Cómo protegerse de las estafas por correo electrónico

Cómo identificar estafas

La criptoeconomía, en constante expansión, atrae tanto a usuarios legítimos como a ciberdelincuentes que buscan atacar a propietarios de activos digitales. Los correos electrónicos fraudulentos y las estafas han evolucionado en sofisticación, por lo que resulta esencial aprender a identificar comunicaciones fraudulentas.

Los ciberdelincuentes emplean con frecuencia correos falsificados que simulan proceder de plataformas cripto legítimas como principal método para atacar a los clientes. Estos intentos de phishing pueden parecer auténticos, imitando la identidad visual, logotipos y estilo de comunicación oficial. Sin embargo, existen indicadores clave para distinguir entre comunicaciones legítimas e intentos fraudulentos.

Principales señales de alerta en correos de phishing:

• Direcciones de remitente sospechosas: Los correos oficiales de plataformas legítimas terminan con patrones de dominio específicos. Por ejemplo, los mensajes auténticos deben proceder de direcciones que finalicen en "@[platform].com" o ".[platform].com". Examina siempre la dirección completa del remitente, no solo el nombre visible.

• Lenguaje urgente o amenazante: Los estafadores suelen crear una falsa urgencia, alegando que tu cuenta será suspendida o que debes actuar de inmediato. Las plataformas legítimas rara vez utilizan tácticas agresivas ni amenazan con cerrar cuentas sin previo aviso.

• Solicitudes de información sensible: Cualquier correo que solicite frases semilla, contraseñas, códigos de verificación en dos pasos o acceso remoto a tu dispositivo es fraudulento. Las plataformas legítimas NUNCA te pedirán esta información.

• Enlaces o archivos adjuntos sospechosos: Antes de hacer clic, pasa el cursor sobre los enlaces para verificar la URL real. Los correos de phishing suelen incluir enlaces que parecen legítimos pero dirigen a sitios fraudulentos diseñados para robar tus credenciales.

• Errores gramaticales o de ortografía: Aunque no siempre ocurre, muchos correos de phishing presentan errores gramaticales, frases poco naturales o formatos inconsistentes que no se encuentran en comunicaciones profesionales.

Recordatorio importante de seguridad:

Las plataformas cripto legítimas NUNCA te pedirán que:

• Compartas tus frases semilla o claves privadas
• Proporciones contraseñas o códigos de verificación en dos pasos
• Concedas acceso remoto a tu ordenador o dispositivo móvil
• Transfieras fondos a una nueva wallet por "motivos de seguridad"
• Llamar a un número de teléfono para verificar tu información personal

Si recibes un correo electrónico que solicita alguna de estas acciones, por muy auténtico que parezca, es un intento de estafa.

Reportar el correo de phishing

Si has recibido un correo sospechoso que crees que intenta suplantar una plataforma cripto legítima, debes reportarlo de inmediato. Denunciar intentos de phishing protege tanto tu seguridad como la de la comunidad y permite a los equipos de seguridad rastrear y combatir estas amenazas.

Al reportar un correo de phishing, reenvía el mensaje completo, incluidos los encabezados completos del correo electrónico, al equipo de seguridad oficial de la plataforma. Los encabezados contienen información técnica esencial que los analistas utilizan para rastrear el origen de las campañas de phishing e identificar patrones en la actividad de los ciberdelincuentes.

Por qué son importantes los encabezados de correo:

Los encabezados revelan el origen real del mensaje, incluida la dirección IP del remitente, la información de enrutamiento y los detalles de autenticación. Sin estos datos, los equipos de seguridad no pueden investigar ni actuar contra los responsables. El campo visible "De" en un correo puede falsificarse, pero los encabezados contienen datos técnicos mucho más difíciles de manipular.

Cómo obtener los encabezados de correo según el proveedor

El procedimiento para acceder a los encabezados de correo varía según el proveedor. A continuación, se detallan las instrucciones para los clientes de correo más comunes:

Para usuarios de Gmail:

1. Abre el correo sospechoso que deseas reportar
2. Haz clic en el icono de tres puntos (⋮) o en la flecha junto a "Responder" en la parte superior derecha del mensaje
3. Selecciona "Mostrar original" en el menú desplegable
4. Se abrirá una nueva ventana o pestaña con el origen completo del mensaje, incluidos todos los encabezados
5. Haz clic derecho dentro del texto de los encabezados y selecciona "Seleccionar todo"
6. Haz clic derecho nuevamente y elige "Copiar" para copiar toda la información de los encabezados
7. Cierra la ventana del origen del mensaje
8. Redacta un nuevo correo a security@[platform].com
9. Pega los encabezados copiados en el cuerpo del correo
10. Incluye también una captura de pantalla del correo sospechoso como referencia

Para usuarios de Yahoo:

1. Accede a Opciones > Preferencias generales en la configuración de Yahoo Mail
2. En "Preferencias de visualización de correo", busca la sección "Encabezados de mensaje"
3. Selecciona "TODOS" para mostrar los encabezados completos
4. Vuelve al correo sospechoso
5. Haz clic en la flecha junto al botón "Reenviar"
6. Elige "Como texto en línea" para conservar toda la información de los encabezados
7. Reenvía el correo con los encabezados completos a security@[platform].com
8. Incluye una breve descripción de por qué consideras sospechoso el mensaje

Para otros proveedores de correo:

Si usas otro cliente de correo (Outlook, Apple Mail, ProtonMail, etc.), consulta la documentación de soporte de tu proveedor para ver instrucciones sobre cómo mostrar y exportar los encabezados completos. La mayoría de los clientes modernos disponen de una opción "Ver origen" o "Mostrar original" que revela esta información.

Tras reportar:

Una vez reportado el correo de phishing, elimínalo de tu bandeja de entrada para evitar interacciones accidentales. No hagas clic en enlaces, descargues archivos adjuntos ni respondas al mensaje. Si ya has hecho clic en un enlace o proporcionado información, sigue de inmediato los procedimientos de emergencia indicados en las directrices de seguridad de tu plataforma.

Cómo protegerte frente al phishing y las estafas por correo electrónico

Proteger tus activos cripto requiere un enfoque de seguridad múltiple. Aunque las plataformas implementan medidas avanzadas, tu propia vigilancia es la defensa más importante ante ataques de phishing y técnicas de ingeniería social. Aquí tienes estrategias para proteger tu cuenta e información personal.

Prácticas de seguridad esenciales:

No concedas acceso remoto a tu ordenador

El soporte oficial de la plataforma NUNCA solicitará acceso remoto a tu ordenador o dispositivo móvil. Otorgar acceso remoto permite al estafador tomar el control completo de tu dispositivo, incluyendo cuentas financieras, contraseñas guardadas, aplicaciones de autenticación y toda tu información digital. Una vez concedido, los delincuentes pueden:

• Instalar software espía para capturar contraseñas
• Acceder a tus cuentas de correo y restablecer contraseñas en otros servicios
• Transferir fondos desde tus cuentas cripto
• Robar documentos personales e información de identidad
• Utilizar tu ordenador en actividades ilícitas

Si una persona que se identifica como soporte solicita acceso remoto, termina la comunicación y repórtalo de inmediato.

Protege tus credenciales de autenticación

Tus contraseñas y códigos de verificación en dos pasos son la clave de acceso a tu cuenta. Las plataformas legítimas NUNCA te pedirán compartir:

• Contraseñas de acceso
• Códigos de autenticación en dos factores (2FA)
• Códigos de respaldo
• Códigos de aplicaciones autenticadoras
• Códigos de verificación por SMS

Estos códigos están diseñados para que solo tú accedas a tu cuenta. Compartirlos anula su función y proporciona acceso completo a tu cuenta. Incluso si alguien afirma verificar tu identidad por motivos de seguridad, es siempre una estafa.

Verifica independientemente los métodos de contacto

Los estafadores crean páginas de soporte falsas con números de teléfono y correos electrónicos que imitan los datos legítimos. También pueden falsificar números al realizar llamadas, mostrando identificadores auténticos.

Importante: Las plataformas legítimas NUNCA te llaman para pedir verificación de información personal por motivos de seguridad. Si recibes una llamada así:

• No facilites ninguna información
• Cuelga inmediatamente
• Contacta con la plataforma a través de los canales oficiales publicados en su web verificada
• Reporta la llamada sospechosa al equipo de seguridad de la plataforma

Verifica siempre la información de contacto:

• Visitando el sitio web oficial directamente (escribe la URL de forma manual, sin hacer clic en enlaces)
• Utilizando los datos de contacto de la app oficial
• Comprobando las redes sociales verificadas de la plataforma

No transfieras fondos por petición de terceros

El soporte oficial de la plataforma NUNCA te pedirá que:

• Envíes criptomonedas a wallets externas
• Transfieras fondos a una "wallet segura" para protegerlos
• Muevas activos para resolver incidentes de seguridad
• Pagues tasas o impuestos en criptomonedas para desbloquear tu cuenta

Estas son tácticas habituales de estafa. Tus fondos están seguros en tu cuenta y ningún soporte legítimo te pedirá que los transfieras.

Utiliza una dirección de correo exclusiva

Es recomendable crear una dirección de correo nueva y exclusiva para tu cuenta de la plataforma cripto. Esta práctica refuerza tu seguridad porque:

• Reduce la exposición de datos: Si tu correo principal se filtra, los estafadores no sabrán automáticamente que tienes activos cripto
• Rompe conexiones de datos: Los ciberdelincuentes cruzan bases filtradas para identificar objetivos valiosos. Un correo dedicado dificulta este proceso
• Limita la superficie de phishing: Recibirás menos intentos de estafa, ya que la dirección no está vinculada a otras actividades online
• Facilita la monitorización: Al recibir solo correos de la plataforma, puedes identificar rápidamente comunicaciones sospechosas

Al crear un correo exclusivo:

• Usa una contraseña robusta y única
• Activa la autenticación en dos pasos en la cuenta de correo
• No uses este correo para ninguna otra finalidad
• No compartas la dirección con nadie

Actúa de inmediato si has hecho clic en un enlace de phishing

Si has hecho clic en un enlace sospechoso o has compartido información con un posible estafador, actúa cuanto antes:

1. Bloquea tu cuenta: La mayoría de plataformas ofrecen función de bloqueo de emergencia para evitar transacciones y accesos
2. Cambia tu contraseña: Elige una robusta y única que no hayas usado antes
3. Revisa la actividad reciente: Comprueba tu historial para detectar operaciones no autorizadas
4. Activa o actualiza 2FA: Si no lo tienes, habilítalo. Si ya está activado, considera cambiar el método de autenticación
5. Contacta con el soporte oficial: Hazlo a través de los canales verificados para reportar el incidente
6. Monitorea tus cuentas: Vigila todas tus cuentas financieras ante actividad sospechosa
7. Realiza análisis de seguridad: Usa antivirus reputados para escanear tu dispositivo

Medidas de seguridad adicionales:

• Mantén actualizado el software: Actualiza sistema operativo, navegadores y programas de seguridad para corregir vulnerabilidades
• Utiliza llaves de seguridad físicas: Considera emplear llaves físicas para la autenticación en dos pasos, inmunes al phishing
• Activa notificaciones por correo: Configura alertas para detectar accesos no autorizados de inmediato
• Infórmate: Mantente al día sobre nuevas técnicas de phishing siguiendo blogs de seguridad y anuncios oficiales
• Mantén actitud crítica: Si algo parece demasiado urgente, demasiado bueno o solicita acciones inusuales, probablemente sea una estafa

Recuerda: Las plataformas cripto legítimas priorizan tu seguridad y nunca recurren a tácticas de presión ni solicitan información sensible por canales no solicitados. Ante la duda, verifica siempre por canales oficiales antes de realizar cualquier acción. Tu vigilancia es la mejor defensa contra las amenazas cibernéticas.

Preguntas frecuentes

¿Cuáles son los signos habituales de un correo de phishing o estafa?

Los signos habituales son saludos desconocidos, errores gramaticales, enlaces sospechosos, direcciones de correo no coincidentes, solicitudes urgentes de datos personales y formato deficiente. Verifica siempre la identidad del remitente antes de clicar en enlaces o compartir información.

¿Cómo puedo comprobar si un correo procede realmente de una empresa legítima?

Confirma que la dirección del remitente utiliza el dominio oficial de la empresa, verifica los datos de contacto en la web oficial, busca errores ortográficos o enlaces sospechosos y utiliza herramientas de autenticación para validar la legitimidad.

¿Qué hago si he hecho clic por error en un enlace sospechoso de un correo?

Desconéctate de internet y no introduzcas datos personales. Cambia tus contraseñas desde otro dispositivo, activa la autenticación multifactor y realiza un análisis antivirus completo. Supervisa tus cuentas para detectar actividad no autorizada.

¿Cómo puedo proteger mi cuenta de correo frente a hackeos o accesos no autorizados?

Utiliza contraseñas fuertes y únicas, y activa la autenticación en dos pasos. Revisa la actividad de la cuenta con regularidad y cierra sesión en dispositivos no confiables. Actualiza la configuración de seguridad y evita clicar en enlaces sospechosos.

¿Cuáles son los tipos de estafa por correo más comunes y cómo funcionan?

Las estafas habituales son el phishing, donde los atacantes suplantan entidades legítimas para robar credenciales, y las facturas falsas que solicitan pagos no autorizados. Verifica siempre la autenticidad del remitente y evita clicar en enlaces o abrir archivos adjuntos de fuentes desconocidas.

¿Debo reportar los correos de estafa y dónde puedo hacerlo?

Sí, reporta los correos de estafa a la Comisión Federal de Comercio (FTC) llamando al (877) IDTHEFT o en línea. Si has revelado información sensible, contacta con las principales agencias de informes crediticios. Notifica a tu banco si el correo parecía oficial.