Tu cuenta de correo electrónico es, seguramente, la que más usas y la más necesaria en Internet. Es una parte esencial de la comunicación online, ya sea para escribirte con tus amigos y familiares o para colaborar con tus compañeros. No es de extrañar que sea un objetivo habitual de los ciberdelincuentes: si vulneran tu bandeja de entrada, pueden acceder a toda tu información personal e incluso a tus archivos en la nube y los detalles de tu calendario. Descubre cómo proteger tu cuenta de correo y qué hacer si alguien accede a ella.
Índice:
Consejos de seguridad para el correo electrónico: ¿por qué es importante proteger tu cuenta?
Entramos en el correo casi a diario, lo que suele hacernos priorizar la comodidad. A veces queremos iniciar sesión rápido y elegimos métodos poco seguros. Usar contraseñas simples, prescindir de la autenticación multifactor o desactivar el cierre de sesión automático restan prioridad a la seguridad de tu cuenta y les facilita el ataque a los delincuentes. Si descifran tu contraseña, no encontrarán más barreras para entrar. Igual pasa si te roban el móvil: si nunca cierras sesión, entrarán sin problemas.
La buena noticia es que proteger una cuenta de correo electrónico no tiene por qué ser lento. Sigue estos consejos para proteger tu información y evitar que los ciberdelincuentes entren en tu cuenta.
Utiliza contraseñas seguras y únicas
La forma más fácil de proteger tu cuenta de correo es usar una contraseña segura y única: debe tener al menos 15 caracteres e incluir mayúsculas, minúsculas, números y símbolos.
También puedes usar una frase de contraseña, es decir, una secuencia de palabras que solo tú conozcas. La mayoría de los sitios web más importantes aceptan espacios como caracteres especiales, lo que aumenta la seguridad de tu contraseña. Puedes usar un gestor de contraseñas como NordPass para generar una contraseña o una frase de contraseña para tu cuenta, guardarla de forma segura y autocompletarla al iniciar sesión.
Una vez creada, no la reutilices en ninguna otra cuenta. Si usas las mismas credenciales en varias plataformas, una sola filtración pondría en peligro todas tus cuentas. Te recomendamos usar datos de inicio de sesión únicos en cada cuenta para reducir el riesgo de vulneración de tus datos personales.
Usa la MFA (autenticación multifactor)
Otra forma fácil de proteger tu cuenta es activar la autenticación multifactor (MFA). Es una medida de seguridad que añade un paso sencillo y rápido al iniciar sesión. La autenticación de dos factores (2FA) es un tipo de MFA que suelen ofrecer los proveedores de correo electrónico.
Uno de los métodos de autenticación más comunes son los códigos de verificación. Usa una app específica para generar contraseñas de un solo uso basada en el tiempo (TOTP) con las que validar tus inicios de sesión. Por ejemplo, puedes configurar el Autenticador NordPass en tu móvil o navegador para generar códigos de un solo uso y autocompletarlos en la pantalla de inicio de sesión. Hay otros métodos de autenticación populares, como los códigos por SMS, los códigos de voz y los correos de verificación, pero conllevan riesgos. Los delincuentes pueden recurrir a técnicas de suplantación o duplicación de la SIM para falsificar la autenticación por SMS. En su lugar, recomendamos usar una app de autenticación como método de verificación más fiable.
Usa claves de acceso
Las llaves de acceso son una alternativa sencilla y segura a las contraseñas con la que iniciar sesión mediante una combinación de cifrado y biometría. Aunque las passkeys aún no son habituales, gran parte de los principales proveedores de correo electrónico ya permiten crear tókenes de autenticación sin contraseña.
Las passkeys son mucho más resistentes ante filtraciones de datos. Si alguien robara tu clave pública del servidor, no podría descifrarla sin la clave privada de tu dispositivo. Los pares de claves siempre deben coincidir. De lo contrario, la cuenta seguirá bloqueada.
No respondas a correos sospechosos
Muchos ataques logran su objetivo cuando abres un correo falso que te pide restablecer la contraseña haciendo clic en un botón. Esta táctica se usa a menudo en ataques de phishing. Los ciberdelincuentes redactan el correo y crean una web falsa de restablecimiento de contraseña. Sin embargo, los delincuentes verán la nueva contraseña en texto sin formato y la usarán para iniciar sesión en tu cuenta sin que te des cuenta.
Analiza siempre detalladamente los correos electrónicos que recibas. Si no has pedido cambiar tu contraseña, probablemente se trate de phishing. Muchos proveedores de correo indican en sus políticas que nunca solicitan a los usuarios facilitar contraseñas ni ninguna otra información de identificación. Revisa siempre la estructura de los enlaces para detectar erratas extrañas, símbolos duplicados o números que sustituyen a letras, ya que son señales reveladoras de una web falsa. Bloquea al remitente para que no se vuelva a poner en contacto contigo.
Usa una dirección de correo desechable
Puedes crear una máscara de correo para reducir las probabilidades de que tu dirección sea objeto de ciberataques. De esta forma, creas una dirección ficticia que vinculas a tu bandeja de entrada habitual. No suele parecerse en nada a tu dirección de correo real y no contiene información que te identifique. Cuando crees una cuenta nueva, te registres en un servicio de suscripción o compartas tu correo en cualquier otro sitio, puedes introducir la máscara de correo sin que el remitente sepa quién eres.
Ocultar el correo electrónico te permite gestionar el correo entrante de forma más eficiente. Aunque un ciberdelincuente consiga acceder a la dirección de tu máscara, no podrá obtener más información sobre ti, como las cuentas vinculadas a tu dirección real. Por ejemplo, con la función Ocultar email de NordPass, puedes tener hasta 30 direcciones desechables para diferentes situaciones y disfrutar de un mayor nivel de privacidad.
Usa filtros de correo electrónico
Puedes aumentar la seguridad de tu correo electrónico y reducir las probabilidades de caer en el spam creando filtros en tu bandeja de entrada. La mayoría de los proveedores de correo electrónico cuentan con filtros predeterminados que identifican y marcan automáticamente los correos sospechosos, y los envían a la carpeta de correo no deseado («spam»). Sin embargo, si un estafador logra sortear estas barreras y sigue molestándote, puedes crear manualmente filtros adicionales para impedir que te envíe correos electrónicos no deseados.
Monitoriza tus datos
Como estrategia de seguridad del correo a largo plazo, puedes emplear herramientas que monitorizan automáticamente la dark web en busca de bases de datos de filtraciones para comprobar si tu dirección está en alguna de ellas. Herramientas como Escáner de filtración de datos también te permiten monitorizar información adicional, como contraseñas y datos de tarjetas de crédito, y te avisa en cuanto encuentra datos filtrados. Estas herramientas te ayudan a responder de forma eficaz ante incidentes de seguridad de datos y a tomar medidas para proteger tu información personal.
Mejora tu seguridad en Internet
Almacena y gestiona tus objetos de valor digitales de forma segura
Obtén NordPassCómo detectar estafas por correo
El spam (correo basura o no deseado) es uno de los métodos más comunes para robar los datos de las cuentas de los usuarios y acceder a ellas sin autorización. Para no caer en la trampa de un correo electrónico de phishing, debes saber identificar las señales de alerta típicas de esta táctica fraudulenta.
Ingeniería social
La ingeniería social abarca una amplia gama de ciberataques que suponen una amenaza para la seguridad del correo electrónico. Los ciberdelincuentes manipulan a sus víctimas para convencerlas de que revelen credenciales, datos financieros y otra información valiosa sin que sospechen nada. A menudo se hacen pasar por representantes de grandes empresas para ganarse la confianza de los usuarios y les presionan para que respondan rápido. Los ataques de ingeniería social más habituales son los de phishing. De acuerdo con el informe del panorama de amenazas 2025 de la ENISA,los ataques de phishing representaron el 60% de todos los incidentes registrados entre julio de 2024 y junio de 2025.
Estas son las características principales de un correo fraudulento de ingeniería social:
Una estructura de correo electrónico inusual. Un correo de spam está redactado para parecer convincente, pero es posible que su estructura no logre reproducir bien la de un correo real. Los estafadores utilizan fuentes que difieren de las que usan las empresas reales, lo que hace que el texto parezca extraño en comparación con los correos legítimos. Fíjate en si hay tipos y tamaños de fuente diferentes.
Errores gramaticales. Las estructuras sintácticas extrañas y las faltas ortográficas son muy habituales en los correos no deseados. A diferencia de la comunicación formal, que suele estar cuidadosamente redactada, los correos de spam se escriben para que parezcan urgentes y sin prestar mucha atención a la corrección gramatical. Analiza el lenguaje empleado y, si puedes, compáralo con comunicaciones anteriores del remitente real. Si detectas diferencias en la forma de expresarse, es probable que se trate de una estafa.
Sensación de urgencia. El lenguaje que usan los ciberdelincuentes en sus correos suele estar pensado para que el destinatario sienta que hay prisa. Utilizan frases como «Actúa ahora» para presionarte a que interactúes con el correo electrónico y facilites tus datos personales. Si te sientes así, haz justo lo contrario: revisa el contenido con calma para decidir qué medidas hay que tomar, si es que hay que tomar alguna.
Enlaces falsos. El elemento clave de la mayoría de los correos fraudulentos son los enlaces falsos. Estos enlaces suelen llevar a los usuarios a webs que imitan a las de proveedores de servicios reales. Suelen ser muy básicos y contienen solo una página funcional, normalmente un formulario con campos para que el usuario dé su información. Los enlaces falsos tienen como objetivo recopilar información confidencial, como datos de inicio de sesión o de pago.
Botones interactivos invisibles. Los correos de spam suelen incluir un botón clásico de llamada a la acción falsificado para que el usuario abra la web suplantada. Sin embargo, también puede contener botones ocultos en secciones aleatorias del correo electrónico. No hagas clic en ninguna parte de un correo fraudulento para no abrir un sitio web peligroso.
Un saludo impersonal. En lugar de dirigirse a ti por tu nombre o el nombre de usuario del sitio web, el spam suele empezar con «Estimado señor/señora» o «Estimado [email username]» cuando esa es toda la información que los ciberdelincuentes tienen sobre ti. Sin embargo, en algunos correos no solicitados pueden usar saludos impersonales, por lo que no siempre son un indicio claro de spam; por eso, conviene tener en cuenta otros criterios.
Una dirección de correo sospechosa. Los nombres de usuario y los dominios que usan los estafadores suelen imitar a los de proveedores de servicios reales, con pequeños cambios, como un cero en lugar de una «o» o guiones adicionales. Comprueba siempre quién es el remitente del correo para tener claro que no estás ante un estafador.
Archivos adjuntos. Hay ciberdelincuentes que adjuntan un archivo malicioso a los correos que envían. Si lo descargas y lo abres, puede instalar un virus en tu ordenador y darles acceso a través de una puerta trasera. Sin embargo, para reforzar la seguridad, la mayoría de los proveedores de correo cuentan con escáneres integrados que analizan si es seguro abrir los archivos.
Phishing mejorado con IA
Tecnologías como la inteligencia artificial han abierto las puertas a muchas oportunidades nuevas, algunas con fines maliciosos. Los ciberdelincuentes han descubierto cómo pueden usar la IA generativa para diseñan estafas más elaboradas. Usan el análisis de datos para recopilar información precisa y personalizar las estafas para grupos de usuarios concretos o incluso para particulares. Según el informe del panorama de amenazas de la ENISA, a principios de 2025, la IA se había convertido en una herramienta fundamental para los ciberdelincuentes, y los grandes modelos de lenguaje (LLM, por sus siglas en inglés) se utilizaban en cierta medida en el 80% de los correos electrónicos de phishing identificados.
Los correos electrónicos de phishing mejorados con IA contienen imágenes y texto que se parecen mucho a los de las marcas auténticas o a las personas por las que los estafadores se hacen pasar. Comparten los elementos típicos del phishing: enlaces falsos, contenido engañoso y una sensación de urgencia. Fíjate en estas señales para detectar un correo optimizado con inteligencia artificial:
Compara las imágenes. Si recibes un correo de un estafador que se hace pasar por una marca, compara las imágenes con las que aparecen en sus comunicaciones oficiales. Busca diferencias y alteraciones en el diseño para identificar las imágenes generadas por inteligencia artificial.
Analiza el lenguaje. Las estafas con IA pueden usar información relacionada con tu identidad. Compara el lenguaje del correo con el de otros correos que hayas recibido de la marca. Si de repente el saludo es distinto o el formato no es el habitual, puede que se trate de una estafa.
Verifica la dirección de correo del remitente. Copia la dirección y búscala en tu bandeja de entrada para ver si ya has recibido algún mensaje de esa dirección.
Phishing de código QR
El phishing mediante códigos QR, conocido como «quishing», es cada vez más habitual tanto en Internet como en el mundo real. Los estafadores envían un correo que contiene un código QR y piden al usuario escanearlo para hacer algo importante, como actualizar sus datos personales o renovar una suscripción. El código QR en sí es inofensivo, pero el enlace puede llevar a una web falsa o a un archivo malicioso.
El código QR no revela información sobre su contenido, lo que dificulta la detección de estas estafas. Por seguridad, no abras web codificadas en códigos QR extraños. Para comprobar que son legítimos, puedes escanearlos, copiar el enlace que contienen sin hacer clic en él y pasarlo por un verificador de web maliciosas.
Mejorar la seguridad del correo electrónico a través de la seguridad de la red
Además de los consejos sobre seguridad de la cuenta y protección del correo que hemos comentado, también puedes tomar medidas adicionales para proteger tu conexión a Internet y evitar que otros datos personales caigan en manos equivocadas.
Usar una red wifi pública con una VPN
Los delincuentes suelen interferir en el tráfico de las conexiones wifi públicas para acceder a tus datos. De esta forma pueden acceder a tu historial de navegación y poner en peligro tus cuentas personales y la información confidencial a la que accedes si te conectas a la red pública.
Para proteger tus datos de posibles filtraciones, te recomendamos usar una VPN como NordVPN. Podrás seleccionar un servidor al que conectarte y cifrar tu tráfico para navegar de forma privada incluso mediante una red wifi pública.
Actualizar el software
El software obsoleto puede generar vulnerabilidades de seguridad en tu dispositivo, y los ciberdelincuentes pueden usar tu bandeja de entrada para aprovecharlas. Es posible que recibas un correo de un supuesto «proveedor de software» para actualizar el software de forma gratuita con el archivo adjunto. El archivo adjunto contiene un virus que, de instalarse, puede dejar tu dispositivo expuesto a riesgos.
Mantén tu software actualizado —especialmente en lo que respecta a los parches de seguridad—, pero descarga las nuevas versiones únicamente desde las web oficiales o actualízalo directamente desde la app. Evita los archivos desconocidos que encuentres en Internet o que recibas en tu bandeja de entrada y que no cuenten con una fuente fiable que los avale.
Gestión de apps de terceros
A veces, en la tienda digital de tu dispositivo puedes encontrarte con dos apps de correo muy similares: una es auténtica y la otra es una imitación. Los ciberdelincuentes pueden publicar en las tiendas digitales apps que imitan a la original, y alegan que se trata de una versión mejorada o de un complemento para mejorar su funcionalidad. Estas apps se usan para recopilar datos del dispositivo y, en algunos casos, pueden contener un «keylogger» (virus de registro de teclas) que permite a los delincuentes monitorizar las pulsaciones del teclado para robar datos de inicio de sesión u otra información confidencial.
Antes de descargar una app, comprueba si el desarrollador es de confianza. Echa un vistazo a las reseñas: un número sospechosamente bajo de ellas podría indicar que se trata de una app fraudulenta. Además, desinstala las apps obsoletas de tu dispositivo, ya que más adelante pueden suponer un riesgo de seguridad. Evita las extensiones de terceros en tu bandeja de entrada; podrían poner en peligro la seguridad de tu correo.
Consejo: Google ya no es compatible con apps de terceros que piden a los usuarios introducir las credenciales de inicio de sesión de su cuenta de Google. Así podrás identificar con facilidad las apps menos seguras y evitar iniciar sesión en una falsificación.
Qué debes hacer si te hackean la cuenta de correo electrónico
Si te hackean la cuenta de correo electrónico, no te asustes. Adopta de inmediato medidas de seguridad para tu correo electrónico con el fin de mantener tu acceso y evitar que los ciberdelincuentes pongan en peligro la integridad de tu cuenta.
1. Cambia tu contraseña de inmediato
Lo primero que debes hacer ante esta situación es anticiparte a los delincuentes y cambiar inmediatamente la contraseña. Opta por una combinación única y compleja de caracteres que solo tú conozcas. No reutilices contraseñas ni uses una que se parezca mucho a la actual. Tampoco utilices la nueva en ninguna otra cuenta que crees en adelante.
2. Activa la autenticación multifactor (MFA)
En la configuración de seguridad de tu cuenta, activa la autenticación multifactor si aún no lo has hecho. Aconsejamos utilizar una app de autenticación para generar contraseñas o códigos de acceso de un solo uso. Los delincuentes no podrán iniciar sesión sin introducir el código que solo está disponible en tu dispositivo. Algunas apps de autenticación también envían una notificación push para avisarte de un intento de inicio de sesión.
3. Cierra todas las sesiones activas
Para asegurarte de que los ciberdelincuentes no puedan acceder a tu bandeja de entrada, debes cerrar todas las sesiones activas. Al hacerlo, también se cerrará la sesión en tus dispositivos. Cierra las sesiones solo después de cambiar la contraseña y activar la MFA; así, en todas las sesiones nuevas se usarán las credenciales de inicio de sesión actualizadas y los ciberdelincuentes ya no podrán usar la contraseña antigua para acceder.
4. Revisa la configuración de la cuenta
Comprueba los ajustes de seguridad y privacidad de tu cuenta. Si los delincuentes logran acceder a tu cuenta, podrían modificar tus datos de contacto para intentar anular tu nueva contraseña. Deshaz cualquier cambio que no reconozcas, como los relacionados con números de teléfono, nombres o ajustes de seguridad.
5. Actualiza las opciones de recuperación de cuenta
Comprueba bien las opciones de recuperación de tu cuenta. Asegúrate de que los detalles de recuperación no hayan cambiado. Elimina cualquier dato extraño, como direcciones de correo o números de teléfono adicionales, para impedir a los delincuentes acceder a los pasos de recuperación. Si tienes que ponerte en contacto con el equipo de asistencia de tu servicio de correo y dispones de opciones de recuperación precisas, podrás demostrar más fácilmente que eres el titular legítimo de la cuenta.
6. Analiza tus dispositivos en busca de malware o virus
Si sospechas que tu cuenta ha sufrido una filtración debido a un archivo infectado, ejecuta un antivirus y pon en cuarentena cualquier malware que detecte. Elimina los archivos sospechosos de tu dispositivo. Te recomendamos que hagas copias de seguridad periódicas de los archivos importantes, por si acaso se vieran afectados.
7. Revisa tu bandeja de entrada y de salida
Revisa todos los mensajes de correo electrónico entrantes y salientes que puedas haberte perdido cuando tus datos de acceso se vieron comprometidos. Comprueba si se han enviado correos electrónicos desde tu dirección con la intención de suplantar la identidad de otros usuarios. Si es así, avisa a los destinatarios de que han hackeado tu cuenta. Marca los correos sospechosos como spam para no volver a recibirlos.
8. Cambia las contraseñas de las cuentas relacionadas
Si has usado la misma contraseña en otras cuentas, cambia también sus credenciales de inicio de sesión. Haz un escaneo de la dark web con tu dirección de correo para saber si las cuentas que la usan se han visto afectadas por la misma filtración o han aparecido en otras bases de datos.
En resumen
Adoptar prácticas seguras de gestión del correo puede ayudarte a proteger tus datos sin que acceder a tu cuenta de correo resulte molesto. Puedes actualizar fácilmente tus credenciales de correo y proteger tu cuenta. Con NordPass Premiumpuedes generar y guardar nuevas credenciales de inicio de sesión seguras, gestionar la autenticación de dos factores e incluso crear una máscara para ocultar tu dirección a remitentes no deseados.
Herramientas como el Escáner de filtración de datos y la Seguridad de la contraseña te ayudan a garantizar que tus cuentas estén protegidas tan pronto como NordPass detecte una vulnerabilidad. Con un poco de ayuda, podrás disfrutar de un acceso seguro y práctico a tu correo electrónico.