Cómo proteger tu correo electrónico de hackers y spam

Tu cuenta de email vale más que tu tarjeta de crédito. No es hipérbole: si alguien toma el control de tu correo, tiene acceso a cada «restablece tu contraseña» que existe en internet. Banco, Netflix, Amazon, tu trabajo. Todo.

El email es el eje central de tu identidad digital, y los atacantes lo saben perfectamente. Por eso no atacan tu cuenta bancaria directamente —eso tiene múltiples capas de seguridad— sino que van a por el correo primero. Es más fácil, más rentable y, en muchos casos, ni te enteras hasta que ya es tarde.

Por qué tu email es el objetivo número uno

Piénsalo así: el 80% de los servicios online usan el correo como método de recuperación. Cuando un atacante entra en tu Gmail o Outlook, no solo lee tus mensajes. Tiene acceso a restablecerse la contraseña de cualquier servicio donde estés registrado. Es como tener una llave maestra.

Además, tu historial de correo es una mina de oro de información personal: confirmaciones de pedidos con tu dirección, facturas con tu número de cuenta, conversaciones laborales sensibles. Todo eso tiene valor en el mercado negro, y todo está en un solo lugar.

Los ataques más comunes son tres: phishing (correos que te engañan para que entres en una web falsa), credential stuffing (probar combinaciones de usuario/contraseña filtradas de otras webs) y, cada vez más, ataques de SIM swapping para saltarse la verificación en dos pasos. Conocer el enemigo es el primer paso.

Lo primero que debes hacer hoy (de verdad, hoy)

Activa la autenticación en dos factores (2FA) ahora mismo. Si ya la tienes con SMS, mejora a una app autenticadora —SMS es vulnerable al SIM swapping—. Las mejores opciones son Authy, Google Authenticator o, si quieres seguridad de nivel profesional, una llave física como YubiKey.

En Gmail, el proceso es: Configuración → Seguridad → Verificación en dos pasos. En Outlook: cuenta.microsoft.com → Seguridad → Opciones de seguridad avanzadas. No te lleva más de cinco minutos y multiplica por cien la dificultad para cualquier atacante.

Mientras estás ahí, revisa también las sesiones activas y las aplicaciones con acceso a tu cuenta. Es habitual encontrar apps que autorizaste hace tres años y ya no usas. Cada una es una puerta potencial.

Contraseñas: el error que casi todo el mundo comete

Usar la misma contraseña en varios sitios no es un pequeño descuido. Es dejar todas las puertas de tu casa abiertas con la misma llave. Cuando se filtra una base de datos —y ocurre constantemente, puedes comprobarlo en haveibeenpwned.com— los atacantes prueban esas credenciales en todos los servicios populares de forma automática.

La solución es usar un gestor de contraseñas. Bitwarden es gratuito, open source y funciona en todos los dispositivos. 1Password y Dashlane son excelentes alternativas de pago con funciones adicionales. Estas herramientas generan contraseñas únicas de 20+ caracteres para cada servicio y las recuerdan por ti.

Para tu cuenta de email específicamente, la contraseña debería ser larga (mínimo 16 caracteres), única, y no guardarla en el navegador. El navegador es conveniente, pero si alguien accede a tu ordenador, tiene todas tus contraseñas.

Cómo detectar un correo de phishing

Los phishing modernos son buenos. Muy buenos. Ya no tienen los errores ortográficos y el diseño horrible de antes. Pero siempre tienen señales que los delatan si sabes qué buscar.

• El remitente no coincide con el dominio real: un correo de «[email protected]» no es de Apple. Revisa siempre la dirección completa, no solo el nombre visible.
• Urgencia artificial: «Tu cuenta será suspendida en 24 horas» es una táctica clásica para que actúes sin pensar.
• Enlace distinto al texto: pasa el ratón sobre cualquier enlace antes de hacer clic. Si el texto dice «apple.com» pero la URL apunta a otro dominio, es phishing.
• Solicitudes de datos sensibles: ninguna empresa legítima te pedirá tu contraseña por email. Ninguna.

Ante cualquier duda, no hagas clic en nada del correo. Ve directamente a la web del servicio escribiendo la URL tú mismo, o llama al servicio al cliente por los canales oficiales.

Configuración que marca la diferencia

Más allá del 2FA, hay ajustes específicos que vale la pena activar. En Gmail, activa la Protección Avanzada si manejas información sensible —requiere llaves físicas pero es el nivel más alto disponible—. Para el resto, asegúrate de que los filtros de spam están al máximo y que tienes activadas las alertas de inicio de sesión desde nuevos dispositivos.

En el correo corporativo, habla con tu equipo de IT sobre SPF, DKIM y DMARC. Son protocolos que autentican el dominio del remitente y reducen drásticamente el spam y el spoofing. Si tu empresa no los tiene configurados, cualquiera puede enviar correos haciéndose pasar por vosotros.

También conviene revisar los filtros y reenvíos automáticos periódicamente. Un atacante que entra brevemente en tu cuenta no necesita quedarse: puede configurar un reenvío silencioso a su dirección y recibir copia de todo lo que te llegue durante meses. Es un ataque difícil de detectar y devastador en entornos corporativos.

Un hábito que cambia todo

Usa direcciones de email distintas para distintos propósitos. Una para trabajo, una personal, y una —desechable, con SimpleLogin o AnonAddy— para registrarte en servicios que no conoces o que podrían venderte a terceros. Así, si una se compromete, las demás siguen seguras.

La seguridad del correo no es una tarea de una tarde y ya está. Es un hábito. Revisar las sesiones activas cada mes, actualizar contraseñas cuando hay noticias de filtraciones, mantenerse al día con nuevas técnicas de phishing. No es paranoia, es higiene digital.

Tu email es la llave de tu vida digital. Trátalo como tal.