Recibes un correo que dice ser de tu banco, de una plataforma que usas o de un proveedor, y algo no encaja. ¿Es real o es phishing? Mirar solo el nombre del remitente no basta: precisamente ahí es donde los estafadores ponen su mayor esfuerzo. Esta guía te enseña a leer las señales que de verdad distinguen un correo fiable de uno fraudulento: el dominio, su antigüedad, la autenticación técnica y el rastro público de la dirección. Son las mismas señales que analiza un motor OSINT, explicadas para que las entiendas y las uses tú.
Por qué un correo «válido» no siempre es un correo «fiable»
Primer concepto, y el más importante: validez técnica no es lo mismo que confianza.
- Un correo puede ser técnicamente válido (la dirección existe, el servidor la acepta) y aun así proceder de un estafador que se ha creado esa cuenta hace cinco minutos.
- Y al revés: una dirección legítima puede tener alguna señal técnica floja sin ser un fraude.
Verificar un correo, por tanto, no es preguntar «¿existe esta dirección?», sino «¿puedo confiar en quien hay detrás de este mensaje?». Y esa pregunta se responde con varias señales combinadas, no con una sola.
Señales que delatan un correo fraudulento
Dominio recién creado o typosquatting
La parte que va después de la @ es el dominio, y es donde se esconde la mayoría de los fraudes:
- Typosquatting: dominios que imitan a uno legítimo con un cambio mínimo que se cuela a simple vista:
micr0soft.net(con cero),banco-seguridad.com,amazon-envios.info. A primera vista parecen el real; leídos con atención, no lo son. - Dominio recién registrado: un correo «oficial» que llega desde un dominio creado hace días es una señal muy fuerte de fraude. Lo veremos en detalle más abajo.
Dominio desechable o temporal
Existen servicios de correo de usar y tirar que generan direcciones que se autodestruyen en minutos. Son legítimos para ciertos usos, pero un supuesto contacto serio (un proveedor, un cliente, un banco) nunca te escribirá desde uno. Si el dominio del remitente es uno de estos servicios temporales, la confianza cae a cero.
Falta de SPF, DKIM o DMARC
Son los mecanismos que permiten comprobar que un correo viene de verdad de quien dice venir (los explico en la siguiente sección). Un dominio que no tiene estas protecciones configuradas es más fácil de suplantar, y un correo que falla estas comprobaciones es sospechoso.
Dirección de rol que finge ser personal
Direcciones como no-reply@, admin@, info@ o security@ son de rol (una función, no una persona). No son fraude por sí mismas, pero cuando un correo firmado por «Juan, tu gestor personal» llega desde un no-reply@ genérico, hay una incoherencia que conviene mirar con lupa.
Cómo comprobar la autenticación de un correo
Aquí está el corazón técnico, explicado en simple. Tres siglas protegen (o delatan) un correo: SPF, DKIM y DMARC. No necesitas configurarlas; necesitas entender qué te dicen como receptor.
| Mecanismo | Qué comprueba | Qué significa para ti |
|---|---|---|
| SPF (Sender Policy Framework) | Que el servidor que envió el correo está autorizado por el dominio | Si falla, el correo pudo enviarse desde un servidor no autorizado: posible suplantación |
| DKIM (DomainKeys Identified Mail) | Una firma digital que garantiza que el contenido no se alteró y viene del dominio | Si falla, el mensaje pudo ser manipulado o falsificado |
| DMARC | La política que une SPF y DKIM y dice qué hacer si fallan | Un dominio con DMARC estricto es mucho más difícil de suplantar |
En resumen: un correo de una entidad seria suele pasar SPF, DKIM y DMARC. Un correo que las falla, o que viene de un dominio que ni siquiera las tiene configuradas, merece desconfianza. Comprobar esto a mano es engorroso; por eso conviene analizarlo con una herramienta que te lo lea de golpe: puedes analizar un correo con contexto técnico y lectura antifraude.
Antigüedad y reputación del dominio
Una de las mejores señales antifraude que existen —y una de las menos conocidas— es la fecha de registro del dominio. Se consulta mediante RDAP (el sistema público que sustituyó al WHOIS) y responde a una pregunta demoledora: ¿desde cuándo existe el dominio que me escribe?
- Un dominio con años de antigüedad, con SPF/DKIM/DMARC bien configurados y buena reputación, encaja con una organización real.
- Un dominio de días o semanas que te escribe como si fuera tu banco de toda la vida es, casi con seguridad, parte de una campaña de fraude montada para la ocasión.
Esta comprobación de antigüedad es tan potente que la usamos también para detectar tiendas falsas: si quieres el método aplicado a compras, mira cómo detectar una tienda online falsa. Y para analizar el dominio por su cuenta —antigüedad, titularidad pública, infraestructura y reputación— tienes el análisis de dominios.
Rastro público de una dirección de correo
Una dirección de correo deja un rastro público legítimo y agregado: en qué plataformas se ha usado para registrarse, si aparece asociada a servicios conocidos. Esta comprobación se hace de forma agregada y respetuosa, sin exponer datos personales sensibles: no se trata de husmear en la vida de nadie, sino de ver si el perfil de uso de una dirección encaja con lo que el correo dice ser.
Por ejemplo, un correo que afirma ser el departamento financiero de una empresa consolidada pero cuya dirección no tiene ningún rastro coherente con esa actividad es, cuando menos, incoherente. Es OSINT antifraude aplicado al correo; el marco general lo tienes en qué es la inteligencia OSINT.
Checklist rápido antes de confiar en un email
Antes de pulsar un enlace, descargar un adjunto o responder con datos, repasa esto:
- ¿El dominio (después de la @) es exactamente el oficial? Cuidado con letras cambiadas o palabras añadidas.
- ¿Desde cuándo existe ese dominio? Un dominio nuevo que se presenta como veterano es alarma roja.
- ¿Pasa las comprobaciones de autenticación (SPF/DKIM/DMARC)?
- ¿La dirección es coherente con quien dice ser (no un desechable, no un rol genérico firmando como persona)?
- ¿El mensaje mete prisa o pide datos/credenciales? La urgencia y la petición de claves son la firma del phishing.
- En caso de duda, no uses el enlace del correo. Entra tú a la web oficial escribiendo la dirección.
Análisis con contexto técnico y lectura antifraude
Hacer todas estas comprobaciones a mano lleva tiempo y conocimiento. Una plataforma OSINT las reúne en una sola lectura: valida el correo, revisa el dominio y su antigüedad, comprueba la autenticación, evalúa la reputación y el rastro público, puntúa el riesgo y te lo explica en lenguaje claro. Puedes analizar un correo con contexto técnico y lectura antifraude y obtener un informe exportable con evidencia fechada por sello de tiempo RFC3161, útil si necesitas conservar la prueba de un intento de fraude.
Preguntas frecuentes sobre correos fraudulentos
Mira el dominio (no solo el nombre): si está imitado con un cambio mínimo, es reciente, falla la autenticación o el mensaje pide credenciales con urgencia, desconfía. Ninguna señal sola decide; el conjunto sí.
Son mecanismos que permiten al receptor comprobar que un correo viene realmente del dominio que dice. Si un correo los falla, es más probable que sea una suplantación.
Poco. El nombre visible se falsifica con facilidad. Lo fiable es el dominio que va después de la @ y sus señales técnicas.
Sí. Que una dirección exista y funcione no significa que quien la usa sea de fiar. Validez técnica y confianza son cosas distintas.
