¿Cómo pueden hackear tu correo electrónico?

En la era digital actual, el correo electrónico se ha consolidado como la piedra angular de nuestra vida online. No es solo una herramienta de comunicación, es la llave maestra que nos da acceso a un sinfín de servicios, desde plataformas de redes sociales y compras online hasta servicios bancarios y gubernamentales. Precisamente por su papel central, tu dirección de correo electrónico se convierte en un objetivo extremadamente atractivo y valioso para los ciberdelincuentes. Un correo comprometido puede abrir la puerta a un robo de identidad digital, fraudes financieros y la propagación de malware a tus contactos.

Comprender las tácticas que emplean los hackers para acceder a tu bandeja de entrada es el primer paso para fortalecer tus defensas. Desde sofisticados ataques de phishing hasta la explotación de contraseñas débiles, las amenazas son diversas y evolucionan constantemente. Esta guía te sumergirá en el oscuro mundo del hackeo de correos electrónicos, revelando las motivaciones detrás de estos ataques, los métodos más comunes utilizados por los delincuentes y, lo más importante, las estrategias proactivas que puedes implementar para proteger tu información más sensible. Además, te proporcionaremos una hoja de ruta clara sobre qué hacer si, a pesar de tus precauciones, tu cuenta de correo ya ha sido comprometida.

¿Por qué es tan valioso tu correo electrónico para los hackers?

Para los ciberdelincuentes, el correo electrónico no es solo una bandeja de entrada, es una mina de oro de información y una puerta de acceso a otros activos digitales. La centralidad del correo electrónico en nuestra vida online lo convierte en un objetivo de altísimo valor, a menudo más codiciado que una cuenta bancaria directa, debido a la multiplicidad de vías que abre para el fraude y el abuso.

Acceso a cuentas personales y bancarias

Tu dirección de correo electrónico actúa como el nombre de usuario principal o la vía de recuperación de contraseña para la gran mayoría de tus otras cuentas online. Desde plataformas de redes sociales como Facebook e Instagram, pasando por servicios de streaming como Netflix y Spotify, hasta sitios de compras online como Amazon y eBay. Casi todas estas plataformas utilizan tu correo electrónico para verificar tu identidad, enviar notificaciones y, crucialmente, permitir la recuperación de contraseñas.

Si un hacker obtiene acceso a tu correo electrónico, el primer paso que suele dar es buscar correos de «restablecimiento de contraseña» de tus otras cuentas. Con la capacidad de restablecer contraseñas, el atacante puede tomar el control de tus perfiles en redes sociales, realizar compras no autorizadas, acceder a servicios de almacenamiento en la nube donde guardas documentos sensibles y, en el peor de los casos, incluso acceder a tus cuentas bancarias online o plataformas de inversión.

Muchas instituciones financieras utilizan el correo electrónico como un canal para enviar estados de cuenta, notificaciones de transacciones o, de nuevo, como parte del proceso de recuperación de acceso. El robo de un correo electrónico puede ser el paso inicial para vaciar tus cuentas bancarias o realizar transferencias fraudulentas, aprovechando la confianza que se le otorga a este medio de comunicación para la verificación de identidad.

Robo de identidad digital

El robo de identidad digital va mucho más allá de las pérdidas financieras directas. Un correo electrónico comprometido puede proporcionar a los ciberdelincuentes una riqueza de datos personales sensibles que pueden ser utilizados para suplantar tu identidad de formas devastadoras. Tu bandeja de entrada puede contener una enorme cantidad de información privada:

• Documentos personales: fotos de documentos de identidad, pasaportes, contratos laborales o de alquiler, facturas con tu dirección, números de teléfono y otros datos.
• Comunicaciones sensibles: mensajes con abogados, médicos, instituciones educativas o cualquier otro tipo de comunicación confidencial.
• Información familiar: datos sobre tus familiares, sus nombres, fechas de nacimiento, direcciones, lo cual puede ser utilizado para ataques de ingeniería social más elaborados contra ellos.
• Historial de compras y suscripciones: detalles sobre tus hábitos de consumo, preferencias e intereses que pueden ser usados para construir un perfil detallado de ti.

Con esta información, un hacker puede abrir nuevas cuentas de crédito a tu nombre, solicitar préstamos, presentar declaraciones de impuestos fraudulentas, cometer crímenes en tu nombre o, incluso, acceder a servicios médicos y educativos. El impacto del robo de identidad puede ser a largo plazo, afectando tu historial crediticio, tu reputación y causando un considerable estrés emocional y financiero mientras intentas limpiar tu nombre. Tu correo electrónico es el archivo digital más completo de tu vida y su seguridad equivale a entregar tu identidad en bandeja de plata.

Uso para campañas de phishing y spam

Cuando un hacker obtiene control sobre tu cuenta de correo electrónico, no solo obtiene acceso a tu información; también gana una plataforma de lanzamiento creíble para sus propias actividades maliciosas. Tu cuenta de correo, una vez comprometida, se convierte en una herramienta invaluable para:

• Lanzar ataques de phishing dirigidos (spear phishing). El atacante puede enviar correos electrónicos de phishing a tus contactos (familiares, amigos, colegas de trabajo) haciéndose pasar por ti. Dado que el correo proviene de una dirección conocida y de confianza, es mucho más probable que tus contactos abran estos mensajes, hagan clic en enlaces maliciosos o descarguen archivos infectados. Estos correos pueden solicitar información personal, contraseñas o incluso pedir transferencias de dinero urgentes bajo pretextos falsos. La credibilidad del remitente aumenta drásticamente la tasa de éxito de estos ataques, propagando el daño a tu red de conocidos.
• Distribución de malware. Tu cuenta puede ser utilizada para enviar archivos adjuntos infectados con virus, ransomware o spyware a todos tus contactos que, confiando en ti, tienen más probabilidades de abrirlos. Esto transforma tu cuenta comprometida en un punto de distribución de software malicioso.
• Envío de spam y estafas masivas. Los hackers pueden utilizar tu cuenta para enviar grandes volúmenes de correos no deseados (spam) o mensajes de estafa a listas de correo que ni siquiera son tus contactos directos. Esto no solo daña tu reputación (pues tu dirección será reportada como spam), sino que también puede llevar a que tu dirección IP sea bloqueada por los proveedores de correo, impidiendo que puedas enviar correos legítimos en el futuro.
• Recolección de más datos. El acceso a tu correo también permite al hacker escanear tus contactos, tus comunicaciones con servicios y tus hábitos online para recolectar aún más datos que puedan ser utilizados para futuras estafas o para vender en el mercado negro.

Principales métodos para hackear correos electrónicos

Los ciberdelincuentes emplean una variedad de tácticas para obtener acceso no autorizado a cuentas de correo electrónico. Estos métodos van desde la manipulación psicológica hasta el uso de software sofisticado y la explotación de vulnerabilidades. Conocer estas técnicas es fundamental para protegerte.

Phishing o suplantación de identidad

El phishing es, sin lugar a dudas, uno de los métodos más prevalentes y exitosos utilizados por los hackers para comprometer cuentas de correo electrónico. Consiste en una técnica de ingeniería social que busca engañar a las víctimas para que revelen sus credenciales de inicio de sesión o información sensible.

El atacante envía un correo electrónico (o un mensaje a través de redes sociales, SMS, etc.) que parece provenir de una fuente legítima y de confianza. Esta fuente puede ser un banco, tu proveedor de correo electrónico (Gmail, Outlook), una red social, una tienda online conocida, una institución gubernamental o, incluso, un colega o superior en el trabajo. El mensaje suele contener:

• Un sentido de urgencia o amenaza. Avisos de «actividad sospechosa en tu cuenta», «tu cuenta será bloqueada», «actualiza tus datos para evitar interrupciones», «has ganado un premio» o, incluso, solicitudes de ayuda «urgentes» de un conocido.
• Un enlace malicioso. El elemento clave. Este enlace, a primera vista, parece dirigir a un sitio web legítimo (por ejemplo, login.microsoftonline.com o accounts.google.com), pero en realidad conduce a una página falsa que ha sido diseñada para imitar a la perfección la interfaz de inicio de sesión real. La URL real puede tener pequeñas variaciones (ejemplo: micr0soft.com en lugar de microsoft.com) o estar oculta.
• Un formulario de credenciales. Una vez en la página falsa, se pide a la víctima que introduzca su nombre de usuario (dirección de correo) y contraseña. Cuando la víctima introduce sus credenciales, en lugar de iniciar sesión, estas son capturadas directamente por el atacante.

Ataques de fuerza bruta y contraseñas débiles

Los ataques de fuerza bruta y la existencia de contraseñas débiles son dos de las vulnerabilidades más explotadas para obtener acceso a cuentas de correo electrónico. Si bien son menos «sofisticados» que el phishing, su efectividad radica en la persistencia y en la mala higiene de contraseñas de los usuarios.

Un ataque de fuerza bruta implica que un software automatizado intenta innumerables combinaciones de nombres de usuario y contraseñas hasta que da con la correcta. El atacante utiliza herramientas que prueban millones o incluso miles de millones de combinaciones por segundo.

• Diccionario de contraseñas. A menudo, no se prueban todas las combinaciones posibles, sino que se utilizan «ataques de diccionario». Estos ataques emplean listas pre compiladas de contraseñas comunes (como «123456», «password», «qwerty»), palabras del diccionario, nombres propios, fechas de nacimiento comunes o contraseñas que han sido filtradas en anteriores brechas de datos. El software las prueba sistemáticamente contra tu cuenta hasta que una funcione.
• Relleno de credenciales (credential stuffing). Una variante avanzada es el «relleno de credenciales». Si una cuenta de correo electrónico y contraseña han sido comprometidas en una fuga de datos de un servicio menos seguro (por ejemplo, un foro antiguo o una web de compras), los atacantes intentarán usar esa misma combinación de correo y contraseña en otros servicios (como tu proveedor de correo principal, bancos, etc.). La esperanza es que muchos usuarios utilicen sus contraseñas en múltiples sitios.

Las contraseñas que son cortas, simples, que usan palabras comunes, secuencias numéricas o de teclado (123456, password, qwerty, asdfgh) o información personal fácilmente accesible (nombreapellido, fechadenacimiento, nombremascota) son extremadamente vulnerables a los ataques de diccionario y de fuerza bruta.

Aunque los proveedores de correo electrónico implementan medidas de seguridad (como bloqueos temporales después de varios intentos fallidos para mitigar ataques de fuerza bruta), una contraseña débil puede ser adivinada en cuestión de segundos o minutos por herramientas automatizadas. La única defensa efectiva contra estos ataques es el uso de contraseñas largas, complejas y únicas para cada una de tus cuentas, especialmente para tu correo electrónico. Herramientas como los gestores de contraseñas pueden ayudarte a generar y recordar contraseñas robustas y diferentes.

Malware y keyloggers

El malware (software malicioso) representa una amenaza silenciosa y altamente efectiva para la seguridad de cuentas de correo electrónico. Dentro de la amplia categoría de malware, los keyloggers son particularmente peligrosos para la seguridad de tus credenciales. El malware puede infiltrarse en tu sistema de diversas maneras:

• Archivos adjuntos maliciosos. Al abrir documentos (PDF, Word, Excel) o ejecutar programas descargados de fuentes no confiables que contienen código malicioso.
• Enlaces infectados. Al hacer clic en enlaces en correos electrónicos de phishing o en sitios web comprometidos que descargan malware sin tu consentimiento (drive-by downloads).
• Software pirata. Al instalar versiones no autorizadas de programas que vienen empaquetadas con malware.
• Unidades USB infectadas. Al conectar dispositivos USB que han sido comprometidos en otro lugar. Una vez instalado, el malware puede realizar una variedad de funciones destructivas o de espionaje, incluyendo la búsqueda de credenciales almacenadas en tu navegador o cliente de correo.
• Keyloggers (registradores de teclas) Los keyloggers son un tipo específico de malware diseñado para registrar cada pulsación de tecla que realizas en tu teclado. Operan sigilosamente en segundo plano, sin que seas consciente de su presencia.
• Captura de credenciales. Cuando inicias sesión en tu cuenta de correo electrónico o en cualquier otra plataforma, el keylogger captura tu nombre de usuario y tu contraseña en el momento exacto en que las escribes. Esta información se almacena localmente y luego se envía de forma oculta al atacante.
• Captura de información sensible. Además de las credenciales, un keylogger puede registrar todo lo que escribes: mensajes de chat, números de tarjetas de crédito, datos bancarios, información personal en formularios, etc., proporcionando al atacante una imagen completa de tu actividad y datos sensibles.

Otros tipos de malware relevantes:

• Troyanos (trojans): programas que se disfrazan de software legítimo, pero que contienen funcionalidades maliciosas, como la apertura de «puertas traseras» (backdoors) para el acceso remoto no autorizado o el robo de información.
• Spyware: software diseñado para espiar tus actividades online y recopilar datos personales sin tu consentimiento.

La defensa contra el malware y los keyloggers requiere una combinación de un buen software antivirus y antimalware (manteniéndolo actualizado), cautela extrema al abrir archivos adjuntos o hacer clic en enlaces, y el uso de un firewall.

Ingeniería social

La ingeniería social es una de las armas más peligrosas en el arsenal de un hacker, ya que explota la psicología humana en lugar de las vulnerabilidades técnicas del software. Implica manipular a las personas para que revelen información confidencial o realicen acciones que no deberían, a menudo sin que la víctima se dé cuenta de que está siendo engañada. Para hackear un correo electrónico, la ingeniería social puede ser el paso inicial o el método principal.

El atacante se hace pasar por una persona o entidad de confianza (un colega, un superior, un técnico informático, un representante de tu banco o proveedor de servicios). Utiliza tácticas psicológicas para:

• Generar confianza a través de una comunicación aparentemente legítima, profesional o amigable.
• Crear urgencia o miedo haciendo creer a la víctima que hay un problema grave (tu cuenta será bloqueada, hay una transacción fraudulenta, necesitas actuar ya) que requiere una acción inmediata.
• Apelar a la autoridad presentándose como alguien con poder o conocimiento (un administrador de sistemas que necesita tu contraseña para «arreglar» algo).
• Despertar curiosidad o avaricia prometiendo premios, descuentos o información exclusiva.

Fugas de datos en servicios externos

Las fugas de datos (data breaches) en servicios externos representan una amenaza significativa y a menudo incontrolable para la seguridad de tu correo electrónico. A diferencia de los métodos directos como el phishing o el malware, en este caso, la vulnerabilidad no está en tus propias acciones o dispositivos, sino en la seguridad de terceros servicios en los que tienes una cuenta.

¿Cómo funciona una fuga de datos?

• Hackeo de bases de datos. Un ciberdelincuente logra infiltrarse en los sistemas de un sitio web, una aplicación, un foro online, una plataforma de compras o cualquier otro servicio en el que te hayas registrado.
• Exfiltración de datos. El atacante roba la base de datos de usuarios de ese servicio, que a menudo contiene combinaciones de nombres de usuario (tu dirección de correo electrónico) y contraseñas.
• Publicación o venta. Una vez obtenidas, estas bases de datos robadas (conocidas como dumps) a menudo se publican en la dark web, foros de hackers o se venden a otros ciberdelincuentes.

Señales de que tu cuenta de correo ha sido comprometida

Identificar rápidamente un problema en tu cuenta de correo electrónico es crucial para minimizar el daño. Los hackers a menudo intentan operar de manera sigilosa, pero ciertas anomalías pueden ser indicativas de una intrusión. Estar atento a estas señales te permitirá tomar medidas correctivas a tiempo.

Actividad inusual o correos enviados sin tu permiso

Una de las señales más evidentes y perturbadoras de que tu cuenta de correo ha sido comprometida es la actividad que no reconoces o correos electrónicos que no has enviado tú. Esto es a menudo lo primero que notan tus contactos o lo que te alerta a ti mismo.

• Correos electrónicos en la bandeja de «Enviados«. Revisa regularmente tu carpeta de «Enviados». Si encuentras mensajes que no has escrito ni enviado, especialmente correos extraños, spam, enlaces sospechosos o solicitudes inusuales a tus contactos, es una señal inequívoca de que tu cuenta está siendo utilizada por un atacante. Estos correos a menudo contienen contenido de phishing, malware o intentos de estafa dirigidos a tus conocidos.
• Quejas de tus contactos. Puedes empezar a recibir mensajes de amigos, familiares o colegas que te preguntan por correos extraños que supuestamente les has enviado. Es posible que te informen que tu cuenta está enviando spam o que han recibido solicitudes de dinero en tu nombre. Estas advertencias externas son cruciales y no deben ignorarse.
• Mensajes de rebote (bounce messages). Si tu cuenta está siendo usada para enviar spam masivo, es probable que comiences a recibir un gran volumen de «mensajes de rebote» o «fallos de entrega» en tu bandeja de entrada. Estos indican que los correos enviados desde tu cuenta no pudieron ser entregados a sus destinatarios.
• Actividad inusual en la papelera o archivos. El atacante podría estar borrando correos de tu bandeja de entrada o archivándolos para ocultar sus rastros. Si notas que mensajes importantes han desaparecido o están en carpetas inesperadas, esto podría ser una señal de manipulación.
• Cambios en la firma o configuración. Algunos hackers pueden modificar la firma de tu correo electrónico, las reglas de reenvío, o incluso los filtros para redirigir mensajes entrantes a otra dirección o para borrar ciertos tipos de correos. Revisa tu configuración de correo para detectar cambios no autorizados.

Alertas de inicio de sesión desde ubicaciones desconocidas

Los proveedores de correo electrónico modernos han implementado robustos sistemas de seguridad que incluyen la monitorización de la actividad de inicio de sesión. Una de las características más útiles es la emisión de alertas cuando se detecta un inicio de sesión desde una ubicación, dispositivo o navegador que no es habitual para tu patrón de uso.

• Notificaciones por correo o SMS. Si tu proveedor de correo (Gmail, Outlook, etc.) detecta un inicio de sesión desde un país diferente, una ciudad lejana, un tipo de dispositivo o un navegador desconocido, es muy probable que recibas una notificación por correo electrónico secundario (si lo tienes configurado) o un mensaje de texto. Estas alertas suelen indicar la hora del inicio de sesión y la ubicación geográfica aproximada (basada en la dirección IP).
• Mensajes de «Tu cuenta ha iniciado sesión en un nuevo dispositivo«. Algunos servicios te informarán directamente cuando se use tu cuenta en un nuevo teléfono, tableta u ordenador. Si no eres tú quien ha iniciado esa sesión, es una clara señal de problema.
• Revisa el historial de actividad de inicio de sesión. La mayoría de los proveedores de correo electrónico ofrecen una sección dentro de la configuración de seguridad de tu cuenta donde puedes ver un registro detallado de los inicios de sesión recientes, incluyendo la fecha, hora, dirección IP, tipo de dispositivo y navegador utilizado.

Cambio no autorizado de contraseña

Una de las señales más alarmantes y definitivas de que tu cuenta de correo electrónico ha sido comprometida es un cambio de contraseña no autorizado. Cuando un atacante logra acceder a tu cuenta, su primera acción es a menudo cambiar la contraseña para bloquearte y asegurar su control sobre la cuenta.

• Imposibilidad de iniciar sesión. Si de repente no puedes iniciar sesión en tu cuenta de correo electrónico con tu contraseña habitual y estás seguro de que la estás escribiendo correctamente, es un fuerte indicio de que un hacker la ha cambiado.
• Notificación de cambio de contraseña. Si tienes una dirección de correo electrónico de recuperación configurada, es posible que recibas una notificación de tu proveedor de correo electrónico indicando que la contraseña de tu cuenta principal ha sido cambiada. Si no fuiste tú quien inició este cambio, esto es una prueba irrefutable de un problema. Estas notificaciones a menudo incluyen un enlace para «revertir» el cambio si no fuiste tú, lo que te permite actuar rápidamente.
• Cambio en la dirección de correo electrónico de recuperación. En algunos casos, un atacante no solo cambiará tu contraseña, sino que también modificará la dirección de correo electrónico o el número de teléfono de recuperación asociados a tu cuenta para dificultar tus intentos de recuperar el acceso. Si recibes una notificación de que tu información de recuperación ha sido alterada sin tu consentimiento, es una señal de que el hacker está intentando consolidar su control.

Rechazo de acceso por parte del proveedor

En ciertas ocasiones, tu proveedor de servicios de correo electrónico puede ser el primero en detectar una actividad sospechosa y, como medida de seguridad, bloquear o restringir el acceso a tu cuenta, lo que conlleva que no puedas acceder. Esto es una señal clara y directa de que algo anómalo está sucediendo.

• Mensajes de error al intentar iniciar sesión. Puedes recibir un mensaje de error que no solo indica que la contraseña es incorrecta, sino que tu cuenta ha sido «bloqueada por actividad sospechosa», «temporalmente deshabilitada por motivos de seguridad», o que se ha detectado un «inicio de sesión inusual». Estos mensajes no necesariamente significan que tu contraseña ha sido cambiada, sino que el sistema de seguridad del proveedor ha detectado patrones de acceso que no coinciden con tu comportamiento habitual (ejemplo: múltiples intentos de inicio de sesión fallidos desde ubicaciones inusuales o un volumen inusualmente alto de correos salientes).
• Solicitud de verificación adicional. Algunos proveedores, en lugar de bloquear completamente, pueden exigirte una verificación adicional inusual antes de permitirte el acceso, incluso si tu contraseña es correcta. Esto podría ser la introducción de un código enviado a un número de teléfono de recuperación, responder a preguntas de seguridad o completar un desafío CAPTCHA más complejo. Si esto ocurre sin que hayas hecho algo que justifique una verificación extra (como un inicio de sesión desde un nuevo dispositivo), puede ser una señal de alarma.
• Proveedor que te contacta directamente. En casos más graves, el proveedor de correo electrónico puede intentar contactarte directamente (a tu correo electrónico de recuperación o número de teléfono) para informarte sobre una posible brecha de seguridad y guiarte a través de los pasos para asegurar tu cuenta.

Cómo proteger tu correo electrónico de ataques

La seguridad de tu correo electrónico no es una cuestión de suerte, sino de implementar una serie de medidas proactivas y seguir buenas prácticas. Con un enfoque multifacético, puedes reducir drásticamente el riesgo de ser víctima de un ataque.

Usa contraseñas seguras y únicas

Esta es la primera y más fundamental línea de defensa para tu correo electrónico y, de hecho, para todas tus cuentas online. Una contraseña segura es aquella que es difícil de adivinar o de romper, incluso para herramientas de fuerza bruta.

• Longitud. Idealmente, tu contraseña debe tener al menos 12-16 caracteres. Cuanto más larga, más difícil de romper.
• Complejidad. Debe ser una combinación de:
  • Letras mayúsculas (A, B, C…)
  • Letras minúsculas (a, b, c…)
  • Números (0, 1, 2…)
  • Símbolos especiales (!, @, #, $, %, ^, &, *)
• Impredecibilidad. Evita el uso de información personal obvia (fechas de nacimiento, nombres de mascotas, nombres de familiares), palabras de diccionario comunes, o secuencias fáciles (como 123456 o qwerty).
• Aleatoriedad. La mejor contraseña es una cadena de caracteres aleatoria que no tiene un patrón reconocible.

Nunca reutilices la misma contraseña en múltiples sitios web o servicios. Si una de tus cuentas menos importantes (ejemplo: un foro antiguo, una tienda online poco utilizada) es comprometida en una fuga de datos y utilizas la misma contraseña para tu correo electrónico principal, los atacantes usarán esas credenciales expuestas para intentar acceder a tu correo. Esto se conoce como «relleno de credenciales» y es una táctica muy exitosa para los hackers.

Para ayudarte a generar, almacenar y recordar contraseñas seguras y únicas para cada una de tus cuentas, utiliza un gestor de contraseñas confiable (como LastPass, 1Password, Bitwarden, KeePass). Estas herramientas cifran tus contraseñas y solo requieren que recuerdes una única «contraseña maestra» muy robusta para acceder a todas las demás.

Activa la autenticación en dos pasos (2FA)

La autenticación en dos pasos (2FA), también conocida como verificación en dos pasos o autenticación multifactor (MFA), es una de las medidas de seguridad más poderosas que puedes implementar para proteger tu cuenta de correo electrónico. Añade una capa de seguridad crítica más allá de la simple contraseña, haciendo que sea significativamente más difícil para un atacante acceder a tu cuenta, incluso si de alguna manera ha obtenido tu contraseña.

Cuando la 2FA está activada, al intentar iniciar sesión en tu cuenta de correo electrónico, no solo se te pedirá tu contraseña, sino también un segundo factor de verificación. Este segundo factor es algo que solo tú posees o puedes generar, y puede ser:

• Código de una aplicación autenticadora: códigos numéricos que cambian cada 30-60 segundos, generados por una aplicación en tu smartphone (ejemplo: Google Authenticator, Microsoft Authenticator, Authy). Esta es la opción más segura.
• Código enviado por SMS: un código que se envía a tu número de teléfono móvil. Aunque es conveniente, es menos seguro que una aplicación autenticadora debido a los ataques de «intercambio de SIM» (SIM swapping).
• Clave de seguridad física (Hardware Security Key): un dispositivo USB o Bluetooth (ejemplo: YubiKey) que debes insertar o tocar para autenticarte. Es el método más seguro, ideal para cuentas de alta seguridad.
• Confirmación en un dispositivo de confianza: una notificación que se envía a otro dispositivo tuyo donde ya has iniciado sesión y desde el cual debes aprobar el intento de inicio de sesión.

Verifica siempre los remitentes y enlaces

La vigilancia y el escepticismo son tus mejores herramientas para defenderte contra ataques de phishing e ingeniería social, que a menudo son el vector inicial para comprometer tu correo electrónico. Verificar meticulosamente los remitentes y los enlaces en los correos electrónicos que recibes es una práctica de seguridad fundamental.

Verificación del remitente:

• Dirección de correo electrónico completa. No te fíes únicamente del «nombre de remitente» (ejemplo: «PayPal»). Pasa el cursor sobre el nombre del remitente o haz clic para ver la dirección de correo electrónico completa. Los phishers a menudo usan nombres de remitente legítimos, pero la dirección real puede ser extraña (paypal_support@randomdomain.xyz en lugar de service@paypal.com).
• Coherencia. Si la dirección del remitente es ligeramente diferente de la dirección oficial esperada (ejemplo: amaz0n.com en lugar de amazon.com), es una señal de alarma.
• Dominios sospechosos. Desconfía de dominios genéricos o que no tienen sentido para la entidad que supuestamente te contacta (ejemplo: soporte@gmail.com para tu banco).
• Gramática y ortografía. Los correos de phishing a menudo contienen errores gramaticales, faltas de ortografía o frases inusuales, lo que indica que no provienen de una organización profesional.

Inspección de enlaces (sin hacer clic):

• Pasa el cursor sobre el enlace: nunca hagas clic directamente en un enlace sospechoso. En su lugar, pasa el cursor del ratón sobre el enlace (en tu ordenador) o mantén presionado el enlace (en tu smartphone) para ver la URL real a la que te dirige.
• Compara la URL real con la esperada. Si el texto del enlace dice www.banco.com pero la URL que aparece al pasar el cursor es malicious.ru/login, es un enlace de phishing.
• Protocolo HTTPS. Aunque no es una garantía del 100% de legitimidad (los sitios de phishing también pueden usar HTTPS), siempre verifica que los sitios web sensibles (bancos, compras, correo) comiencen con https:// y tengan un icono de candado.
• Servicios de verificación de enlaces. Si tienes dudas extremas, puedes copiar el enlace y pegarlo en un servicio de verificación de enlaces seguros (como VirusTotal o Google Transparency Report) para ver si ha sido marcado como malicioso, antes de visitarlo.

Mantén actualizado tu antivirus y navegador

Mantener el software de tu ordenador y tus aplicaciones al día es una medida de seguridad pasiva pero extremadamente importante para proteger tu correo electrónico de los ataques basados en malware y explotación de vulnerabilidades.

Antivirus y antimalware actualizado:

• Tu software antivirus (ejemplo: Avast, AVG, Bitdefender, ESET, Kaspersky, Windows Defender) es tu primera línea de defensa contra virus, troyanos, keyloggers y otros tipos de malware que podrían intentar robar tus credenciales de correo electrónico o dar acceso no autorizado a tu sistema.
• Base de datos de definiciones. Es crucial que tu antivirus tenga su base de datos de definiciones de virus actualizada constantemente. Los ciberdelincuentes liberan nuevas variantes de malware a diario y tu antivirus solo puede detectarlas si tiene la información más reciente sobre ellas. La mayoría de los programas antivirus se actualizan automáticamente, pero debes verificar que esta función esté activada y funcionando correctamente.
• Escaneos regulares. Realiza escaneos completos del sistema periódicamente para detectar y eliminar cualquier amenaza que haya podido infiltrarse.

Navegador web actualizado:

• Tu navegador web (Chrome, Firefox, Edge, Safari) es la puerta principal a tu correo electrónico online. Los navegadores son software complejos y, como tal, pueden contener vulnerabilidades de seguridad (bugs) que los hackers podrían explotar para instalar malware en tu sistema o para redirigirte a sitios de phishing sin tu conocimiento.
• Parches de seguridad. Los desarrolladores de navegadores lanzan actualizaciones frecuentes que incluyen parches para estas vulnerabilidades. Mantener tu navegador actualizado garantiza que estás utilizando la versión más segura con las últimas correcciones de seguridad.
• Extensiones del navegador. Ten precaución con las extensiones del navegador. Aunque muchas son útiles, algunas pueden ser maliciosas o tener vulnerabilidades que los hackers pueden explotar para robar datos o inyectar código. Instala solo extensiones de fuentes confiables y audita regularmente las que tienes instaladas.

No compartas datos sensibles por correo

El correo electrónico, a pesar de su ubicuidad, no es un medio intrínsecamente seguro para el intercambio de información altamente sensible. Aunque los proveedores modernos utilizan cifrado para el tránsito de correos (TLS), el cifrado de extremo a extremo no siempre está garantizado por defecto entre todos los remitentes y destinatarios, y el correo electrónico se almacena en servidores de terceros que podrían ser vulnerables. Compartir datos sensibles por correo electrónico aumenta tu riesgo si tu cuenta o la del destinatario es comprometida.

¿Qué son datos sensibles?

• Números de tarjetas de crédito o débito, códigos CVV/CVC, fechas de caducidad.
• Números de cuenta bancaria o credenciales de inicio de sesión de banca online.
• Contraseñas de cualquier tipo (nunca debes enviar una contraseña por correo).
• Números de identificación personal (DNI, pasaporte, seguridad social).
• Información médica o de salud.
• Información financiera confidencial, declaraciones de impuestos.
• Archivos o documentos empresariales con propiedad intelectual o secretos comerciales.

¿Qué hacer si ya te han hackeado el correo electrónico?

Si sospechas o confirmas que tu cuenta de correo electrónico ha sido comprometida, el tiempo es oro. Actuar rápida y metódicamente es fundamental para mitigar el daño, recuperar el control de tu cuenta y proteger tu información personal y la de tus contactos.

Cambia tu contraseña inmediatamente

Este es el paso más crítico y urgente si tu correo electrónico ha sido hackeado. El objetivo principal del atacante es mantener el control de tu cuenta y, al cambiar la contraseña, les cortas el acceso de raíz.

• Utiliza la opción de «Olvidé mi contraseña«. Si el atacante ya ha cambiado tu contraseña y no puedes iniciar sesión, busca la opción de «Olvidé mi contraseña» o «Recuperar cuenta» en la página de inicio de sesión de tu proveedor de correo (Gmail, Outlook, Yahoo, etc.).
• Sigue los pasos de recuperación. El proveedor te guiará a través de un proceso para verificar tu identidad. 
• Crea una contraseña nueva y muy segura. Una vez que tengas la oportunidad de establecer una nueva contraseña, asegúrate de que sea:
  • Completamente nueva. No uses ninguna contraseña que hayas usado antes.
  • Fuerte: larga (más de 12-16 caracteres), compleja (mayúsculas, minúsculas, números, símbolos) y aleatoria.
  • Única. Asegúrate de que esta nueva contraseña no se utilice en ninguna otra cuenta. Considera usar un gestor de contraseñas para generarla y almacenarla.

Cierra sesión en todos los dispositivos

Después de cambiar tu contraseña, el siguiente paso vital es asegurarte de que el atacante (y cualquier sesión abierta en dispositivos no autorizados) sea expulsado de tu cuenta de correo electrónico. Los proveedores de correo ofrecen una funcionalidad para cerrar todas las sesiones activas.

1. Accede a la configuración de seguridad de tu cuenta. Una vez que hayas iniciado sesión con tu nueva contraseña segura, navega a la sección de «Seguridad» o «Actividad» dentro de la configuración de tu cuenta de correo electrónico.
2. Busca la opción «Cerrar sesión en todos los dispositivos» o «Revisar actividad de seguridad«.
3. Confirma el cierre de sesión. Al ejecutar esta acción, forzarás el cierre de sesión de tu cuenta en todos los navegadores, aplicaciones de correo electrónico y dispositivos donde estaba activa, incluyendo la sesión del atacante. Después de esto, tú y solo tú (con tu nueva contraseña) podrás volver a iniciar sesión.

Este paso es crucial porque un atacante podría haber establecido una sesión persistente o haber autorizado una aplicación de terceros para mantener el acceso. Al cerrar todas las sesiones, garantizas que solo los accesos autorizados con la nueva contraseña puedan establecer una conexión.

Revisa accesos recientes y elimina apps conectadas

Una vez que hayas cambiado tu contraseña y cerrado todas las sesiones activas, es crucial realizar una auditoría más profunda para asegurarte de que el atacante no haya dejado «puertas traseras» abiertas o configuraciones que le permitan mantener el acceso o espiar tus comunicaciones.

1. Revisa el historial de actividad reciente/Inicios de sesión. La mayoría de los proveedores de correo electrónico (Gmail, Outlook, etc.) ofrecen un registro detallado de los inicios de sesión y la actividad reciente de tu cuenta. Revisa cuidadosamente las fechas, horas, ubicaciones geográficas, IP y los dispositivos/navegadores utilizados. Busca cualquier actividad que no reconozcas, incluso si ya has cerrado las sesiones. Esto te dará una idea de cuándo y desde dónde se accedió a tu cuenta.
2. Verifica y revoca el acceso de aplicaciones conectadas (third-party apps). Los atacantes a menudo obtienen acceso a cuentas de correo no solo a través de contraseñas, sino también engañando a los usuarios para que autoricen aplicaciones de terceros maliciosas. Estas aplicaciones, una vez autorizadas, pueden tener acceso persistente a tu correo electrónico sin necesidad de tu contraseña. Identifica cualquier aplicación o servicio de terceros que no reconozcas, que ya no uses o que parezca sospechoso. Elimina o revoca el permiso a todas las aplicaciones que no sean esenciales o que no confíes plenamente. Un atacante podría haber instalado una aplicación fraudulenta para mantener una puerta trasera.
3. Verifica la configuración de reenvío y filtros. Un truco común de los hackers es establecer reglas de reenvío de correo o filtros para que una copia de tus correos entrantes se envíe automáticamente a otra dirección de correo que controlan ellos o para borrar mensajes específicos para ocultar sus rastros. Revisa la configuración de «Reenvío» y «Filtros/Reglas» en tu correo electrónico. Elimina cualquier regla que no hayas creado tú.

Contacta al soporte del proveedor

Si has sido hackeado, especialmente si no puedes recuperar el acceso a tu cuenta después de intentar cambiar la contraseña, o si la actividad maliciosa persiste, el siguiente paso crucial es contactar directamente con el equipo de soporte de tu proveedor de correo electrónico. Ellos tienen herramientas y procedimientos específicos para ayudarte en estas situaciones.

• Prepárate para la verificación de identidad. Los proveedores de correo electrónico tienen estrictos protocolos para la recuperación de cuentas comprometidas, ya que necesitan verificar que eres el titular legítimo. Prepárate para proporcionar información de identificación.
• Sé lo más detallado posible. Cuando te comuniques con el soporte, proporciona tantos detalles como sea posible sobre el incidente.
• Pide una revisión de seguridad y restauración. Solicita al soporte que realice una revisión de seguridad exhaustiva de tu cuenta para detectar cualquier actividad no autorizada persistente y para asegurar que todas las puertas traseras estén cerradas. También pregunta si hay alguna forma de recuperar correos que el atacante haya podido borrar.

Conclusión sobre cómo pueden hackear tu correo electrónico

El correo electrónico, a pesar de su aparente simplicidad, sigue siendo uno de los activos digitales más críticos y vulnerables que poseemos. Su falta de seguridad puede desencadenar una cascada de problemas que van desde el robo de identidad y el fraude financiero hasta la explotación de tus contactos y el daño a tu reputación online. 

En el desafortunado caso de que tu correo sea comprometido, la rapidez de acción es tu mejor aliada. Cambiar la contraseña de inmediato, cerrar todas las sesiones, auditar accesos recientes y notificar a tus contactos son pasos cruciales para contener el daño y recuperar el control.

Tu correo electrónico es tu identidad digital. Protegerlo es proteger tu vida online. Invierte en tu seguridad, sé un usuario crítico y desconfiado, y mantente siempre un paso por delante de quienes buscan explotar tus datos. La seguridad online es una responsabilidad compartida, y comienza contigo.

Publicado el 27/08/2025 por:

Sergio Arias

Como Product Manager en Arsys, ha liderado el desarrollo de innovadores productos digitales. Especializado en SaaS y desarrollo de productos, su formación en Ciencias de la Computación y un máster en Inteligencia Artificial le permiten estar siempre a la vanguardia de la tecnología.