What's the most common type of phishing email?

Package delivery scams (USPS, FedEx, UPS impersonation) and account verification scams (Amazon, PayPal, banks). These are common because almost everyone has packages and shopping accounts. Holiday shopping season sees a massive spike in delivery scams.

How do I report a phishing email?

Three places: (1) Forward to the impersonated company — most have anti-phishing addresses (Amazon: stop-spoofing@amazon.com, PayPal: phishing@paypal.com). (2) Report to FTC at ReportFraud.ftc.gov. (3) Mark as 'phishing' in Gmail/Outlook to help filters catch future emails.

Are scam emails just an inconvenience or actually dangerous?

Actually dangerous. Phishing leads to: stolen credentials, financial fraud, identity theft, malware infection, ransomware. Clicking one wrong link can cost thousands of dollars and months of recovery. Take phishing seriously — it's not just spam.

Why do I get so many phishing emails?

Email addresses are widely available through: data breaches (your email was leaked), public records (business emails), purchased lists (some companies sell customer data), and random generation (scammers guess common emails). Reducing them: use throwaway emails for non-essential signups, never confirm 'unsubscribe' on suspicious emails.

Should I click 'unsubscribe' on suspicious emails?

No. Clicking unsubscribe confirms your email is active, often resulting in MORE phishing. Instead: mark as phishing/spam in your email client. Block the sender. Move to trash without opening. For legitimate but unwanted emails from real companies, unsubscribe is fine — for suspicious emails, never.

Can I tell who sent a phishing email?

Sometimes. Email headers contain technical info about origin. In Gmail: click the three dots → 'Show original.' Headers show: actual IP address of sender, server routing, authentication results. Most casual users won't decode this, but it can be valuable evidence for fraud reports.

Are phishing emails getting harder to spot?

Yes. AI-generated phishing is more polished — better grammar, more personalized, even using your real name from breaches. Defense: verify sender domains exactly, hover over links before clicking, never enter info from email links. Open official apps directly when in doubt.

What's smishing and vishing?

Smishing = SMS phishing (text message scams). Vishing = voice phishing (phone call scams). Same tactics as email phishing, different channels. Common: 'package delivery failed' texts, 'fraud alert' calls from 'your bank.' Same defense: verify by contacting the real company directly using official phone numbers.

Should I install antivirus software?

Modern Windows and macOS include free built-in protection (Microsoft Defender, XProtect) that's generally sufficient. Adding paid antivirus like Norton or McAfee adds minimal benefit and significant cost. Free alternatives that work: Malwarebytes (on-demand scanner), Bitwarden (password manager), Nudge (URL trust scores).

Can my email be hacked from just opening a phishing email?

Just opening, in modern email clients (Gmail, Outlook): very low risk. The danger is clicking links or opening attachments. Modern browsers and email clients block most automatic threats from just opening. But: if you open and reply with info, or click links, you can be compromised.

What if I'm not sure whether an email is real?

Don't click anything in the email. Open the official app or website directly (type the URL yourself) and check your account there. If there's a real issue, it'll be visible in the app. If not, the email was phishing. This single habit prevents 90%+ of phishing damage.

Is Nudge helpful against phishing emails?

Indirectly. Nudge doesn't scan emails, but the moment you click a link from a phishing email, Nudge identifies the destination as suspicious before you enter any info. Free Chrome extension, no signup, no data collection. Real-time URL trust scores prevent phishing damage.

Cómo reconocer los correos electrónicos de phishing

Una guía gratuita para detectar falsos correos electrónicos de confirmación de compras, estafas de entrega de paquetes y phishing de imitación en 2026 - construido para todos con una caja de entrada.

Respuesta rápida (30 segundos)

Los correos electrónicos de phishing suelen tener estas palabras:

El dominio del remitente no coincide exactamente con la marca real (amaz0n.com vs amazon.com)
Amenazas urgentes: 'la cuenta será borrada en 24 horas'
Saludos genéricos como "Querido cliente" en lugar de su nombre
Enlaces que se mueven a URLs diferentes de las que se muestran
Errores de ortografía o gramática
Anexos sospechosos (.zip, .exe, archivos PDF inesperados)
Solicitudes de contraseñas, números de tarjetas completos o códigos de inicio de sesión
Logotipos o marcas que se vean ligeramente

La línea inferior: Cuando tenga dudas, abra la aplicación oficial directamente en lugar de hacer clic en los enlaces de correo electrónico.Este hábito único evita el 90% de daños de phishing.

¿Por qué esto importa

Los correos electrónicos de phishing son la forma más común de que los estafadores roben credenciales y dinero. Incluso las personas con conocimientos de la tecnología les caen - el mejor phishing ahora utiliza copias generadas por IA, logotipos perfectos y detalles personalizados de violaciones de datos. En 2024, el correo electrónico fue la forma más común de que los consumidores informaron que estaban siendo contactados por los estafadores, con miles de millones de pérdidas vinculadas a las campañas de phishing.

La buena noticia: Casi todos los correos electrónicos de phishing lo tienen. Una vez que sepa qué buscar, lo encontrará en segundos.Esta guía le da 9 señales específicas para comprobar antes de hacer clic en cualquier cosa en su carpeta de entrada.

Banderas rojas comunes para vigilar

Estos son los patrones específicos que los estafadores usan. Si observa 2 o más, se aleja.

El dominio del remitente tiene tipos o palabras adicionales (amaz0n.com, amazon-deals.com)
El saludo es genérico ('Caro Cliente' en lugar de tu nombre)
Amenazas urgentes con plazos
Enlaces a URLs diferentes de las que se muestran
Anexos sospechosos (especialmente .zip, .exe, .pdf con nombres inusuales)
Solicitudes de contraseñas, números de tarjetas de crédito completos o códigos de inicio de sesión
Errores de ortografía o gramática
Logotipos o marcas que parecen un poco equivocados
Responder a una dirección diferente a la del remitente
E-mail sobre un pedido o cuenta que no tienes
Enlaces sospechosos acortados a través de bit.ly, tinyurl, etc.
El correo electrónico ha llegado a la carpeta de spam (una señal fuerte)

Ejemplos del mundo real

Estos patrones de estafas reales están sucediendo ahora mismo - saberlos te ayuda a detectarlos.

Ejemplo 1: Phishing para la verificación de pedidos de Amazon

Sujeto: 'URGENTE: Confirme su reciente pedido de Amazon #847291.' Enviador: 'orders@amazon-verify.co' (no @amazon.com). Cuerpo: 'Su pedido requiere verificación. Haga clic aquí para confirmar o su cuenta será suspendida.' Todas las 9 banderas rojas presentes. El verdadero Amazon nunca envía correos electrónicos de "verificación requerida o cuenta suspendida".

Ejemplo 2: Notificación falsa de UPS de "Fracaso en la entrega"

Sujeto: 'UPS Delivery Failed — Reschedule Now.' Enviador: 'no-reply@ups-deliverysystem.net' (no @ups.com). El organismo pide al destinatario que pague $2.99 'tasa de reorganización' a través del formulario incluido. UPS, FedEx, USPS nunca cobran tarifas para reorganizar la entrega. Nunca solicitan información de pago por correo electrónico.

Ejemplo 3: Phishing de tu suscripción audible

Sujeto: 'Audible: pago fallido — tarjeta de actualización.' Enviador: 'billing@audible-account.com' (no @audible.com). Enlaces a 'audible-secure-login.com' (no audible.com). Capta credenciales audibles reales cuando las víctimas intentan 'corregir' su cuenta. Si está preocupado por una suscripción, abra la aplicación oficial Audible directamente - nunca haga clic en enlaces de correo electrónico.

Ejemplo 4: Phishing de 'reembolso de impuestos IRS'

Sujeto: 'IRS: Usted se califica para un reembolso de $ 1,247.' Enviador: 'refunds@irs-treasury.gov' (real IRS es @irs.gov). Pide SSN, información bancaria, y DOB para 'proceso' reembolso. El IRS nunca inicia el contacto por correo electrónico. sólo envía correo físico. cualquier correo electrónico relacionado con impuestos es phishing.

La solución permanente: por qué Nudge es gratis

La protección no debe estar detrás de un paywall.

Pero los estafadores evolucionan cada día: nuevos sitios similares, nuevas tácticas de phishing, nuevas técnicas de manipulación. No debes recordar cada bandera roja cada vez que compras.

Hemos construido Nudge para ser la capa permanente de protección entre usted y estas estafas. puntuaciones de confianza en tiempo real en cada sitio que visita. avisos automáticos cuando algo se ve fuera. sin suscripción. sin cuenta. sin recopilación de datos. Las personas más vulnerables a los fraudes en línea - adultos mayores, compradores de bajos ingresos, compradores por primera vez - son exactamente las personas que menos se pueden permitir herramientas de seguridad caras.

Gratuito para siempre, sin préstamos

No se recopilan datos personales

No se requiere cuenta ni inscripción

Nunca vende tus datos

La navegación permanece en su dispositivo

Corre en silencio en el fondo

Añadir a Chrome - Gratuito

¿Prefieres hacerlo manualmente? aquí está cómo

Execute estas 9 comprobaciones antes de hacer clic en cualquier enlace en cualquier correo electrónico, especialmente los correos electrónicos sobre pedidos, entregas o problemas de cuenta.

Compruebe el dominio de correo electrónico del remitente exactamente

Los correos electrónicos reales de Amazon vienen de @amazon.com. Los falsos son: @amaz0n.com (zero en lugar de o), @amazon-support.com (parte adicional), @amazon.co (más allá de .m), @support-amazon.shop (TLD diferente). Hover sobre el nombre del remitente para ver la dirección de correo electrónico completa. Un caracter equivocado = phishing.

Buscar amenazas urgentes o presión temporal

'Tu cuenta será borrada en 24 horas.' 'Actividad sospechosa - verifica ahora.' 'Tu pedido se cancela a menos que confirme.' Las empresas reales no te amenazan.

Cuidado con los saludos genéricos

Los comerciantes reales usan tu nombre: ‘Hey John’, ‘Hello Sarah’. los correos electrónicos de phishing utilizan saludos genéricos: ‘Querido Cliente’, ‘Querido Usuario’, ‘Querido Titular de Cuenta’.

Hover sobre enlaces sin hacer clic

Antes de hacer clic en cualquier enlace, vaya con el ratón sobre él (en el escritorio) o presione largo (en el móvil). La URL real aparece. Compara con el texto mostrado. Link real de Amazon: amazon.com/orders. Falso: amazon-verify-account.com o bit.ly/2j3kx (acortadores de enlaces ocultan el destino real). URLs hover equivocados = phishing.

Comprobar errores de ortografía y gramática

Las empresas reales tienen editores de copia. los correos electrónicos de phishing a menudo tienen tipografías, frases incómodas, puntuación perdida o capitalizacin extraña. 'Tu cuenta necesita verificación inmediata' no es como escribe Amazon. Nota: la IA está haciendo esta verificación menos confiable, pero todavía captura muchos intentos de phishing.

Ser sospechosos de los ataques

Los correos electrónicos de compras reales rara vez incluyen archivos adjuntos. Si una 'confirmación de pedido' tiene un archivo adjunto PDF llamado 'invoice.pdf' o 'tracking.zip' — no lo abra. Puede ser malware.

Rechazar solicitudes de contraseñas o información de pago

Ninguna empresa legítima pide: contraseñas (nunca necesitan la tuya), números de tarjetas de crédito completos en respuestas de correo electrónico, Números de Seguridad Social o códigos de inicio de sesión.Si un correo electrónico pide cualquiera de esto -incluso enmarcado como "verificación" - es phishing.

Comprobar logotipos y diseño de marca

Los correos electrónicos de phishing a menudo usan logotipos ligeramente equivocados, marcas obsoletas o imágenes de baja calidad. Amazon, Walmart, USPS, FedEx tienen un diseño consistente y profesional.

Compruebe la respuesta a la dirección

Mire el campo "Responder a", no sólo el campo "De".A veces los correos electrónicos de phishing tienen un aspecto real de "De" pero un falso "Responder a" (por lo que su respuesta va al estafador).En los clientes de correo electrónico de escritorio, esto es visible.En el móvil, toque los detalles del remitente para ver todas las direcciones involucradas.

¿Qué hacer si esto ya ha ocurrido?

Si ha hecho clic en un enlace de phishing o ha introducido información:

No te preocupes, sino actúen rápidamente. La mayoría de los daños son evitables si usted responde rápidamente.
Cambia las contraseñas de inmediato desde un dispositivo limpio: comienza con la cuenta que fue phishing, luego cualquier cuenta que utilice la misma contraseña.
Permite 2FA en la cuenta afectada y todas las cuentas importantes (correo electrónico, bancos, cuentas de compras primarias).
Llame a su banco o tarjeta de crédito si ha introducido información de pago. Solicitar monitoreo de fraude o nuevas tarjetas.
Executa un escáner de malware si hace clic en un archivo adjunto (la versión gratuita de Malwarebytes es buena).
Notifica el correo electrónico de phishing a: la marca impersonada (Amazon, IRS, etc.), la FTC en ReportFraud.ftc.gov, y Google (en adelante a phishing-report@google.com).
Cuentas de monitoreo durante 90 días por actividades no autorizadas.

Herramientas y recursos gratuitos

Todas las herramientas a continuación son gratuitas. Use múltiples para la protección más fuerte.

Navegación segura de Google

Poner URLs en transparencyreport.google.com para comprobar si conocido-mal.

¿Había sido puñado (haveibeenpwned.com)

Compruebe si su correo electrónico / contraseña ha sido filtrada en violaciones de datos.

Malwarebytes (de forma gratuita)

Escanear para el malware si ha hecho clic en un archivo adjunto sospechoso.

Bitwarden (Gestor de contraseñas gratis)

Generar contraseñas únicas para cada cuenta.

Authy y Google Authenticator

Aplicaciones gratuitas 2FA - mucho más seguras que las 2FA basadas en SMS.

Nudge (gratuito)

Alerta cuando hace clic en enlaces a sitios sospechosos: sin registro, sin datos.

Lectura relacionada

Deeper se sumerge en marcas y categorías específicas.

Preguntas frecuentes

¿Cuál es el tipo de correo electrónico de phishing más común?

Los fraudes de entrega de paquetes (USPS, FedEx, UPS) y los fraudes de verificación de cuentas (Amazon, PayPal, bancos). Estos son comunes porque casi todo el mundo tiene paquetes y cuentas de compras.

¿Cómo notificar un correo electrónico de phishing?

Tres lugares: (1) Avanzar a la empresa fingida — la mayoría tienen direcciones anti-phishing (Amazon: stop-spoofing@amazon.com, PayPal: phishing@paypal.com). (2) Informe a la FTC en ReportFraud.ftc.gov. (3) Marque como 'phishing' en Gmail/Outlook para ayudar a los filtros a capturar futuros correos electrónicos.

¿Son los correos electrónicos fraudulentos sólo un inconveniente o realmente peligrosos?

En realidad peligroso. El phishing conduce a: credenciales robadas, fraude financiero, robo de identidad, infección de malware, ransomware. Hacer clic en un enlace equivocado puede costar miles de dólares y meses de recuperación.

¿Por qué recibo tantos correos electrónicos de phishing?

Las direcciones de correo electrónico están ampliamente disponibles a través de: violaciones de datos (su correo electrónico fue filtrado), registros públicos (correo electrónico de negocios), listas compradas (algunas empresas venden datos de clientes) y generación aleatoria (los estafadores adivinan correos electrónicos comunes).

¿Debería hacer clic en 'descargar' en correos electrónicos sospechosos?

No. Hacer clic en cancelar la suscripción confirma que su correo electrónico está activo, a menudo resultando en MÁS phishing. En su lugar: marcar como phishing/spam en su cliente de correo electrónico. Bloquear al remitente. Mover a la basura sin abrir. Para correos electrónicos legítimos pero no deseados de empresas reales, cancelar la suscripción es bueno — para correos electrónicos sospechosos, nunca.

¿Puedo saber quién envió un correo electrónico de phishing?

A veces. los encabezados de correo electrónico contienen información técnica sobre el origen. En Gmail: haga clic en los tres puntos → 'Mostrar el original.' Los encabezados muestran: la dirección IP real del remitente, el enrutamiento del servidor, los resultados de la autenticación.

¿Los correos electrónicos de phishing son cada vez más difíciles de detectar?

Sí. el phishing generado por la IA es más pulido – mejor gramática, más personalizado, incluso usando su nombre real de violaciones. Defensa: verifique los dominios del remitente con precisión, sobrevuele los enlaces antes de hacer clic, nunca introduzca información de los enlaces de correo electrónico.

¿Qué es el vicio y el vicio?

Smishing = SMS phishing (escándalos de mensajes de texto). Vishing = phishing de voz (escándalos de llamadas telefónicas). Las mismas tácticas como phishing de correo electrónico, diferentes canales. Común: 'envío de paquetes fallido' textos, 'alertas de fraude' llamadas de 'su banco.' La misma defensa: verificar contactando directamente con la empresa real usando los números de teléfono oficial.

¿Debo instalar un software antivirus?

Windows y macOS modernos incluyen protección gratuita integrada (Microsoft Defender, XProtect) que generalmente es suficiente.Añadir un antivirus de pago como Norton o McAfee añade un beneficio mínimo y un coste significativo. Alternativas gratuitas que funcionan: Malwarebytes (escáner on-demand), Bitwarden (administrador de contraseñas), Nudge (score de confianza de URL).

¿Se puede hackear mi correo electrónico al abrir un correo electrónico de phishing?

Simplemente abrir, en los clientes de correo electrónico modernos (Gmail, Outlook): muy bajo riesgo. El peligro está haciendo clic en enlaces o abriendo anexos. navegadores modernos y clientes de correo electrónico bloquean la mayoría de las amenazas automáticas de simplemente abrir. pero: si abre y responde con información, o hace clic en enlaces, puede verse comprometido.

¿Qué pasa si no estoy seguro de que un correo electrónico es real?

No haga clic en nada en el correo electrónico. Abra la aplicación o sitio web oficial directamente (introduzca la URL usted mismo) y compruebe su cuenta allí. Si hay un problema real, será visible en la aplicación. Este único hábito evita el 90% de daños de phishing.

¿Es Nudge útil contra los correos electrónicos de phishing?

Indirectamente. Nudge no escanea los correos electrónicos, pero en el momento en que hace clic en un enlace de un correo electrónico de phishing, Nudge identifica el destino como sospechoso antes de introducir cualquier información.

Protección en tiempo real mientras navega

Nudge le muestra una puntuación de confianza en cada sitio que visita, automáticamente. no más recordando cada bandera roja. extensión gratuita de Chrome y Firefox - protección que no debería estar detrás de un paywall.

Libre para siempre

No se recopilan datos personales

No se necesita cuenta

Nunca vendemos sus datos

La navegación permanece en su dispositivo

Corre en silencio en el fondo

Añadir a Chrome - Gratuito