Cómo proteger el correo electrónico de los ataques de phishing

Los ataques de phishing por correo electrónico son la forma más habitual de ciberdelito a la que se enfrentan los usuarios de internet. El cifrado de datos entre el servidor y el navegador es el primer paso hacia una comunicación segura. Según las estadísticas de 2025, cada día se envían más de 3.400 millones de correos de phishing, y alrededor del 30 % de los usuarios abre un correo fraudulento. En esta guía te enseñaremos a reconocer un correo de phishing, a protegerte y qué hacer si ya has pulsado un enlace falso.

Qué es un ataque de phishing

El phishing es una técnica de ingeniería social en la que un atacante envía un correo electrónico que parece proceder de una organización legítima: un banco, un proveedor de hosting, una red social o una institución pública. El objetivo es engañarte para que pulses un enlace falso, introduzcas tu contraseña o tus datos personales, o descargues un archivo malicioso. Los atacantes utilizan la psicología del miedo y la urgencia para que reacciones sin pensar.

Existen varios tipos de phishing. El phishing común se envía de forma masiva a miles de usuarios con mensajes genéricos. El spear phishing es un ataque dirigido a una persona o empresa concreta, con contenido personalizado. El whaling apunta a directivos y altos cargos con correos que parecen solicitudes de negocio. El Business Email Compromise (BEC) utiliza direcciones de correo corporativas comprometidas o falsas para solicitar pagos fraudulentos.

Cómo reconocer un correo de phishing

Hay varias señales clave que delatan un correo de phishing. En primer lugar, comprueba la dirección del remitente. Los correos de phishing suelen usar direcciones parecidas a las legítimas con pequeñas diferencias; por ejemplo, "support@beohosting-secure.com" en lugar de "support@beohosting.com", o "noreply@paypai.com" en lugar de "noreply@paypal.com". Lee siempre con atención la dirección de correo completa, no solo el nombre del remitente que se muestra.

En segundo lugar, presta atención al tono del mensaje. Los correos de phishing recurren a menudo a la urgencia y las amenazas: "Tu cuenta se suspenderá en 24 horas", "Acceso no autorizado a tu cuenta", "Última advertencia antes de eliminar la cuenta". Las empresas legítimas nunca exigen una acción urgente por correo ni amenazan con suspender la cuenta sin un aviso previo a través de los canales habituales.

En tercer lugar, comprueba los enlaces antes de pulsarlos. Pasa el cursor por encima del enlace (sin pulsar) y observa la URL que aparece en la esquina inferior izquierda del navegador. Si la URL no pertenece al dominio de la empresa que supuestamente envía el correo, es phishing. Por ejemplo, un enlace que parece decir "Inicia sesión en tu cuenta" pero lleva a "login-beohosting.fake-site.com" es una estafa evidente.

En cuarto lugar, las faltas de ortografía y gramática son una señal habitual de phishing. Las grandes empresas cuentan con traductores y correctores profesionales, así que un correo lleno de errores probablemente no sea legítimo. Asimismo, un saludo genérico como "Estimado cliente" en lugar de tu nombre puede ser una señal de phishing masivo enviado a miles de usuarios.

En quinto lugar, ten cuidado con los archivos adjuntos. Los correos de phishing suelen contener adjuntos maliciosos disfrazados de facturas, pedidos o documentos. Nunca abras un adjunto de un remitente desconocido, sobre todo en formato .exe, .zip, .js o .scr. Incluso los documentos de Word o Excel pueden contener macros maliciosas.

Ejemplos de correos de phishing

Uno de los tipos de phishing más habituales imita a un banco: "Estimado cliente, hemos detectado actividad no autorizada en su cuenta. Pulse aquí para confirmar su identidad." El enlace lleva a una copia perfecta del sitio del banco, donde introduces el usuario y la contraseña que van directos al atacante. Un banco real te llamaría por teléfono o te enviaría un mensaje a través de su aplicación móvil oficial.

Otro tipo frecuente imita a un proveedor de hosting o de correo electrónico: "Su dominio caduca en 24 horas. Renuévelo de inmediato para no perder su sitio." El enlace lleva a un sitio falso donde introduces los datos de tu tarjeta de crédito. Un proveedor de hosting real te avisaría con semanas de antelación y te permitiría renovar a través de tu panel de cliente, no mediante un enlace de un correo.

El tercer tipo son las facturas o los pedidos falsos: "Adjuntamos la factura de su último pedido por 2.500 €. Si no realizó el pedido, pulse aquí para cancelarlo." El adjunto contiene malware, y el enlace lleva a una página de phishing. Este tipo es especialmente peligroso porque los usuarios pulsan presa del pánico, pensando que alguien ha utilizado su cuenta de forma indebida.

Una tendencia más reciente es el phishing mediante códigos QR: el correo contiene un código QR que supuestamente lleva a un sitio "seguro" para verificar la identidad. Cuando escaneas el código con el teléfono, se abre una página de phishing. Así se eluden la mayoría de los filtros de correo, porque no contiene los típicos enlaces sospechosos.

Cómo protegerte del phishing

La primera y más importante medida de protección es la formación. Fórmate a ti mismo y a tus empleados para reconocer los correos de phishing. Organiza simulaciones de phishing periódicas en tu empresa para comprobar lo precavidos que son los empleados. Los estudios demuestran que la formación periódica reduce el éxito de los ataques de phishing en más de un 70 %.

Utiliza la autenticación de dos factores (2FA) en todas las cuentas importantes. Aunque un atacante robe tu contraseña mediante phishing, no podrá acceder a tu cuenta sin el segundo factor de autenticación. Usa aplicaciones de autenticación (Google Authenticator, Authy) en lugar de la verificación por SMS, ya que el SMS es menos seguro.

Instala software antivirus y antiphishing que bloquee automáticamente los sitios de phishing conocidos. La mayoría de los navegadores modernos (Chrome, Firefox, Edge) incorporan protección contra el phishing, pero un software adicional aporta otra capa de protección. Además, actualiza con regularidad tu sistema operativo y tu navegador, porque las actualizaciones suelen incluir nuevas definiciones de sitios de phishing.

Utiliza un gestor de contraseñas como Bitwarden o 1Password. Un gestor de contraseñas no rellenará automáticamente tu contraseña en un sitio de phishing, porque reconoce que la URL no es la misma que la del sitio legítimo. Es una capa de protección invisible pero muy eficaz. Además, un gestor de contraseñas te permite usar contraseñas únicas y robustas para cada sitio.

A nivel del servidor de correo, configura los registros SPF, DKIM y DMARC de tu dominio. Estos mecanismos impiden que los atacantes envíen correos que parezcan proceder de tu dirección. Utiliza también un hosting de correo que cuente con un filtro antispam avanzado con protección antiphishing. El hosting de correo de BeoHosting incluye protección avanzada contra el phishing y el spam.

Qué hacer si has pulsado un enlace de phishing

Si has pulsado un enlace de phishing y has introducido una contraseña, actúa de inmediato. En primer lugar, cambia cuanto antes la contraseña de la cuenta comprometida. Si utilizas la misma contraseña en otros sitios (cosa que no deberías hacer), cámbiala también allí. Después, activa la autenticación de dos factores si no la tienes ya habilitada.

Comprueba si el atacante ya ha accedido a tu cuenta. Revisa la actividad reciente, los cambios de configuración, los correos enviados o las transacciones financieras. Si detectas actividad sospechosa, ponte en contacto de inmediato con el soporte del servicio y notifica el incidente. Si se trata de una cuenta bancaria, llama al banco de inmediato.

Realiza un análisis completo del ordenador con software antivirus por si has descargado malware. Vigila tus informes financieros durante los próximos meses por si detectas transacciones sospechosas. Denuncia el correo de phishing a tu proveedor de correo y a la organización suplantada por el atacante: la mayoría de las empresas tienen una dirección específica para denunciar el phishing.

Conclusión

Los ataques de phishing son cada vez más sofisticados, pero con una formación adecuada y las medidas de protección oportunas puedes reducir notablemente el riesgo. Comprueba siempre la dirección del remitente y los enlaces antes de pulsar, utiliza la autenticación de dos factores, mantén el software actualizado y nunca introduzcas contraseñas en páginas a las que has llegado a través de enlaces de un correo. Para proteger aún más tu cuenta de correo, BeoHosting ofrece un hosting de correo profesional con filtros antiphishing avanzados.