Qué hacer si recibes correos sospechosos desde tu propio email

Recibir un email que parece enviado desde tu propia dirección puede ser alarmante, pero en la mayoría de los casos no indica que hayan accedido a tu cuenta. Detrás de esto suele estar una técnica de suplantación del remitente (email spoofing) que aprovecha vulnerabilidades del protocolo para hacer que el mensaje parezca legítimo cuando no lo es.

Los ciberdelincuentes utilizan este método para realizar chantajes, difundir malware o robar datos, apelando a la urgencia, la vergüenza o el miedo para que pagues en criptomonedas o hagas clic en enlaces dañinos. Organismos como INCIBE, la OCU y expertos en seguridad advierten que estos correos son fraudulentos y recomiendan no ceder al chantaje ni facilitar información personal. Vamos a enseñarte qué hacer si recibes correos sospechosos desde tu propio email.

Qué es el email spoofing y por qué te llegan correos “tuyos”

El email spoofing es una técnica que consiste en falsificar el remitente modificando las cabeceras del mensaje para que parezca provenir de otra fuente. Como explican especialistas en ciberseguridad, el atacante modifica campos como “From” o el asunto para aparentar ser alguien de confianza —incluso tú mismo— sin que haya habido acceso a tu cuenta.

Esto es posible porque el protocolo SMTP, que rige el envío de correos, no requiere autenticar al remitente por sí solo. Así, con herramientas sencillas o APIs, cualquier persona puede establecer la dirección “De:” que desee; los servidores envían el mensaje y la cabecera visible en tu bandeja muestra la dirección que el atacante ha puesto, aunque no sea la real.

Los encabezados técnicos del correo (las cabeceras completas) revelan la verdadera ruta del mensaje, ya que registran cada salto entre servidores en campos como Received:. Sin embargo, la mayoría de usuarios no los revisan antes de interactuar con el contenido.

Además del campo De:, los estafadores usan “Reply-To” para redirigir las respuestas a otra cuenta controlada por ellos, de modo que, aunque el correo parezca enviado por ti o un contacto, la contestación llega al atacante.

Cómo operan estas estafas: del falso “hackeo” a la sextorsión

Uno de los patrones más comunes es la sextorsión mediante email: el atacante afirma que ha infectado, grabado o controlado tu cámara y amenaza con difundir vídeos íntimos si no pagas en 48 horas, generalmente en bitcoin. Estos mensajes suelen decir que te han estado vigilando durante semanas o que usaron un software que “encendió tu micrófono”.

INCIBE aclara que, en este tipo de campañas, el atacante no ha accedido a tus dispositivos ni tiene vídeos reales, y que el objetivo principal es asustarte para obtener un pago o tus datos. La OCU añade que también buscan distribuir malware a través de archivos adjuntos o enlaces infectados.

Otra variante son los falsos avisos de “Pegasus” u otros malware “ultrapoderosos”, con el reclamo de que todos tus dispositivos están comprometidos y que solo el pago urgente evitará consecuencias graves. Es un clásico ejemplo de ingeniería social basado en la urgencia y el miedo.

Los atacantes juegan con la vergüenza para presionarte, y suelen exigir criptomonedas debido a su dificultad para rastrearlas. En ocasiones incluyen contraseñas filtradas en brechas de datos para dar mayor credibilidad, aunque esto no signifique que tengan control actual de tus cuentas.

Señales para detectar chantajes y correos de phishing

Fíjate en los indicadores típicos: exigencias económicas urgentes (especialmente en criptomonedas), amenazas de publicar contenido íntimo y plazos de 24-48 horas. Estas presiones recurrentes son señales habituales en el phishing y los chantajes.

También observa si hay textos mal redactados, errores ortográficos o frases “raras” que indiquen automatización o traducción pobre, además de remitentes disfrazados o direcciones que no corresponden con la entidad legítima.

Desconfía de las peticiones de datos personales o bancarios vía email, enlaces para “verificar la cuenta”, o para descargar software, especialmente si el mensaje parece inusual o imita a tu banco, proveedor o contacto familiar. Confirma siempre por canales oficiales.

Si recibes un mensaje supuestamente de una organización conocida (como una empresa de mensajería) solicitando un pago o actualización mediante enlace, recuerda que las instituciones legítimas no solicitan datos confidenciales por email ni envían adjuntos ejecutables.

Cómo comprobar de dónde viene realmente un email

Revisar la cabecera completa del correo permite confirmar su origen real y la ruta que recorrió. Compara los campos técnicos con la información visible en “De:”.

• Gmail: abre el mensaje, pulsa en los tres puntos verticales y selecciona “Mostrar original”. Verás el código completo y la línea From: auténtica, además de las verificaciones de autenticidad.
• Outlook: abre el mensaje, clic derecho y “Opciones de mensaje”. Revisa “Cabecera de Internet” para verificar Received:, From:, Reply-To:, y copia la cabecera si necesitas analizarla.
• Yahoo Mail: abre el mensaje, pulsa en los tres puntos y selecciona “Ver origen del mensaje”. Examina las entradas Received: y la IP del remitente original para detectar posibles inconsistencias.

Outlook muestra un “?” en la imagen del remitente cuando no puede verificar la identidad, sugiriendo precaución. Si un contacto habitual no suele aparecer con ese símbolo y, de repente, sí, puede estar siendo suplantado.

Otra pista es que, si la dirección en “De:” difiere de la que aparece en la cabecera, podrás ver el remitente auténtico subrayado, ayudándote a identificar correos falsos.

Qué hacer si te llega un correo “desde tu propio email”

1) No respondas, no hagas clic en enlaces ni abras archivos adjuntos. Responder confirma que tu buzón está activo y puede facilitar futuros ataques. Pagar solo alimenta el chantaje sin resolver nada.

2) Elimina o marca como spam el mensaje. Esto ayudará a mejorar los filtros de tu proveedor y a reducir la aparición de campañas similares.

3) Refuerza la seguridad de tus cuentas: cambia la contraseña por una fuerte y única, y activa la verificación en dos pasos. Si utilizas la misma clave en varias plataformas, cámbiala en todas para evitar brechas previas.

4) Revisa los inicios de sesión recientes y la actividad en tus cuentas principales. Si no detectas accesos sospechosos, probablemente se trata de suplantación sin intrusión real.

5) Si ya realizaste pagos o proporcionaste datos, recopila pruebas (capturas, transacciones, mensajes) y denuncia ante las autoridades, como la Policía o la Guardia Civil. No entables más comunicación con el atacante y guarda toda la evidencia del intento de extorsión.

Cómo denunciar, filtrar y bloquear según tu servicio

Gmail: marcar como phishing/spam y bloquear

En Gmail, puedes reportar un mensaje como spam o phishing y bloquear al remitente para evitar futuros correos indeseados. Al mover un email a Spam, Google recibe una copia para mejorar la detección general.

• Marcar como spam en la web: selecciona el mensaje, pulsa en el icono de “¡!”, o usa Shift+1; Gmail confirmará la acción.
• En móvil: selecciona el mensaje, toca en los tres puntos y elige “Marcar como spam”. También desde la app en Android o iOS.
• Bloquear remitente: abre el correo, toca “Más” (tres puntos) y selecciona “Bloquear ”. Opcionalmente, marca también como spam.
• Filtros: en Configuración > Filtros y direcciones bloqueadas > Crear filtro. Define reglas para gestionar o excluir ciertos correos.

Outlook/Hotmail: gestionar spam y bloquear remitentes

• Marcar como “Correo no deseado”: selecciona el mensaje y pulsa en “Spam”. Puedes decidir si informas a Microsoft o no; el correo se moverá a la carpeta de no deseados.
• Bloquear remitente: en el mensaje, clic en “Correo no deseado” y luego en “Bloquear remitente”. Para revertir el bloqueo, ve a herramientas > preferencias de correo no deseado.
• Mejorar filtros de spam: en Configuración > Ver todos los ajustes > Correo > Correo no deseado. Activa opciones para bloquear enlaces, adjuntos o imágenes sospechosas.

Apple Mail e iCloud

• Desde iPhone/iPad: abre el email, toca en la bandera y selecciona “Mover a correo no deseado”. Puedes bloquear contactos desde Ajustes > Mail > Bloqueados.
• En Mac: selecciona el mensaje y pulsa “Correo no deseado” o arrástralo a la carpeta correspondiente. Configura filtros en Preferencias > Correo no deseado.
• En iCloud.com: abre el mensaje y pulsa en la bandera, luego “Mover a correo no deseado” o arrástralo a esa carpeta.

Thunderbird

• Activa los controles anti-spam: Menú > Opciones > Configuración de la cuenta > “Configuración de correo no deseado”. Marca “Activar controles”.

Buenas prácticas para reducir el spam y evitar caer en trampas

Piensa antes de compartir tu correo y evita publicarlo en sitios abiertos o foros, donde bots y spammers pueden recopilarlo. Usa alias o cuentas desechables para registros que no sean de confianza.

No interactúes con mensajes sospechosos: ni abras archivos, ni hagas clic en enlaces ni te des de baja en correos dudosos, ya que esto confirma que tu dirección está activa y puede aumentar el problema. Para boletines legítimos, sí, puedes darte de baja cuando desees.

Mantén actualizado tu sistema, navegador y aplicaciones, y utiliza un antivirus con protección web y de email, para prevenir la descarga de archivos maliciosos y la entrada a sitios fraudulentos.

Activa la autentificación en dos pasos en tus principales servicios, para que, incluso si una contraseña se filtra, no puedan acceder sin tu segundo factor de seguridad.

Si gestionas mucho volumen de correo, considera instalar un filtro antispam adicional, que provea una segunda capa de protección contra mensajes no deseados.

Cómo saber si tus datos o contraseñas han salido a la luz

Revisa si tus cuentas de email o contraseñas han sido liberadas en filtraciones públicas, utilizando sitios confiables como haveibeenpwned.com. Si detectas exposición, cambia las contraseñas afectadas y activa MFA.

Si crees que contenido sensible con tu nombre circula en webs o redes, busca tu información y, si encuentras material que vulnera tu privacidad, solicita su eliminación a la plataforma. En la Unión Europea, tienes derecho al olvido para solicitar esa retirada cuando corresponda.

Verificación de comunicaciones de organizaciones populares

Algunas empresas han implementado medidas antifraude, como códigos de verificación en sus páginas oficiales. Si recibes un correo sospechoso de una compañía de paquetería solicitando pagos o datos, valida la información en su sitio oficial o contacta con atención al cliente.

Recuerda: organizaciones confiables no piden credenciales, datos bancarios ni archivos ejecutables por email o SMS, y si no esperas un envío, lo más seguro es ignorar y eliminar ese mensaje sospechoso.

Cómo identificar mejor el spam con estas pistas prácticas

Verifica la dirección completa del remitente, no solo el nombre que aparece en el campo visible, para detectar dominios inusuales o que no corresponden con la entidad declarada.

Desconfía de asuntos con un tono de “URGENTE” o “acción inmediata”, así como de mensajes genéricos como “Estimado cliente”. Los mensajes legítimos generalmente usan tu nombre y muestran un tono más formal.

Presta atención a errores de ortografía o puntuación, y a frases poco naturales, que suelen ser señales de traducción automática o plantillas automatizadas.

Mucho cuidado con archivos adjuntos desconocidos o enlaces acortados. Pasa el ratón sobre los enlaces para comprobar el destino o copia y analiza la URL en una herramienta de reputación sin hacer clic desde el mensaje.

Caso frecuente: “Me escriben desde mi correo y hasta me contestan”

Usuarios con cuentas de Outlook o Hotmail han recibido correos que parecen ser de “Pegasus” o extorsiones en las que exigen criptomonedas, y sorprendentemente, algunos llegan a responder a esas respuestas, sin que necesariamente tengan el control de la cuenta.

Si tienes activada la verificación en dos pasos y en el registro de actividad no aparecen accesos correctos, es señal de que no han logrado acceder a tu cuenta. Lo mejor es no responder, marcar como spam, reforzar la contraseña y mantener MFA activo. Además, un antivirus actualizado añade protección contra posibles archivos maliciosos.

Por qué el correo permite estas trampas y cómo te protege el cliente

El protocolo SMTP, utilizado para enviar correos, fue diseñado sin una autentificación fuerte del remitente, permitiendo que un emisor malicioso establezca una dirección “De:” arbitraria que los servidores aceptan y transmiten.

En cada salto entre servidores, el cuerpo del mensaje queda registrado en los “Received”: de la cabecera técnica, facilitando el rastreo de la fuente original para análisis forenses o detección de suplantaciones.

Los clientes modernos, como Outlook, muestran alertas visuales cuando no confirman la identidad del remitente, por ejemplo, un signo de interrogación o diferencias en las direcciones, para ayudarnos a identificar remitentes falsificados.

Cuándo y cómo escalar el problema

Si recibes amenazas creíbles, detalles específicos sobre ti o intentos de extorsión con importes en criptomonedas, guarda toda la evidencia (cabeceras, capturas y transacciones) y denuncia ante las fuerzas de seguridad.

Reporta también el incidente a tu proveedor de correo y a la institución suplantada (banco, mensajería, etc.), proporcionando toda la documentación recopilada.

La clave para protegerte consiste en reconocer la suplantación, ignorar el chantaje y activar los mecanismos de defensa adecuados: marcar como spam, bloquear remitentes, verificar cabeceras, reforzar contraseñas, mantener MFA y usar antivirus. Si quieres seguir aprendiendo sobre prácticas como esta para no caer te recomendamos leerte otros artículos como por ejemplo este sobre cómo eliminar un malware de mi celular.