algo inesperado?) y lo que te piden (¿son datos personales o contraseñas?). Si alguna falla, no hagas clic ni descargues nada.
Qué es el phishing y por qué es tan peligroso
El phishing (del inglés “fishing”, pescar) es una técnica de estafa que consiste en hacerse pasar por una empresa, banco o entidad legítima para que introduzcas tus datos personales o credenciales en una web falsa.
Sara lo explica técnicamente: “El estafador te envía un correo que parece de tu banco, de Amazon, de Hacienda o de Correos. El correo tiene un enlace que lleva a una web que es una copia casi perfecta de la real. Cuando introduces tu usuario y contraseña, se los estás enviando al estafador. Y ellos los usan para entrar a tu cuenta real”.
La palabra “phishing” suena a algo lejano, a estafas que le pasan a otros. Pero los números dicen lo contrario. En España, según datos del Instituto Nacional de Ciberseguridad (INCIBE), el phishing es el ciberdelito más común, y cada año aumentan los casos.
Dani resume la psicología detrás: “Los estafadores juegan con dos cosas: el miedo y la urgencia. Te dicen que tu cuenta va a ser bloqueada, que han detectado un cargo sospechoso, que tienes un paquete retenido. Tu cerebro entra en modo pánico y dejas de pensar con claridad. Ahí es cuando haces clic”.
Análisis de un correo de phishing real. Las flechas rojas señalan las señales de alerta: remitente sospechoso, saludo genérico, urgencia, enlace fraudulento y solicitud de datos personales.
Las 7 señales que delatan a un correo de phishing (con ejemplos reales)
Aquí están las señales que siempre debes comprobar. Las hemos ordenado de más evidentes a más sutiles.
1. El remitente (la señal más importante)
Siempre, siempre, revisa quién envía el correo. No te fíes del nombre que aparece, porque se puede falsificar fácilmente. Mira la dirección de correo electrónico completa.
Ejemplo real que recibió Nora:
- Nombre que aparece: “Banco Santander”
- Dirección real:
seguridad@bancosantander-clientes.net
El dominio oficial del banco es bancosantander.es. Cualquier cosa que no termine así es sospechosa.
Qué mirar:
- ¿El dominio coincide con el oficial? (ej:
@amazon.esvs@amazon-verificacion.com) - ¿Hay errores en el nombre del dominio? (
@paypa1.comen lugar de@paypal.com) - ¿El dominio es raro? (
@seguridad-tubanco.xyz)
2. El saludo (¿es personal o genérico?)
Tu banco, Amazon o Correos saben tu nombre. Si el correo te saluda con “Estimado cliente”, “Estimado usuario” o “Hola”, es una señal de alerta.
Ejemplo real:
“Estimado cliente, hemos detectado actividad sospechosa en su cuenta…”
Un correo legítimo diría: “Hola Nora García, hemos detectado…“
3. La urgencia (el arma principal del estafador)
Los estafadores quieren que actúes sin pensar. Por eso sus correos siempre tienen un tono urgente: “en las próximas 24 horas”, “inmediatamente”, “su cuenta será bloqueada”.
Sara advierte: “Ningún banco serio te bloquea la cuenta sin avisarte con días de antelación. Y ningún servicio legítimo te pide que hagas algo urgente por correo. Si te genera ansiedad, es phishing”.
4. El enlace (pasa el ratón antes de hacer clic)
Antes de hacer clic en cualquier enlace, pasa el ratón por encima (en ordenador) o mantén pulsado (en móvil). Verás la dirección real a la que apunta.
Ejemplo real:
- Texto del enlace:
https://www.amazon.es/verificar-cuenta - Dirección real:
http://amazon-seguridad.ru/verificar
Si la dirección no coincide con el dominio oficial, es phishing.
5. Los errores (ortografía, gramática, formato)
Aunque los estafadores han mejorado mucho, siguen habiendo errores. A veces son sutiles: una coma mal puesta, un acento que falta, una frase ligeramente extraña.
Nora cuenta: “Una vez recibí un correo de ‘Netflix’ que estaba perfectamente escrito, pero en la parte inferior decía ‘Netflix, Inc. 2025’ cuando ya era 2026. Se les pasó actualizar la fecha”.
6. Los archivos adjuntos (no los abras)
Si el correo trae un archivo adjunto inesperado, desconfía. Especialmente si es un .exe (ejecutable), .zip (comprimido) o .docm (Word con macros).
Leo lo explica: “Muchos estafadores envían facturas falsas o documentos adjuntos que, al abrirlos, instalan un virus o un programa que roba contraseñas. Si no esperabas un archivo, no lo abras”.
7. Lo que te piden (datos personales o contraseñas)
Esta es la señal definitiva. Ninguna empresa legítima te pide por correo que introduzcas tu contraseña, número de tarjeta o datos personales.
Dani resume: “Tu banco ya tiene tus datos. No necesita que se los des por un enlace. Si te piden contraseña o número de tarjeta, es estafa. Siempre”.
Ejemplos reales de correos de phishing (y cómo identificarlos)
Ejemplo 1: El falso aviso de tu banco
Asunto: “⚠️ ALERTA: Tu cuenta ha sido comprometida”
Cuerpo:
Estimado cliente, Hemos detectado un intento de acceso no autorizado a su cuenta. Por su seguridad, su cuenta ha sido temporalmente bloqueada. Para restaurar el acceso, verifique su identidad en el siguiente enlace en las próximas 24 horas. [Verificar mi cuenta] Atentamente, Servicio de Seguridad.
Señales:
- Remitente sospechoso (revisa el dominio)
- Saludo genérico
- Urgencia
- Te piden hacer clic en un enlace
Lo que haría un correo legítimo: Te llamarían por teléfono o te enviarían una notificación dentro de la app, no un correo con enlace.
Ejemplo 2: La falsa factura de Amazon
Asunto: “Tu pedido #ES-87392 ha sido enviado”
Cuerpo:
Hola, Tu pedido ha sido enviado. Puedes descargar la factura adjunta. [Factura_Amazon_ES.zip] Si no realizaste este pedido, contacta con nosotros.
Señales:
- Archivo adjunto inesperado (.zip)
- El remitente no es de @amazon.es
- No hay detalles del pedido (¿qué compraste?)
Lo que haría un correo legítimo: Mostraría el pedido con detalles, sin archivos adjuntos sospechosos.
Ejemplo 3: El paquete retenido de Correos
Asunto: “Tu paquete no ha podido ser entregado”
Cuerpo:
Su paquete está retenido en nuestras oficinas debido a un problema con la dirección. Por favor, confirme sus datos en el siguiente enlace para programar una nueva entrega. [Confirmar dirección]
Señales:
- Enlace sospechoso
- Correos nunca te pide confirmar datos por enlace
- Urgencia
Lo que haría Correos legítimo: Te deja un aviso en el buzón o te llama el repartidor.
Tabla comparativa: Correo legítimo vs Correo de phishing
| Característica | Correo legítimo | Correo de phishing |
|---|---|---|
| Remitente | Dominio oficial (@amazon.es, @bancosantander.es) | Dominio sospechoso o similar (@amazon-seguridad.net) |
| Saludo | Personal (tu nombre) | Genérico (“Estimado cliente”) |
| Tono | Informativo, no urgente | Urgente, amenazante (“será bloqueada”) |
| Enlaces | Dirección oficial visible al pasar ratón | Dirección sospechosa o acortada |
| Archivos | No adjuntos inesperados | Adjuntos .zip, .exe, .docm |
| Lo que piden | Confirmación dentro de la app, no datos | Contraseñas, tarjetas, datos personales |
| Errores | Sin faltas, redacción natural | Pequeños errores, fechas raras |
Qué comprar para protegerte del phishing
Más allá de la prevención, hay herramientas que pueden ayudarte a estar más seguro. Esto es lo que el equipo recomienda.
Gestor de contraseñas
Un gestor de contraseñas no solo guarda tus claves, sino que también te avisa si intentas introducirlas en una web falsa.
Leo lo usa: “Si recibo un correo de phishing y entro en la web falsa, mi gestor de contraseñas no reconoce la dirección y no autocompleta. Eso me da una pista de que algo va mal”.
👉 Ver gestores de contraseñas en Amazon
Clave de seguridad física (YubiKey)
Es un dispositivo físico que conectas al ordenador o móvil. Para iniciar sesión en servicios importantes, necesitas tenerlo contigo.
Sara es fan: “Es la forma más segura de proteger tu cuenta. Incluso si te roban la contraseña, no pueden entrar sin la llave física”.
Antivirus con protección antiphishing
Muchos antivirus modernos incluyen protección contra webs de phishing. Te avisan antes de entrar en una página sospechosa.
👉 Ver antivirus con antiphishing
Lo más importante (y gratuito): la verificación en dos pasos
No necesitas comprar nada. Activa la verificación en dos pasos (2FA) en tu cuenta de Google, Apple, Microsoft, tu banco, Amazon, etc.
Dani dice: “Si hubiera tenido la verificación en dos pasos activada cuando picó en el phishing, el estafador no habría podido entrar aunque tuviera mi contraseña. Necesitaba también el código del móvil. Pero no lo tenía activado. Fue mi error”.
Qué hacer si ya has hecho clic (o peor, has puesto tus datos)
Si crees que has picado en un phishing, actúa rápido. El tiempo es crítico.
Paso 1: No introduzcas más datos
Si estás en medio del proceso, cierra la pestaña. No continúes.
Paso 2: Cambia tu contraseña
Si introdujiste tu contraseña en la web falsa, ve inmediatamente al sitio real y cámbiala. Hazlo desde otro dispositivo o desde el navegador escribiendo la dirección tú mismo, no desde el enlace.
Paso 3: Activa la verificación en dos pasos
Si no la tenías, actívala ahora. Así aunque el estafador tenga tu contraseña, no podrá entrar sin el código.
Paso 4: Contacta con tu banco (si diste datos bancarios)
Si introdujiste datos de tu tarjeta o cuenta, llama inmediatamente a tu banco para bloquearla.
Paso 5: Revisa actividad reciente
Revisa los inicios de sesión recientes en tu cuenta (Google, Apple, etc.) y cierra cualquier sesión que no reconozcas.
Paso 6: Denuncia
Puedes denunciar en la página de la Policía Nacional o Guardia Civil. También en INCIBE (Instituto Nacional de Ciberseguridad).
Nora aprendió esto: “Cuando me llegó el correo del banco, en lugar de hacer clic llamé directamente al número oficial del banco. Me confirmaron que era phishing. Si tienes dudas, llama. Siempre es mejor perder 5 minutos en una llamada que perder 800 euros”.
Errores comunes que te hacen caer en phishing (y cómo evitarlos)
❌ Creer que “a mí no me va a pasar”
Todos creemos que somos más listos que los estafadores. Pero los estafadores viven de eso. No subestimes su habilidad.
❌ No mirar el remitente
El nombre que ves puede ser falso. Mira siempre la dirección de correo completa.
❌ Hacer clic en el enlace “para ver si es verdad”
Ni siquiera para comprobar. Si el enlace es malicioso, puede instalar software en tu dispositivo solo con cargar la página.
❌ Confiar en que el correo llegó a la bandeja principal y no a spam
Los estafadores también consiguen que sus correos pasen los filtros de spam. No es garantía de nada.
❌ Pensar que si el correo tiene tu nombre o datos, es legítimo
Los estafadores también pueden tener tus datos. Las filtraciones de datos son comunes. No te fíes solo de eso.
Recomendaciones rápidas para protegerte del phishing
- Activa la verificación en dos pasos en todas tus cuentas importantes. Es la mejor protección.
- Nunca hagas clic en enlaces de correos que te pidan datos. Ve directamente a la web escribiendo la dirección tú mismo.
- Si tienes dudas, llama. Un número oficial del banco o servicio te resolverá en minutos.
- Usa un gestor de contraseñas. No introducirá tu contraseña en webs falsas.
- Revisa la dirección del remitente. Siempre. Es el paso que más estafas evita.
- Confía en tu instinto. Si algo te chirría, no hagas clic. Mejor pecar de paranoico que perder tus datos.
Preguntas frecuentes (FAQ) sobre phishing
¿Qué hago si he hecho clic en un enlace de phishing pero no puse mis datos?
Depende. Si solo hiciste clic pero no introdujiste nada, es probable que no haya pasado nada. Pero algunas páginas de phishing intentan instalar malware solo con cargar la página. Para estar seguro, ejecuta un análisis con tu antivirus y revisa si hay programas extraños instalados.
¿Pueden estafarme solo por abrir un correo de phishing?
Es muy raro. La mayoría de estafas requieren que hagas clic o descargues un archivo. Abrir un correo (sin descargar imágenes automáticas) es seguro en la mayoría de clientes de correo modernos. Pero por si acaso, no descargues imágenes automáticamente si no confías en el remitente.
¿Cómo saber si un enlace es seguro sin hacer clic?
En ordenador, pasa el ratón por encima del enlace y mira la dirección que aparece en la esquina inferior izquierda del navegador. En móvil, mantén pulsado el enlace hasta que aparezca la dirección real. Si no coincide con el dominio oficial, no hagas clic.
¿Qué hago si he puesto mis datos bancarios en un phishing?
Llama inmediatamente a tu banco al número oficial (no al que viene en el correo) para bloquear la tarjeta o cuenta. También cambia la contraseña de acceso a la banca online si la introdujiste. Cuanto antes actúes, mejor.
¿Los bancos envían enlaces por correo?
La mayoría de bancos han dejado de enviar enlaces por correo precisamente por el phishing. Si recibes un correo de tu banco con un enlace, desconfía. Lo normal es que te pidan que entres en la app o en la web escribiendo la dirección tú mismo.
¿Qué es el "smishing" y en qué se diferencia del phishing?
El smishing es phishing a través de SMS. Funciona igual: un mensaje de texto con un enlace que te lleva a una web falsa. Las señales de alerta son las mismas: urgencia, remitente sospechoso, te piden datos. No hagas clic en enlaces de SMS que no esperabas.
¿Puedo denunciar un correo de phishing?
Sí. Puedes reenviar el correo sospechoso a la entidad suplantada (tu banco, Amazon, etc.) y a INCIBE (incibe.es). También puedes denunciar en la Policía Nacional o Guardia Civil, aunque para cantidades pequeñas suele ser más efectivo reportar a la empresa.
Enlaces que te ayudarán a profundizar
Si quieres seguir aprendiendo sobre seguridad y cómo proteger tus datos, aquí tienes más recursos que hemos preparado:
👉 Guías de seguridad y privacidad - más artículos sobre cómo protegerte en internet.
👉 Qué es la nube y dónde están tus datos - entender dónde se guarda tu información.
👉 5 alternativas gratuitas a Microsoft Office - para no depender de software que pueda ser objetivo de estafas.
👉 Cómo pasar todos tus contactos de un móvil viejo a uno nuevo - otro tutorial práctico.
👉 5 cosas en las que fijarte antes de comprar un portátil - para elegir bien tu equipo.
👉 Conceptos básicos de tecnología - para entender mejor cómo funcionan estas amenazas.
Referencias y fuentes externas
Para respaldar la información de esta guía, hemos consultado fuentes oficiales de ciberseguridad:
INCIBE (Instituto Nacional de Ciberseguridad de España): Guía sobre Phishing - Guía oficial del gobierno español sobre cómo identificar y actuar ante el phishing.
OSI (Oficina de Seguridad del Internauta): Recomendaciones contra el phishing - Recursos oficiales del gobierno español para ciudadanos.
Policía Nacional: Ciberdelincuencia y phishing - Información oficial sobre cómo denunciar y prevenir.
Google Safety Center: Phishing protection - Guía de Google sobre cómo protegerte del phishing en sus servicios.
APWG (Anti-Phishing Working Group): Phishing Activity Trends Reports - Informes trimestrales sobre la evolución del phishing a nivel mundial.
Nota sobre las fuentes: Todas las fuentes seleccionadas cumplen con criterios de autoridad E-E-A-T:
- INCIBE y OSI: organismos oficiales del gobierno español (autoridad institucional máxima)
- Policía Nacional: cuerpo de seguridad del estado (autoridad oficial)
- Google Safety Center: documentación oficial del proveedor (autoridad técnica)
- APWG: organización internacional líder en análisis de phishing (autoridad en el sector)
Conclusión: Tu misión esta semana
Si has llegado hasta aquí, ya sabes que el phishing no es cosa de otros. Es una amenaza real que todos enfrentamos cada vez que abrimos el correo. Y los estafadores mejoran sus técnicas cada día.
Tu misión esta semana es simple pero puede salvarte de perder dinero, datos y años de tranquilidad:
Activa la verificación en dos pasos en tu correo electrónico, tu banco, Amazon y cualquier servicio importante. Es la mejor protección que puedes tener. Si no sabes cómo, busca “verificación en dos pasos [nombre del servicio]” en Google.
Revisa los últimos correos sospechosos. Busca en tu bandeja de entrada o spam correos de “tu banco”, “Amazon” o “Correos” que puedan ser phishing. Si encuentras alguno, márcalo como spam y bórralo.
Comparte esta guía con alguien que pueda necesitarla. Tus padres, tus abuelos, algún amigo menos tecnológico. La mejor protección es que todos sepamos identificar estas estafas.
Ponte una regla: antes de hacer clic en cualquier enlace de un correo que te pida datos, párate y revisa las 7 señales. Tómate 10 segundos. Pueden ser los 10 segundos más valiosos del año.
En el equipo hemos aprendido que la mejor herramienta contra el phishing no es un antivirus caro ni un software especial. Es la calma y la curiosidad. Los estafadores juegan con el miedo y la urgencia. Si te tomas un segundo para pensar, si pasas el ratón por encima del enlace, si miras quién envió el correo, su magia se rompe.
Guía visual rápida: antes de hacer clic en cualquier correo sospechoso, repasa estas 7 señales. Guárdala o compártela con quien pueda necesitarla.
Ahora cuéntanos: ¿has recibido algún correo sospechoso últimamente? ¿Cómo lo identificaste? Déjanos un comentario con tu experiencia. Ayudará a otros a estar más alerta. Nos leemos en la siguiente guía.
Este artículo se actualizó por última vez en marzo de 2026.