El correo electrónico no es solo un medio de comunicación, ni otra cuenta online más. Tanto en tu vida personal como en el trabajo, guarda las llaves del reino: incluso puede ser un mecanismo para restablecer contraseñas de otras cuentas y verificar tu identidad. También es el lugar donde llegan los enlaces de restablecimiento de contraseñas, se almacenan alertas de cuentas, se confirman reservas, se archivan facturas y comienzan las verificaciones de identidad.
Tu bandeja de entrada puede, por lo tanto, contener años de información sensible, desde planes de viaje y recibos de compras hasta turnos médicos, contratos, documentos fiscales e identificaciones escaneadas. También puede mostrar adónde vas, qué posees, qué servicios usas, en quién confías y cómo se puede acceder a otras cuentas.
Por eso también es un objetivo codiciado para los ciberdelincuentes. Si quieres proteger tus cuentas y datos personales o de negocio, la seguridad debe empezar por tu bandeja de entrada.
Lectura relacionada: Qué es el phishing y cómo evitar caer en este engaño
Por qué a los atacantes les interesa tu bandeja de entrada
Los atacantes tienen tu bandeja de entrada en la mira porque puede darles ventaja sobre el resto de tu vida digital. Con acceso a tu cuenta de correo electrónico pueden restablecer contraseñas en múltiples otras cuentas, e incluso interceptar códigos de un solo uso enviados por tu banco, redes sociales, almacenamiento en la nube u otros proveedores online.
También pueden intentar mantenerse ocultos, configurando reglas de reenvío automático para seguir recibiendo tus mensajes incluso después de que creas haber resuelto el problema inmediato. En otras palabras, aunque restablezcas la contraseña, ellos seguirán recibiendo los códigos de recuperación. Otros pueden abusar de tokens de acceso, apps conectadas o sesiones activas para mantener el acceso.
Los atacantes podrían acceder a tus fotos con fines de extorsión y espiar tus comunicaciones. Eso puede sentar las bases para un correo de phishing convincente, diseñado para suplantar a una organización de confianza con la que interactúas. Podría pedirte dinero, pagos de tarifas o más información personal para cometer fraude de identidad. Cuanta más información (por ejemplo, datos de cuentas) tengan sobre ti, más convincente será el ataque de phishing.
En términos generales, el phishing como amenaza crítica no va a desaparecer. Todo lo contrario: la telemetría de ESET mostró un aumento del 36% en los correos maliciosos en la segunda mitad de 2025 en comparación con los seis meses anteriores.
Las repercusiones en tu vida laboral pueden ser aún peores. Con acceso a tu correo corporativo, los atacantes podrían abrir apps en la nube, acceder a unidades compartidas, revisar sistemas de CRM, finanzas y RR. HH., espiar tus comunicaciones con colegas y clientes, y acceder a datos de clientes.
Un ataque de phishing a tu cuenta de correo corporativa suele ser la primera etapa de una brecha de datos más amplia, un ataque de extorsión/ransomware o espionaje. Según estadísticas recientes del gobierno del Reino Unido, el phishing (38%) fue la forma de ciberataque más común el último año, seguido por la “suplantación de organizaciones en correos electrónicos” (12%).
Cada vez es más difícil proteger tu bandeja de entrada
El correo electrónico sigue siendo atractivo para los atacantes porque está en la intersección entre tecnología, identidad y confianza humana. El phishing apunta a lo que posiblemente sea el eslabón más débil de la cadena de seguridad: las personas. Todos usamos el correo a diario y bajo presión de tiempo: para recibir facturas, actualizaciones de envíos, avisos de RR. HH., solicitudes de clientes, restablecimientos de contraseñas, invitaciones a reuniones y alertas de seguridad. Muchos de estos mensajes nos piden hacer clic, aprobar, descargar, responder o pagar. Los atacantes explotan esa rutina, ya que incluso usuarios cuidadosos pueden cometer errores cuando un mensaje parece provenir de un remitente conocido, llega en un momento de apuro o transmite urgencia. Con técnicas de suplantación e ingeniería social, los atacantes tienen mayores probabilidades de éxito.
El factor humano estuvo presente en el 62% de las brechas el año pasado, con la ingeniería social como el tercer patrón más común, representando el 16% del total, según Verizon. Y los atacantes siempre buscan nuevas formas de engañarte. El informe señala que la tasa media de clics “exitosos” en simulaciones de phishing en dispositivos móviles es un 40% mayor que en dispositivos de escritorio
También están usando herramientas cada vez más sofisticadas para mejorar el éxito de las campañas de phishing. La IA generativa (GenAI) ayuda a los actores maliciosos a redactar y escalar mensajes con gramática y ortografía impecables.
Un ejemplo claro: el BEC
Algunos de los ciberataques más dañinos y costosos registrados comenzaron con el compromiso de una bandeja de entrada. Entre ellos:
- Facebook y Google: ambas empresas fueron engañadas para pagar más de 120 millones de dólares después de que un atacante les enviara facturas falsas haciéndose pasar por un proveedor legítimo e incluyendo documentos falsificados.
- Children’s Healthcare of Atlanta: tras el anuncio público de que una empresa constructora había sido elegida como contratista principal para un nuevo edificio del hospital, estafadores enviaron una solicitud de pago haciéndose pasar por el constructor. Según reportes, falsificaron el membrete y la dirección de correo de la empresa, simulando un correo del CFO.
- Crelan Bank: el banco perdió más de 75 millones de dólares después de que un empleado fuera engañado para transferir fondos a una cuenta controlada por estafadores. En este caso, los atacantes habrían comprometido la cuenta de un ejecutivo de alto nivel y luego suplantado al CEO.
Cómo proteger tu bandeja de entrada
Si eres usuario a nivel personal, usa una contraseña o frase de paso fuerte y única para cada cuenta, y guárdala en un gestor de contraseñas confiable. Alternativamente, usa un método sin contraseña como una passkey (o clave de acceso). En cualquier caso, activa la autenticación multifactor: hoy en día, casi siempre está disponible. Mantén actualizadas tus opciones de recuperación y asegúrate de que un atacante no pueda usar un número de teléfono antiguo o un correo de respaldo olvidado para recuperar el acceso.
También vale la pena revisar tus configuraciones cada cierto tiempo. Busca reglas de reenvío desconocidas, filtros extraños, apps conectadas que no reconozcas o dispositivos no identificados. Si tu bandeja de entrada fue comprometida, cambia la contraseña, revoca sesiones sospechosas, revisa los datos de recuperación y verifica si los mensajes se están reenviando sin que lo sepas.
Otras buenas prácticas de seguridad incluyen:
- Ten cuidado con el phishing: trata cualquier mensaje no solicitado con precaución. Pasa el cursor sobre el remitente para detectar inconsistencias. Verifica la ortografía del dominio. No hagas clic en enlaces ni abras adjuntos. Si hace falta, confirma por otro canal.
- No apruebes códigos de dispositivos ni alertas de autenticación multifactorial (MFA) (por ejemplo, en tu móvil) que no hayas solicitado tú mismo: podría ser un atacante probando suerte.
- Asegúrate de que tus opciones de recuperación estén claras y actualizadas.
- Si trabajas en una organización, trata con precaución cualquier solicitud urgente de transferencia bancaria, aunque parezca proceder de tu CEO o del área de IT. Verifícalo a través de un canal independiente.
- Toma en serio las capacitaciones de seguridad, prestando atención a las últimas tácticas y técnicas de phishing.
- Utiliza una solución de seguridad integral de un proveedor de confianza para protegerte del malware y de los mensajes sospechosos.
Prácticamente todo el mundo usa el correo electrónico. Eso lo convierte en un objetivo permanente para los atacantes. Pero no todas las bandejas de entrada tienen que estar expuestas. Toma las precauciones adecuadas para maximizar tus probabilidades de mantenerte seguro online.
