Esta semana recibí un correo desde la cuenta de un amigo. Era una propuesta de inversión: una ronda Serie A de cinco millones de dólares, con un PDF adjunto y un enlace a documentos. El correo vino a través de infraestructura autorizada para su dominio, pasó las comprobaciones criptográficas del servidor y entró por mi bandeja sin que ningún filtro lo marcara. Era, técnicamente, creíble.
No lo era. La cuenta estaba comprometida.
Lo confirmé por teléfono en pocos minutos. Pero antes de esa llamada hubo un análisis breve -revisar los datos técnicos del propio correo, comparar con un mensaje anterior de la misma persona, mirar a dónde apuntaba el enlace- que confirmó la sospecha sin necesidad de abrir nada. Yo no abro adjuntos que no conozco, y punto.
Comparto esta experiencia con una sola intención: que a otra persona no le pase. Que el lector salga con dos o tres hábitos nuevos que le ahorren un susto, una pérdida de dinero o algo peor.
Por qué la cuenta de correo es la pieza clave
El correo electrónico no es solo un canal de mensajes. Es la llave maestra de tu vida digital. Cuando un atacante toma tu buzón, obtiene tres cosas a la vez:
-
El directorio de personas que confían en ti. Tu lista de contactos es una lista de víctimas potenciales para el atacante, porque cualquier mensaje saliente desde tu buzón llega con la confianza acumulada de años de relación.
-
El canal por donde se restablecen las contraseñas de todo lo demás. Banco, redes sociales, plataformas de trabajo, servicios en la nube. Todos esos servicios tienen un botón de “olvidé mi contraseña” que termina enviándote un enlace de recuperación al correo. Si el correo está tomado, todo lo demás queda expuesto.
-
La voz con la que puede hablar en tu nombre sin levantar sospechas. Tu estilo de redacción, tu firma, tu dirección real, la marca de tu empresa. Todo eso lo hereda el atacante en el segundo en que entra.
Por eso muchos fraudes que terminan en pérdidas reales no empiezan con un hackeo dramático, sino con una contraseña reutilizada o un código de verificación entregado en el sitio equivocado. El Threat Landscape de ENISA sirve como recordatorio de fondo: la ingeniería social, el phishing y el abuso de credenciales siguen siendo piezas centrales del riesgo digital. La defensa no es solo técnica. También es de hábito: verificar por un segundo canal antes de actuar.
Qué se mira y por qué: las cuatro señales
Cada correo electrónico viaja con una “ficha técnica” invisible que cualquier proveedor de correo permite consultar. En Gmail se llama “mostrar original”; en Outlook, “ver propiedades del mensaje”. Esa ficha es el equivalente al sello de la oficina de correos en una carta física: dice de dónde salió, por qué servidores pasó, a qué hora exacta y desde qué tipo de programa se envió. Comparar esa ficha entre dos correos del mismo remitente, uno legítimo y uno sospechoso, deja al descubierto cosas que el cuerpo del mensaje no muestra.
Estas fueron las cuatro señales en este caso, comparadas lado a lado:
| Lo que se observa | Correo legítimo (meses atrás) | Correo sospechoso (esta semana) |
|---|---|---|
| A qué responde el hilo | A un mensaje mío anterior, en una conversación coherente | A un mensaje de un dominio sin relación aparente con el remitente - técnica conocida como thread hijacking |
| Zona horaria del envío | Europa central - coherente con el patrón habitual de la persona | Un huso horario inconsistente con su patrón habitual |
| Destino del enlace | No aplicaba: era un correo personal | Una página alojada en Adobe Portfolio, una plataforma para mostrar trabajo creativo |
| Tipo de envío | Mensaje dirigido a mí | Difusión a una lista, conmigo en copia oculta |
Cualquiera de estas señales por separado se puede explicar. Las cuatro juntas, no. La zona horaria, por ejemplo, no prueba por sí sola la ubicación real de nadie: puede depender del cliente de correo, de una configuración, de un servidor o de una automatización. Sirve como señal débil. Gana peso cuando coincide con las demás.
La del enlace merece un comentario aparte. Una ronda de inversión real normalmente no se aloja en una plataforma de portafolios para creativos. Se aloja en un data room corporativo, en el portal del bufete que lleva la operación o, como mínimo, en un dominio propio de la entidad emisora. Que un nombre tipo “fondo de inversión” aparezca en una plataforma de portafolios de diseño es suficiente para descartar el correo sin abrir nada más.
Cómo se hizo el análisis, paso a paso
[1] LLEGA EL CORREO
↓ Asunto: "Series A 5M USD". Adjunto PDF. Enlace.
↓ Remitente: cuenta real, conocida hace años.
↓
[2] SE ABRE LA FICHA TÉCNICA DEL CORREO
↓ "Mostrar original" en Gmail.
↓ Las comprobaciones del dominio pasan correctamente:
↓ no parece un remitente falsificado desde fuera,
↓ sino un mensaje enviado por infraestructura autorizada.
↓
[3] SE COMPARA CON UN CORREO ANTERIOR DEL MISMO REMITENTE
↓ Hilo: el nuevo responde a un dominio sin relación. ⚠
↓ Zona horaria: el nuevo rompe el patrón habitual. ⚠
↓ Tipo de envío: el nuevo es difusión, no conversación. ⚠
↓
[4] SE REVISA EL DESTINO DEL ENLACE (sin abrirlo)
↓ Apunta a una plataforma de portafolios creativos. ⚠
↓
[5] LLAMADA AL CONTACTO POR EL TELÉFONO QUE YA SE TIENE
→ Confirmación: él no envió ese correo.
→ Su cuenta está comprometida.El total: menos de cinco minutos. Lo importante no es la velocidad; es el orden. Cada paso reduce la incertidumbre antes de tocar nada peligroso.
Si el comprometido eres tú
Aquí cambia el escenario. Si en algún momento sospechas que tu propia cuenta de Gmail, Outlook, iCloud o Microsoft 365 está siendo usada por otra persona, hay un orden que importa más que la prisa.
Paso 1 - Cierra todas las sesiones, antes de cambiar nada. En Gmail ve a myaccount.google.com/security y revisa la sección “Tus dispositivos”. En Microsoft, entra en account.microsoft.com/devices. Verás una lista de móviles, ordenadores y navegadores donde tu cuenta está abierta. Cierra sesión en todos los dispositivos que no reconozcas. Esto echa al atacante del buzón mientras tú haces el resto del trabajo con calma.
Paso 2 - Cambia la contraseña, pero sin reusar. Aquí conviene una nota práctica: tu propio navegador ya tiene un generador y un guardador de contraseñas integrado, gratis y sin instalar nada nuevo. Tanto Chrome como Microsoft Edge ofrecen lo mismo: cuando te registras en un sitio o cambias una clave, el navegador te sugiere una contraseña larga y única, la guarda cifrada y la rellena automáticamente la próxima vez que visites el sitio. Esto resuelve el problema más común de seguridad personal: usar la misma contraseña en varios sitios. Cuando un servicio cualquiera sufre una filtración -y hay que asumir que cualquiera puede sufrirla-, la contraseña expuesta no debería abrir también tu correo y tu banco. Si cada sitio tiene una clave distinta generada por el navegador, esa cadena se rompe.
Paso 3 - Revoca lo que haya quedado autorizado por dentro. Este es el paso que la mayoría olvida. Cambiar la contraseña principal no invalida dos cosas: las “contraseñas de aplicación” -claves especiales para programas viejos que no soportan verificación moderna- y los permisos de “aplicaciones de terceros” que tú mismo autorizaste alguna vez, como una app que pidió acceso a tu calendario o a tus correos. Si el atacante sabía lo que hacía, pudo autorizar una aplicación con un nombre inocente para mantener el acceso aunque tú cambiaras la clave varias veces. En la misma sección de seguridad de Google o de Microsoft hay listas con todo lo conectado. Revisa y revoca cualquier cosa que no reconozcas.
Paso 4 - Revisa filtros y reglas de reenvío. El patrón clásico es crear una regla automática que reenvíe a una cuenta externa todo correo que contenga palabras como invoice, wire, factura o transferencia, y que luego lo borre del buzón para que tú no lo veas. Si tu cuenta estuvo comprometida una semana, asume que esa regla pudo existir y búscala. Las reglas se gestionan en la configuración del correo: en Gmail bajo “Filtros y direcciones bloqueadas”; en Outlook bajo “Reglas”.
Paso 5 - Pide ayuda oficial si la necesitas. En España, INCIBE opera la línea 017, gratuita y confidencial, y también tiene un canal de reporte de fraude. En el Reino Unido, el NCSC recibe correos sospechosos en report@phishing.gov.uk. En Estados Unidos, la FTC y la CISA reciben reportes equivalentes. En República Dominicana, el Centro Nacional de Ciberseguridad (CNCS / CSIRT-RD) ofrece un canal para reportar incidentes cibernéticos, y la Policía Nacional permite tramitar denuncias virtuales, incluidos ciberdelitos y estafas.
Cómo cerrar la puerta de verdad: passkeys
La recomendación más fuerte de las principales agencias de ciberseguridad se resume en una palabra: passkeys -o “claves de acceso”, como se traducen oficialmente en algunos sistemas-.
Vale la pena entender por qué, en lenguaje sencillo, antes de entrar a cómo activarlas.
Una contraseña tradicional es un secreto que tú memorizas y escribes en un cuadro de texto. El problema: si alguien te muestra una página falsa que se llama, digamos, gmaiil.com -con dos íes en lugar de una-, y tú escribes ahí tu contraseña sin darte cuenta, el atacante la captura y la usa en gmail.com real. Tu ojo no notó la diferencia. Esto pasa constantemente.
Una passkey funciona distinto. Cuando la creas en gmail.com, tu dispositivo guarda una llave criptográfica única que queda atada al dominio real del servicio. Si caes en la página falsa gmaiil.com, tu navegador simplemente no presenta la llave, porque el dominio que ve no coincide con el que tiene guardado. La página puede ser visualmente idéntica a la real, puede engañar a tu ojo perfectamente, pero no puede engañar al navegador. Esa es la diferencia. Con una passkey, la decisión de “¿esto es legítimo o no?” ya no depende de que tú lo detectes: el sistema lo hace por ti, en silencio.
Eso importa mucho en 2026 porque las páginas falsas automatizadas ya pueden reenviar contraseñas y códigos de un solo uso al servicio real en tiempo real. CISA recomienda usar la forma más fuerte de MFA disponible y describe la MFA resistente al phishing -como FIDO/WebAuthn, la familia técnica detrás de muchas passkeys- como el nivel al que deben aspirar las organizaciones. El NCSC del Reino Unido va más lejos para usuarios finales: recomienda passkeys como primera opción cuando estén disponibles, y verificación en dos pasos cuando no lo estén.
Esto no significa que el SMS o las aplicaciones de códigos no sirvan. Siguen siendo mucho mejores que usar solo contraseña, y conviene mantenerlas donde no haya passkeys. Lo que cambió es el orden de preferencia. Si un servicio permite passkeys, úsala. Si no, usa contraseña única generada por un gestor y mantén la verificación en dos pasos activada.
La buena noticia es que activar una passkey no requiere instalar nada. La huella, el reconocimiento facial o el PIN que ya usas para desbloquear tu dispositivo sirve también como passkey en los servicios que la soportan:
- En Windows, esto funciona a través de Windows Hello y del sistema de passkeys de Microsoft.
- En Mac, iPhone o iPad, a través de Touch ID o Face ID, con sincronización mediante el llavero de iCloud cuando está activado.
- En Android, las passkeys se guardan en el Gestor de Contraseñas de Google o en otro gestor compatible, y se desbloquean con el bloqueo de pantalla del dispositivo.
Una nota práctica: si tu passkey vive solo en un dispositivo, registra al menos dos -por ejemplo, una en el portátil y otra en el móvil- para no quedarte fuera si pierdes uno de los dos.
Hace unas semanas escribí sobre otro caso de seguridad -el incidente con la plataforma de IA de McKinsey- donde el patrón de raíz era el mismo: tecnología muy sofisticada comprometida por una decisión humana o un descuido básico. La capa que falla casi nunca es la última.
Lo que llega por otros canales
El correo es solo una vía. La misma lógica de defensa aplica a todo lo demás.
Llamadas de números desconocidos. Tanto iPhone como Android permiten silenciarlas automáticamente. En iOS está en Ajustes → Apps → Teléfono → Silenciar números desconocidos; en Android Pixel, en Ajustes → ID de llamada y spam. La regla, que recomienda la FCC entre otras autoridades, es simple: no tomes decisiones en una llamada que no iniciaste tú. Si alguien dice ser tu banco, cuelga y llama tú al número del dorso de tu tarjeta. Esto se ha vuelto más importante con las llamadas generadas o manipuladas por inteligencia artificial: la FTC advierte que los estafadores pueden clonar la voz de un familiar y usarla para pedir dinero en una falsa emergencia.
SMS y mensajes con enlaces de personas que no conoces. Trátalos como hostiles por defecto. La regla profesional es no hacer clic en enlaces recibidos por SMS o mensajería si no los esperabas. Y un punto que conviene grabar a fuego: no confirmes operaciones bancarias desde un enlace recibido por SMS o correo. Si te llega algo que parece urgente de tu banco, abre la aplicación oficial que ya tienes instalada o llama tú al número del dorso de la tarjeta. En el Reino Unido, los SMS sospechosos se pueden reenviar gratuitamente al 7726. En Estados Unidos, la FTC también recomienda reenviar mensajes no deseados o sospechosos al 7726 cuando tu operador lo soporte. En España, usa los canales de INCIBE: el 017, su formulario o su reporte de fraude.
WhatsApp y la estafa del código. INCIBE documentó en marzo de 2026 un caso real de robo de cuenta de WhatsApp mediante un código entregado por la víctima. Una variante cada vez más visible aprovecha la función de dispositivos vinculados: el atacante te guía para introducir un código o emparejar un dispositivo que no es tuyo. Tu WhatsApp puede seguir funcionando normal, pero tus conversaciones quedan sincronizadas con un tercero. La defensa es simple: nunca introduzcas un código de verificación o vinculación porque te lo pida una página web, una llamada o un mensaje. Solo se vinculan dispositivos cuando tú decides hacerlo desde dentro de WhatsApp. Y conviene revisar de vez en cuando Ajustes → Dispositivos vinculados para cerrar cualquier sesión que no reconozcas. CERT-In también ha alertado sobre abusos de la función de dispositivos vinculados.
Permisos y archivos APK en Android. En 2026, CERT-In alertó sobre campañas de malware Android distribuidas mediante mensajes con archivos .apk o enlaces para descargar supuestas aplicaciones legítimas. Una vez instaladas, esas apps pueden pedir permisos sensibles, leer SMS, robar credenciales y facilitar transacciones no autorizadas. La recomendación práctica no cambia: instala apps solo desde tiendas oficiales y mantén desactivada la instalación desde fuentes desconocidas. Nunca instales un .apk que te llegue por WhatsApp, SMS, Telegram o una web aleatoria.
La regla que resume todas las demás
Si me pides una sola frase para llevarte después de leer esto, es esta: verifica siempre por un segundo canal antes de actuar sobre algo importante.
Un correo que pide una transferencia urgente: llama al móvil de la persona. Un mensaje de un familiar diciendo que le robaron el teléfono y necesita dinero: llama al número que tú tienes guardado. Un mensaje o llamada que dice ser de tu banco: cuelga y llama tú al banco usando el número del dorso de tu tarjeta.
Las contraseñas se reusan. La verificación en dos pasos por SMS se puede interceptar. Los sistemas técnicos más sofisticados del mundo no compensan una decisión apresurada. Pero un minuto de pausa, una llamada al número que ya conoces, vale más que todas las medidas técnicas juntas.
Las passkeys son hoy una de las defensas técnicas más fuertes disponibles para usuarios comunes porque están atadas al dominio real y un sitio falso no las puede consumir. Pero su valor está en lo que hacen posible: liberarte de tener que adivinar si una página es legítima. Mientras llegan a todos los servicios que usas, el segundo canal humano sigue siendo tu mejor herramienta.
Fuentes y recursos confiables
Si quieres profundizar, estas son referencias oficiales y recursos de orientación confiables:
- 🇩🇴 República Dominicana - Centro Nacional de Ciberseguridad (CNCS / CSIRT-RD) y Yo Navego Seguro - herramientas, guías y portal educativo.
- 🇪🇸 España - INCIBE: Línea 017 y reporte de fraude - soporte gratuito y confidencial en ciberseguridad.
- 🇬🇧 Reino Unido - NCSC: phishing y reportes - qué hacer ante correos, SMS, llamadas y webs sospechosas.
- 🇺🇸 Estados Unidos - CISA: More than a Password, FTC: reportes de fraude y FCC: llamadas no deseadas.
- 🇪🇺 Unión Europea - ENISA: Threat Landscape 2025 - informe anual de amenazas.
Por: Cesar Rosa Polanco - Escrito a partir de una experiencia real, con asistencia de inteligencia artificial como herramienta de apoyo editorial.
