Saltar al contenido principal

Anatomía de una estafa: el correo electrónico falso de entrega

febrero 28, 2026 · Gautier
3 mins
Cyber Securidad

El phishing ya no es solo cuestión de correos mal escritos o con faltas de ortografía. Hoy en día, los hackers utilizan «phishing kits» sofisticados que imitan a la perfección los portales de servicios públicos o empresas de transporte como Correos o FedEx. Aquí tienes la autopsia técnica de un intento de estafa.

El Remitente: Más allá del nombre visible

Los ciberdelincuentes suelen utilizar el «Display Name Spoofing». Configuran el nombre del remitente para que aparezca como «Servicio de Entrega», pero la dirección real detrás de ese nombre es totalmente ajena.

  • El Header (Encabezado): Si examinas el código fuente del correo, busca la línea Return-Path. Si difiere del dominio oficial, es una alerta roja inmediata.
  • La Autentificación: Los servidores modernos (Gmail, Outlook) suelen marcar estos correos como «no verificados» porque fallan las pruebas de firma DKIM o SPF.

Aprende más: Cómo identificar correos falsos y phishing

https://www.youtube.com/watch?v=FjS6oO5_T8c

El Enlace: El arte de la redirección

Los estafadores no te envían directamente al sitio de la estafa. Utilizan capas de camuflaje para eludir los filtros antispam:

  • Acortadores de URL: Uso de bit.ly o t.co para ocultar el destino final.
  • Typosquatting: Creación de un dominio que se parece al oficial por una sola letra, por ejemplo: correes.es en lugar de correos.es.
  • URL enmascarada: El texto del enlace dice «Haga clic aquí», pero el enlace real oculto apunta a un servidor pirata.

Herramienta: Unshorten.it – Esta herramienta ayuda a expandir y verificar las URL cortas, revelando el verdadero destino antes de hacer clic.

La Página de destino: El «Phishing Kit»

Una vez que haces clic, llegas a una copia exacta del sitio oficial. Pero cuidado con los detalles técnicos:
Atención: Un certificado SSL (el candado verde) es gratuito hoy en día. El HTTPS cifra la comunicación, pero no garantiza en absoluto que el dueño del sitio sea honesto.

  • Campos de formulario: El sitio te pedirá tu número de tarjeta, pero también tu fecha de nacimiento o código postal. Estos datos sirven para burlar la seguridad 3D Secure más adelante.
  • Detección de robots: Algunos sitios de phishing detectan si usas una VPN o un escáner de seguridad para mostrar una página vacía a los expertos, mientras siguen atrapando a los usuarios comunes.

Tu Checklist Anti-Phishing

Antes de rellenar cualquier formulario, pasa el correo por estos cuatro puntos de control:

  • ¿Es la dirección del remitente estrictamente idéntica a la habitual?
  • ¿El enlace de destino (visible al pasar el ratón sobre el botón) contiene el nombre exacto de la marca?
  • ¿El tono del mensaje es alarmista o te pide dinero de manera imprevista?
  • ¿El número de seguimiento es reconocido si lo escribes manualmente en la web oficial?

Vigilancia híbrida

La tecnología (antivirus, filtros) ayuda, pero el eslabón débil sigue siendo el humano. Al tomarte 10 segundos para analizar la URL y el remitente, neutralizas el 99% de los ataques de phishing.

Related Articles