Las herramientas de IA ahora escriben correos de phishing gramaticalmente impecables y de aspecto genuinamente profesional, haciendo obsoleto el antiguo consejo de «busca faltas de ortografía». Pero los estafadores siguen dejando patrones detectables: en la dirección del remitente, los destinos de los enlaces, el lenguaje de urgencia y lo que le piden que haga. Verificar estas seis señales lleva menos de un minuto y detiene la mayoría de los ataques.
Durante años, el consejo era sencillo: si un correo tiene errores tipográficos y frases torpes, probablemente es una estafa. Ese consejo ha quedado obsoleto. Las herramientas de escritura de IA producen texto pulido y de sonido natural en segundos, y los correos de phishing de hoy son a menudo indistinguibles en tono y gramática de las comunicaciones reales de las empresas.
La buena noticia: los estafadores todavía tienen que superar realidades técnicas y la psicología humana que dejan patrones detectables. Estas seis señales no requieren ningún software especial: solo un momento de atención.
Compruebe la dirección de envío real, no el nombre de visualización
Cada cliente de correo muestra un nombre de «remitente» que cualquiera puede configurar como quiera. «Equipo de seguridad de PayPal» puede ser mostrado por cualquiera que envíe desde estafador123@dominioaleatorio.xyz.
Haga clic o toque el nombre del remitente para expandirlo y ver la dirección de correo completa. Fíjese en el dominio, la parte que va después del símbolo @. Si un correo que dice ser de su banco proviene de un dominio que no es la dirección real del sitio web de su banco, es falso. Esté atento a sustituciones sutiles como «paypa1.com» (el número 1 en lugar de la letra l) o palabras añadidas como «paypal-soporte.com».
Pase el cursor sobre cada enlace antes de hacer clic
En un ordenador, coloque el cursor del ratón sobre cualquier enlace del correo sin hacer clic. La URL de destino real aparece en la esquina inferior izquierda de su navegador o cliente de correo. En un teléfono, mantenga pulsado un enlace para ver la URL de destino antes de abrirlo.
Compare esa URL con la dirección real del sitio web de la empresa. Si no coinciden, no haga clic. Aunque el texto del enlace diga «amazon.com», el destino real puede ser cualquier cosa.
Detecte el lenguaje de urgencia y miedo
La IA hace que los correos de estafa sean gramaticalmente perfectos, pero no puede eliminar el mecanismo fundamental que hace funcionar el phishing: el pánico. Los estafadores necesitan que actúe antes de pensar.
Esté atento a frases como «su cuenta se cerrará en 24 horas», «se requiere acción inmediata», «acceso no autorizado detectado» o «verifique ahora para evitar la suspensión». Las empresas legítimas también envían este tipo de avisos, pero le dan días para responder, no horas, y no amenazan con pérdidas permanentes en la primera frase. Cuando un correo intenta hacerle sentir presionado, es exactamente el momento en que debe ir más despacio.
Fíjese en qué información le están pidiendo realmente
Las empresas reales casi nunca le piden que confirme su contraseña completa, número de identificación fiscal o datos de la tarjeta de pago haciendo clic en un enlace de un correo electrónico. Ya tienen su cuenta registrada. Cuando un correo le pide que «confirme su información» introduciéndola de nuevo en algún lugar, ese es el mecanismo central de la estafa: recopilar sus credenciales.
También esté atento a solicitudes que parecen ligeramente fuera de lugar para la empresa: una notificación de envío que le pide que pague una tasa de aduanas, un servicio de streaming que le pide que actualice la facturación haciendo clic en un enlace, o un departamento de informática que solicita sus credenciales de inicio de sesión «por mantenimiento».
Verifique directamente a través del canal real de la empresa
Si un correo afirma que hay un problema con su cuenta, no use ningún enlace, número de teléfono ni archivo adjunto de ese correo. En su lugar:
Abra una nueva pestaña del navegador y escriba directamente la dirección de la empresa, o use un marcador que haya creado usted mismo. Conéctese allí y compruebe si aparece la misma alerta en su cuenta. Llame al servicio de atención al cliente usando el número en el sitio web oficial de la empresa o en el reverso de su tarjeta, no un número del correo. Este único paso detiene prácticamente todos los ataques de phishing.
Use las herramientas de denuncia integradas de su proveedor de correo
Todos los servicios de correo principales —Gmail, Outlook, Apple Mail— tienen una opción de «denunciar phishing» o «marcar como spam». Úsela. Estos informes ayudan a entrenar los filtros que protegen a todos los demás de la misma campaña.
También puede reenviar correos sospechosos a reportphishing@apwg.org, una organización sin fines de lucro que rastrea campañas de phishing a nivel mundial. Si el correo suplanta a una empresa específica, el equipo de seguridad de esa empresa quiere saberlo: busque «nombre de la empresa denunciar phishing» para encontrar su dirección dedicada.
Qué probar a continuación
Los correos de phishing suelen ser el primer paso de un ataque más amplio. Las estafas de atención al cliente falsa explica qué ocurre después de hacer clic: cómo los estafadores suplantan a los equipos de soporte de marcas reales y recopilan sus credenciales, y cómo encontrar la información de contacto real de una empresa. Para ver cómo encaja la voz generada por IA en estos ataques, las estafas de clonación de voz por IA explica cómo suena la tecnología y cómo mantenerse un paso por delante.



