Proteger el correo del phishing

Si alguien consigue entrar en tu correo, tiene la llave de tu banco, tus redes y todo lo demás. Así se cierra esa puerta

El correo electrónico es la llave que abre prácticamente todo en internet. Con acceso a tu cuenta de Gmail, Outlook o iCloud Mail, alguien puede restablecer la contraseña de tu banco, entrar en tus redes sociales, ver tus facturas y cambiar el email de recuperación de cualquier servicio que uses. Si estás pensando en cómo proteger el correo electrónico del phishing y de los accesos no autorizados, has llegado al sitio adecuado, porque esta guía va paso a paso y con instrucciones concretas para cada proveedor.

Y, sin embargo, la mayoría de las personas tiene el correo con el mismo nivel de protección que en 2012. Sin verificación en dos pasos, con una contraseña que lleva años sin cambiar y sin saber qué dispositivos tienen sesión activa ahora mismo.

La verificación en dos pasos es el seguro que la mayoría tiene apagado

Activar la verificación en dos pasos (también conocida como autenticación de dos factores o 2FA) es la medida más efectiva que existe para proteger el correo electrónico del phishing y los accesos no autorizados. Con ella activa, aunque alguien tenga tu contraseña, necesita también un segundo código que llega a tu móvil o se genera en una app para poder entrar. Sin ese segundo código, la contraseña sola no sirve de nada.

En Gmail: ve a tu cuenta de Google → Seguridad → Verificación en dos pasos. Tienes varias opciones: SMS (la más básica), Google Authenticator o una clave de acceso guardada en el dispositivo. La opción más robusta es usar una app de autenticación como Google Authenticator o Authy, porque los SMS pueden interceptarse en ciertos ataques dirigidos a números de teléfono.

En Outlook: accede a account.microsoft.com → Seguridad → Verificación en dos pasos. Microsoft también permite usar la app Microsoft Authenticator, que te manda una notificación de aprobación cuando alguien intenta entrar, sin necesidad de teclear ningún código.

En iCloud Mail: en iPhone o iPad, ve a Ajustes → tu nombre → Contraseña y seguridad → Autenticación de doble factor. En Mac, desde Preferencias del Sistema → Apple ID → Contraseña y seguridad. iCloud usa un sistema propio: cuando alguien intenta acceder desde un dispositivo nuevo, aparece un aviso en todos tus dispositivos Apple con un código de seis dígitos.

Una advertencia práctica importante: si activas el 2FA, guarda los códigos de recuperación que te da cada plataforma en un lugar seguro (nunca en el mismo correo que estás protegiendo). Si pierdes el móvil y no tienes esos códigos, puedes quedarte sin acceso a tu propia cuenta.

La contraseña del correo no debería parecerse a ninguna otra que uses

Hay un problema muy extendido que facilita enormemente los accesos no autorizados: usar la misma contraseña (o variaciones mínimas de ella) en varios servicios. Cuando una plataforma sufre una filtración de datos, esa contraseña acaba disponible en bases de datos que los atacantes usan para probar en otros servicios de forma automática. Es lo que se llama credential stuffing, y es mucho más frecuente de lo que parece.

La contraseña de tu cuenta de correo debería ser única, larga (al menos 16 caracteres) y completamente distinta a cualquier otra que uses. No tiene que ser memorable: para eso existen los gestores de contraseñas.

Herramientas como Bitwarden (gratuito y de código abierto), 1Password o el propio llavero de iCloud en iPhone y Mac generan y guardan contraseñas complejas para que no tengas que memorizarlas. Solo necesitas recordar una contraseña maestra para acceder al gestor.

También puedes comprobar si tu dirección de correo ya ha aparecido en alguna filtración conocida en la web Have I Been Pwned (haveibeenpwned.com). Si ha aparecido, cambia la contraseña de inmediato aunque no hayas notado nada raro en la cuenta.

Cómo ver quién ha entrado en tu correo y desde qué dispositivos

Esto es algo que casi nadie revisa, pero los tres proveedores principales lo tienen disponible y es muy fácil de consultar. Revisar el historial de accesos es una de las formas más directas de detectar si alguien ha logrado entrar en tu cuenta sin que te hayas dado cuenta.

En Gmail: en la esquina inferior derecha de la bandeja de entrada hay un enlace discreto que pone «Detalles». Al hacer clic muestra las últimas sesiones activas: dispositivo, sistema operativo, dirección IP aproximada y hora de acceso. Si ves un acceso desde un país donde no has estado o desde un dispositivo que no reconoces, tienes un problema real.

En Outlook: accede a account.microsoft.com → Seguridad → Actividad de inicio de sesión. Aquí aparece un historial detallado con cada intento de acceso, tanto los correctos como los fallidos. Es especialmente útil para detectar intentos de fuerza bruta o apps de terceros que llevan tiempo conectadas a tu cuenta y que ya no recuerdas haber autorizado.

En iCloud Mail: desde icloud.com o desde Ajustes del iPhone → tu nombre, puedes ver qué dispositivos tienen sesión activa con tu Apple ID. Si aparece alguno que no reconoces, puedes eliminarlo desde ahí mismo y cambiar la contraseña a continuación.

Vale la pena revisar este historial cada pocas semanas. Si acostumbras a conectarte al correo desde redes públicas, el riesgo aumenta considerablemente. Conectarse al email desde la WiFi de un hotel, un aeropuerto o una cafetería sin usar una VPN es un vector de ataque que mucha gente subestima: si este es tu caso, puede interesarte saber cómo detectar si una red WiFi pública es segura antes de conectarte.

Los filtros antiphishing que ya tienes activos (y los que deberías configurar tú)

El phishing es el método de ataque más habitual cuando alguien quiere hacerse con el control de una cuenta de correo. Consiste en enviarte un email que parece venir de tu banco, de Correos, de Amazon o de cualquier servicio de confianza, para que hagas clic en un enlace y entres en una web falsa donde te piden las credenciales. Saber cómo proteger el correo electrónico del phishing empieza por entender qué filtros ya tiene tu proveedor y cuáles dependen de ti.

Gmail tiene uno de los sistemas antiphishing más agresivos del mercado. Analiza el remitente, los vínculos dentro del email y el historial del dominio antes de que el mensaje llegue a tu bandeja. Si un email pasa el filtro pero te genera dudas, puedes hacer clic en los tres puntos de la esquina del mensaje → «Mostrar original» para ver el código completo del email y comprobar si el dominio del remitente real coincide con el que aparece en el campo «De».

Outlook incluye la función Spoof Intelligence, que detecta cuando alguien usa un dominio que imita a otro legítimo. También tiene un botón «Notificar mensaje» con el que puedes marcar un correo como phishing y enviarlo a Microsoft para su análisis. Es una función sencilla, pero que contribuye a mejorar los filtros para todos los usuarios.

iCloud Mail tiene filtros básicos más conservadores que Gmail. Apple recomienda complementarlos activando la Protección de privacidad de Mail en los ajustes del iPhone (Ajustes → Mail → Privacidad → Proteger actividad de Mail), que impide que los remitentes puedan saber si has abierto su correo y desde qué dirección IP lo has hecho.

Más allá de los filtros automáticos, hay señales manuales que siempre funcionan para identificar un intento de phishing: el remitente usa un dominio con una letra cambiada o un carácter raro, el asunto genera urgencia artificial («tu cuenta será suspendida en 24 horas»), el email pide que hagas clic en un enlace para «verificar» algo, o el diseño tiene errores ortográficos que no son habituales en la empresa real. Cuando hay alguna de estas señales, no hagas clic en nada y elimina el mensaje directamente.

También conviene prestar atención a las aplicaciones que tienen acceso a tu cuenta de correo. Hay servicios que piden permisos de lectura del correo que van mucho más allá de lo que necesitan para funcionar. Igual que ocurre con las apps que acceden al portapapeles del móvil sin que te enteres, el acceso silencioso a tu correo puede estar ocurriendo en segundo plano: aquí se explica por qué el móvil avisa cuando una app toca el portapapeles y lo que eso significa realmente.

Si ya has hecho clic en un enlace sospechoso, esto es lo que toca hacer ahora

Primero: no entres en pánico, pero tampoco te quedes quieto. Lo que hagas en los próximos minutos marca la diferencia.

Si hiciste clic pero no introdujiste ningún dato: el riesgo es menor, pero no nulo. Algunos sitios de phishing intentan instalar código malicioso solo con la visita. Cierra el navegador, pasa un análisis antivirus y asegúrate de que el sistema operativo esté actualizado.

Si introdujiste tu contraseña: actúa de inmediato. Entra en tu cuenta desde otro dispositivo o red y cambia la contraseña antes de que el atacante lo haga. Activa el 2FA si no lo tenías. Revisa los dispositivos con sesión activa y cierra todos los que no reconozcas. Notifica al proveedor de correo desde el formulario de ayuda correspondiente.

Si introdujiste datos bancarios o de tarjeta: llama a tu banco en el momento. La mayoría tiene líneas de atención 24 horas para bloquear la tarjeta y revisar movimientos recientes. No esperes a ver si pasa algo.

En todos los casos: si el correo afectado está vinculado a otros servicios como redes sociales, plataformas de compra o suscripciones, cambia también las contraseñas de esos servicios de forma preventiva, especialmente si usabas la misma contraseña o una variante similar.

La privacidad en el móvil y la seguridad del correo van mucho más de la mano de lo que parece. Proteger el correo electrónico del phishing y de los accesos no autorizados no es una medida exagerada: es el equivalente digital de cerrar la puerta con llave antes de salir de casa. El correo es la puerta de entrada principal a la identidad digital de cualquier persona, y perder el control de él puede tener consecuencias que se expanden a todos los servicios vinculados. Si ya tienes controlados los permisos de las apps de tu dispositivo, saber qué significa el punto naranja en el iPhone es otro de esos pequeños detalles de privacidad que conviene tener claro mientras repasas la seguridad de tu vida digital.

Preguntas frecuentes sobre seguridad del correo electrónico

¿Qué es el phishing en el correo electrónico y cómo funciona?

El phishing es una técnica de engaño en la que alguien te envía un email que imita a una empresa o servicio de confianza (banco, Correos, Amazon…) para que hagas clic en un enlace falso e introduzcas tus datos. El remitente parece legítimo, pero el dominio real suele tener alguna diferencia mínima respecto al original. El objetivo es robar credenciales o datos bancarios.

¿Cuál es la diferencia entre la verificación en dos pasos de Gmail y la de iCloud?

Gmail permite elegir entre SMS, app de autenticación (Google Authenticator o Authy) o clave de acceso guardada en el dispositivo. iCloud usa un sistema propio integrado en el ecosistema Apple: cuando alguien intenta acceder desde un dispositivo nuevo, aparece un aviso con un código de seis dígitos en todos tus dispositivos Apple activos. La de iCloud es más cerrada, pero también más transparente si usas varios dispositivos Apple.

¿Cómo sé si alguien ha accedido a mi correo sin mi permiso?

En Gmail, haz clic en «Detalles» en la esquina inferior derecha de la bandeja de entrada para ver las últimas sesiones activas. En Outlook, ve a account.microsoft.com → Seguridad → Actividad de inicio de sesión. En iCloud, revisa los dispositivos vinculados desde Ajustes → tu nombre en el iPhone. Si ves un dispositivo o una ubicación que no reconoces, cambia la contraseña de inmediato y activa el 2FA.

¿Qué hago si he caído en un phishing y he introducido mi contraseña?

Actúa de inmediato: entra en tu cuenta desde otro dispositivo, cambia la contraseña antes de que lo haga el atacante, activa la verificación en dos pasos y revisa los dispositivos con sesión activa para cerrar los que no reconozcas. Si el correo está vinculado a otros servicios, cambia también esas contraseñas. Si introdujiste datos bancarios, llama a tu banco sin esperar.

¿Es seguro usar el correo desde una red WiFi pública?

No del todo. Las redes WiFi públicas (aeropuertos, hoteles, cafeterías) pueden ser interceptadas o suplantadas por redes falsas. Si tienes que acceder al correo desde una de ellas, usa siempre una VPN y asegúrate de que la conexión es HTTPS. Lo ideal es evitar gestionar el correo desde redes públicas si manejas información sensible o cuentas vinculadas a servicios bancarios.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Te gusta lo que lees? Pon tu email y te llegarán todos los artículos cada vez que salgan para no perderte ninguno.