Correos de phishing generados por IA: cómo detectar estafas ahora que la gramática es perfecta

Seguridad y estafas Tutorial6 min de lectura·Actualizado el 4 de julio de 2026
La respuesta corta

Las herramientas de IA ahora escriben correos de phishing gramaticalmente impecables y de aspecto genuinamente profesional, haciendo obsoleto el antiguo consejo de «busca faltas de ortografía». Pero los estafadores siguen dejando patrones detectables: en la dirección del remitente, los destinos de los enlaces, el lenguaje de urgencia y lo que le piden que haga. Verificar estas seis señales lleva menos de un minuto y detiene la mayoría de los ataques.

Durante años, el consejo era sencillo: si un correo tiene errores tipográficos y frases torpes, probablemente es una estafa. Ese consejo ha quedado obsoleto. Las herramientas de escritura de IA producen texto pulido y de sonido natural en segundos, y los correos de phishing de hoy son a menudo indistinguibles en tono y gramática de las comunicaciones reales de las empresas.

La buena noticia: los estafadores todavía tienen que superar realidades técnicas y la psicología humana que dejan patrones detectables. Estas seis señales no requieren ningún software especial: solo un momento de atención.

Compruebe la dirección de envío real, no el nombre de visualización

Cada cliente de correo muestra un nombre de «remitente» que cualquiera puede configurar como quiera. «Equipo de seguridad de PayPal» puede ser mostrado por cualquiera que envíe desde estafador123@dominioaleatorio.xyz.

Haga clic o toque el nombre del remitente para expandirlo y ver la dirección de correo completa. Fíjese en el dominio, la parte que va después del símbolo @. Si un correo que dice ser de su banco proviene de un dominio que no es la dirección real del sitio web de su banco, es falso. Esté atento a sustituciones sutiles como «paypa1.com» (el número 1 en lugar de la letra l) o palabras añadidas como «paypal-soporte.com».

Pase el cursor sobre cada enlace antes de hacer clic

En un ordenador, coloque el cursor del ratón sobre cualquier enlace del correo sin hacer clic. La URL de destino real aparece en la esquina inferior izquierda de su navegador o cliente de correo. En un teléfono, mantenga pulsado un enlace para ver la URL de destino antes de abrirlo.

Compare esa URL con la dirección real del sitio web de la empresa. Si no coinciden, no haga clic. Aunque el texto del enlace diga «amazon.com», el destino real puede ser cualquier cosa.

Detecte el lenguaje de urgencia y miedo

La IA hace que los correos de estafa sean gramaticalmente perfectos, pero no puede eliminar el mecanismo fundamental que hace funcionar el phishing: el pánico. Los estafadores necesitan que actúe antes de pensar.

Esté atento a frases como «su cuenta se cerrará en 24 horas», «se requiere acción inmediata», «acceso no autorizado detectado» o «verifique ahora para evitar la suspensión». Las empresas legítimas también envían este tipo de avisos, pero le dan días para responder, no horas, y no amenazan con pérdidas permanentes en la primera frase. Cuando un correo intenta hacerle sentir presionado, es exactamente el momento en que debe ir más despacio.

Fíjese en qué información le están pidiendo realmente

Las empresas reales casi nunca le piden que confirme su contraseña completa, número de identificación fiscal o datos de la tarjeta de pago haciendo clic en un enlace de un correo electrónico. Ya tienen su cuenta registrada. Cuando un correo le pide que «confirme su información» introduciéndola de nuevo en algún lugar, ese es el mecanismo central de la estafa: recopilar sus credenciales.

También esté atento a solicitudes que parecen ligeramente fuera de lugar para la empresa: una notificación de envío que le pide que pague una tasa de aduanas, un servicio de streaming que le pide que actualice la facturación haciendo clic en un enlace, o un departamento de informática que solicita sus credenciales de inicio de sesión «por mantenimiento».

Verifique directamente a través del canal real de la empresa

Si un correo afirma que hay un problema con su cuenta, no use ningún enlace, número de teléfono ni archivo adjunto de ese correo. En su lugar:

Abra una nueva pestaña del navegador y escriba directamente la dirección de la empresa, o use un marcador que haya creado usted mismo. Conéctese allí y compruebe si aparece la misma alerta en su cuenta. Llame al servicio de atención al cliente usando el número en el sitio web oficial de la empresa o en el reverso de su tarjeta, no un número del correo. Este único paso detiene prácticamente todos los ataques de phishing.

Use las herramientas de denuncia integradas de su proveedor de correo

Todos los servicios de correo principales —Gmail, Outlook, Apple Mail— tienen una opción de «denunciar phishing» o «marcar como spam». Úsela. Estos informes ayudan a entrenar los filtros que protegen a todos los demás de la misma campaña.

También puede reenviar correos sospechosos a reportphishing@apwg.org, una organización sin fines de lucro que rastrea campañas de phishing a nivel mundial. Si el correo suplanta a una empresa específica, el equipo de seguridad de esa empresa quiere saberlo: busque «nombre de la empresa denunciar phishing» para encontrar su dirección dedicada.

Qué probar a continuación

Los correos de phishing suelen ser el primer paso de un ataque más amplio. Las estafas de atención al cliente falsa explica qué ocurre después de hacer clic: cómo los estafadores suplantan a los equipos de soporte de marcas reales y recopilan sus credenciales, y cómo encontrar la información de contacto real de una empresa. Para ver cómo encaja la voz generada por IA en estos ataques, las estafas de clonación de voz por IA explica cómo suena la tecnología y cómo mantenerse un paso por delante.

Publicado el 4 de julio de 2026 · Actualizado el 4 de julio de 2026Cómo lo probamos →

Preguntas frecuentes

¿Por qué los errores tipográficos ya no sirven como señal de alerta?
Los estafadores ahora usan herramientas de escritura de IA, las mismas que se usan para correos legítimos, para producir texto limpio y de aspecto profesional. La gramática ya no es un filtro fiable.
¿Cuál es la forma más segura de comprobar si un correo de mi banco es real?
No haga clic en ningún enlace del correo. Abra una nueva pestaña del navegador, escriba directamente la dirección de su banco y conéctese desde allí. O llame al número que aparece en el reverso de su tarjeta.
¿Qué debo hacer si ya hice clic en un enlace de un correo de phishing?
Cambie su contraseña de esa cuenta de inmediato, active la verificación en dos pasos si no lo ha hecho, y compruebe si hay actividad inusual. Si introdujo datos de pago, contacte con su banco de inmediato.
¿Puedo denunciar los correos de phishing en algún lugar útil?
Sí. Reenvíe el correo a reportphishing@apwg.org y a la empresa que está siendo suplantada. En Estados Unidos también puede reenviarlo a spam@uce.gov.
Radim S.
Fundador y editor

Radim es desarrollador de software que pasa el día construyendo con IA y las noches explicándosela a familiares que no les importa cómo funciona, solo qué puede hacer por ellos. Cada guía se prueba a mano antes de publicarse.