El spam rara vez se presenta de la misma manera. En un caso es un correo sobre descuentos de una tienda donde compraste algo hace cinco años. En otro, un mensaje supuestamente del banco, un enlace a un pago de entrega falso o publicidad persistente en un mensajero. Lo que tienen en común es uno: el destinatario no pidió ese flujo y no quiere gastar tiempo en él.
El spam son mensajes masivos no deseados. La mayoría de las veces se habla del correo electrónico, pero el spam aparece en SMS, mensajeros, comentarios, formularios de contacto, notificaciones push, redes sociales y calendarios. A veces es solo publicidad molesta, otras veces es una forma de llevar a la persona a un sitio de phishing, hacer que descargue un archivo malicioso o engañarla para obtener un código por SMS.
Un envío legítimo se distingue del spam por el consentimiento y una opción clara para darse de baja. Si la persona se suscribió a las noticias de una tienda, recibe correos de un remitente conocido y puede darse de baja con un solo botón, eso no es spam en el sentido cotidiano. Si la dirección llegó a una base ajena, y el remitente se oculta, cambia dominios y envía lo mismo a miles de personas, entonces ya estamos ante un envío basura.
Eliminar completamente el spam es casi imposible: las direcciones se filtran, los bots recogen contactos de sitios, se revenden bases antiguas y los estafadores cambian dominios más rápido de lo que el usuario puede pulsar Bloquear. Pero se puede reducir mucho el volumen y evitar que el spam se convierta en pérdida de dinero o de la cuenta.
En qué se diferencia el spam del phishing y de un envío legítimo
El spam, el phishing y un envío legal a menudo llegan al mismo lugar: la bandeja de correo. Por eso es fácil confundirlos. La diferencia está en el objetivo y el origen del mensaje. El spam impone publicidad no deseada o un mensaje masivo. El phishing engaña a la persona y conduce al robo de dinero, contraseñas o códigos. Un envío legítimo se envía con consentimiento y ofrece una forma clara de darse de baja.
| Tipo de mensaje | Cómo se ve | Objetivo | Qué hacer |
|---|---|---|---|
| Spam | Publicidad, ofertas dudosas, propuestas masivas | Conseguir clics, ventas, respuestas o instalación de una aplicación | Denunciar el spam, bloquear al remitente, no responder |
| Phishing | Correo supuestamente del banco, de una entrega, de un marketplace o de servicios públicos | Robar contraseña, código, tarjeta o acceso a la cuenta | No seguir el enlace, abrir el servicio manualmente, denunciar el phishing |
| Envío legítimo | Noticias del servicio, recibo, notificación, correo de una tienda | Comunicar información o enviar publicidad con suscripción | Darse de baja si los correos ya no son necesarios |
| Notificación técnica | Inicio de sesión en la cuenta, cambio de contraseña, recibo, estado del pedido | Informar sobre una acción u operación | Comprobar si la acción fue real |
El phishing es más peligroso que el spam habitual. En el mensaje puede aparecer el logotipo del banco, un diseño familiar, el nombre de la persona y un enlace a una página similar al sitio real. La dirección del remitente tampoco siempre ayuda: los estafadores usan dominios parecidos, buzones comprometidos y suplantación del nombre del remitente.
Hay una matización con la opción de baja. En los correos de servicios conocidos, el botón Darse de baja suele ser más seguro que denunciar como spam: así no perjudicas la reputación de un remitente legítimo y dejas de recibir ese envío. En correos de casinos desconocidos, pseudo inversiones y farmacias dudosas es mejor no pulsar ningún enlace. El botón de baja allí puede confirmar que la dirección está activa.
De dónde viene el spam
La dirección puede llegar a los spammers por varias vías. La más sencilla son las filtraciones de bases. Si una tienda online, un foro, un servicio de entregas o una red social antigua guardaron mal los datos, el correo y el teléfono pueden acabar a la venta. Luego la base circula años entre remitentes, estafadores y intermediarios publicitarios.
La segunda fuente es recopilar direcciones de páginas abiertas. Los bots buscan contactos en sitios de empresas, en comentarios, anuncios, documentos, currículums y perfiles. Si el correo se publica en texto visible, es más fácil llevarlo a una base. También atacan los formularios de contacto: un bot rellena el campo de nombre, teléfono y comentario e intenta enviar publicidad o un enlace.
La tercera vía son suscripciones dudosas. La persona deja el email por un código promocional, un archivo gratuito, un test, un seminario web o participar en un sorteo, y luego la dirección se usa más ampliamente de lo esperado. A veces el consentimiento está escondido en un texto largo junto a la casilla, a veces los datos se comparten con socios.
Un problema aparte es la suplantación del remitente. En el correo puede figurar que proviene de una empresa conocida, pero el envío real sale de otro servidor. Para combatir esto se usan SPF, DKIM y DMARC. Estas comprobaciones ayudan a los servicios de correo a saber si el servidor está autorizado para enviar mensajes en nombre del dominio y si el correo coincide con la política del propietario del dominio.
- SPF muestra qué servidores tienen derecho a enviar correo en nombre del dominio.
- DKIM añade una firma digital para que el receptor pueda verificar que el mensaje no se modificó en tránsito.
- DMARC vincula SPF y DKIM con el dominio en el campo From y establece una regla: aceptar, enviar a spam o rechazar el correo.
- Los informes DMARC ayudan al propietario del dominio a ver quién envía correos en su nombre.
Cómo el correo detecta que un mensaje parece spam
El filtro de correo no busca una palabra mágica. Evalúa muchos indicios: el remitente, el dominio, la dirección IP, los enlaces, los adjuntos, el texto, la frecuencia de envío, las denuncias de usuarios, el historial de envíos y los resultados de SPF, DKIM y DMARC. Por eso el mismo correo para una persona puede acabar en la Bandeja de entrada y para otra en la carpeta de Spam.
La reputación del remitente funciona más o menos como el historial crediticio para un dominio y una IP. Si desde una dirección se envía basura masiva, llegan denuncias y se usan malas bases, los correos empiezan a pasar peor los filtros. Si el remitente confirma el dominio, limpia la base, tramita las bajas y no engaña con el asunto, la probabilidad de llegar a la Bandeja de entrada aumenta.
| Indicador | Qué comprueba el filtro | Por qué influye |
|---|---|---|
| Dominio e IP | Historial del remitente y denuncias | Los spammers suelen cambiar la infraestructura y quemar dominios |
| SPF, DKIM, DMARC | Autenticidad del envío | Un mensaje sin comprobación se puede falsificar con más facilidad |
| Enlaces | A dónde llevan los botones y las direcciones acortadas | El spam a menudo redirige a phishing, redirecciones y sitios maliciosos |
| Adjuntos | Tipo de archivo y señales de código malicioso | Archivos comprimidos, scripts y ejecutables se usan frecuentemente en ataques |
| Comportamiento de los destinatarios | Denuncias, eliminaciones, aperturas, respuestas | Las denuncias masivas estropean rápido la reputación de un envío |
Los grandes servicios de correo han endurecido las reglas para remitentes masivos. Google, en sus recomendaciones para remitentes, indica SPF, DKIM y DMARC como base obligatoria para una entrega normal, y para el correo masivo son importantes una baja sencilla y un bajo nivel de denuncias. DMARC, como estándar, añade a SPF y DKIM una política de tratamiento de mensajes y reportes para el propietario del dominio.
Cómo protegerse un usuario común
La primera regla es no responder al spam. Responder con mensajes como quítenme de la base confirma que la dirección está activa. Lo mismo ocurre con seguir enlaces en correos dudosos. Si el remitente es desconocido y el correo promete premios, pagos, bloqueo urgente de la cuenta o un regalo con un clic, es mejor no saciar la curiosidad.
En los servicios de correo es útil denunciar el spam en lugar de simplemente borrar los mensajes. En Gmail existe el botón Reportar spam, y para un remitente concreto el botón Bloquear remitente. En Outlook se gestionan los correos no deseados a través de Correo → Correo no deseado, y los mensajes sospechosos se pueden enviar mediante Report junk o Report phishing. En Yandex Mail se usa el botón ¡Spam! para entrenar el filtro.
- Para envíos legítimos utilice Darse de baja si el remitente es conocido y el correo esperado.
- Para publicidad desconocida pulse Spam o Reportar spam, sin seguir los enlaces dentro del mensaje.
- Si sospecha de robo de contraseña abra el sitio manualmente en el navegador, no desde el botón del correo.
- Para servicios importantes cree una cuenta de correo separada que no publique en foros ni en concursos.
- Para registros en sitios dudosos use una dirección separada o un alias, si el servicio de correo lo permite.
- Compruebe los permisos de los sitios para notificaciones push en el navegador: parte del spam molesto llega no por correo, sino por notificaciones.
Si el spam aumenta de forma brusca y masiva, verifique si su dirección está siendo usada para registros en docenas de sitios. A veces los atacantes organizan una bombardera de correo para ocultar entre la basura un mensaje importante: un recibo, el cambio de contraseña, un inicio de sesión o la confirmación de una compra.
Spam en SMS, mensajeros y comentarios
El correo no es el único canal. El spam por SMS suele camuflarse como entrega, banco, marketplace, multa, premio o notificación de acceso. En mensajeros, los spammers escriben en nombre de reclutadores, inversores, soporte de un exchange, contactos conocidos en chats y tiendas falsas.
En comentarios y formularios de contacto el spam se ve distinto: enlaces a casinos, pseudo medicamentos, esquemas de criptomonedas, publicidad SEO, documentos falsos y servicios dudosos. Para el propietario del sitio esa basura perjudica la moderación, satura el correo y a veces daña la reputación de la página.
- No siga enlaces acortados en SMS si el mensaje está relacionado con dinero, entregas o la cuenta.
- Abra el banco, los servicios públicos, el marketplace y el correo mediante la aplicación o introduciendo la dirección manualmente.
- En mensajeros limite la posibilidad de añadirte a grupos y las llamadas de usuarios desconocidos.
- En formularios del sitio use CAPTCHA, un campo oculto para bots, límites de envío y moderación de enlaces.
- En comentarios active la premoderación de los primeros mensajes y prohíba un número elevado de enlaces.
Si el spam se envía en tu nombre
A veces los conocidos escriben: te llegó publicidad o un enlace extraño. Aquí caben dos opciones. La primera es que tu buzón se haya comprometido. La segunda es que la dirección solo se haya suplantado en el campo remitente. Para el receptor ambos casos parecen iguales, pero las acciones son distintas.
Si hackearon el correo, hay que cambiar la contraseña de inmediato, cerrar todas las sesiones, activar la autenticación en dos pasos, revisar reglas de reenvío, respuestas automáticas, firmas y aplicaciones conectadas. En correos a menudo hay una regla oculta: reenviar al atacante todos los mensajes del banco o de seguridad y borrarlos de la bandeja de entrada.
En la suplantación del remitente la contraseña puede estar intacta, pero el dominio se usa sin permiso. Si tienes tu propio dominio, configura SPF, DKIM y DMARC. Para una cuenta personal en Gmail, Outlook o Yandex es más difícil corregir la suplantación de otros dominios, pero puedes avisar a tus contactos y denunciar los mensajes como phishing o spam.
| Indicador | Parece un buzón hackeado | Parece suplantación del remitente |
|---|---|---|
| Hay correos en Enviados | Sí | Normalmente no |
| Hay accesos desconocidos | Sí | Normalmente no |
| Los contactos reciben correos en tu nombre | Sí | Sí |
| Ayuda cambiar la contraseña | Sí, si hubo hackeo | No, si solo hubo suplantación |
| Ayudan SPF, DKIM, DMARC | Parcialmente | Sí, para el dominio |
FAQ: preguntas frecuentes
¿Se puede eliminar completamente el spam?
Completamente, casi no. La dirección puede aparecer en bases antiguas, filtraciones y recolección automática. Pero las denuncias de spam, direcciones separadas para registros, filtros, bloqueos y darse de baja con cuidado reducen mucho el flujo.
¿Hay que pulsar Darse de baja en cada correo?
No. En los correos de servicios conocidos la baja suele ser adecuada. En mensajes sospechosos de remitentes desconocidos es mejor pulsar Spam y no seguir los enlaces.
¿Por qué el spam llega desde mi misma dirección?
Puede deberse a un hackeo del buzón o a la suplantación del remitente. Comprueba los accesos, los correos enviados, las reglas de reenvío y cambia la contraseña. Si usas un dominio propio, configura SPF, DKIM y DMARC.
¿En qué se diferencia el spam del phishing?
El spam suele imponer publicidad masiva o un mensaje no deseado. El phishing intenta robar contraseña, código, dinero o acceso a la cuenta. Un correo de phishing también puede ser spam, pero el riesgo es mayor.
¿Qué hacer si correos importantes van a Spam?
Abra el correo y pulse No es spam, añada al remitente a contactos o a la lista de remitentes fiables. Si los correos salen de su dominio, compruebe SPF, DKIM, DMARC y la reputación del envío.
