Todos los cursos > Informática ( TI ) > Seguridad de la Información ::

Correo electrónico seguro y protección contra accesos no autorizados

Capítulo 8

Tiempo estimado de lectura: 9 minutos

+ Ejercicio

Por qué tu correo es una “llave maestra”

Tu correo electrónico no es solo una bandeja de entrada: suele ser el punto central para recuperar contraseñas, confirmar cambios de seguridad y verificar tu identidad en bancos, tiendas, redes y servicios de trabajo. Si alguien accede a tu correo, puede intentar “reiniciar” el acceso a muchas otras cuentas sin necesidad de conocer tus contraseñas actuales.

Piensa en el correo como el lugar donde llegan los “recibos” y “llaves de repuesto” de tus cuentas: enlaces de restablecimiento, códigos de verificación, avisos de inicio de sesión y confirmaciones de cambios. Por eso, protegerlo reduce de forma drástica el riesgo de accesos no autorizados en cadena.

Configuración esencial del correo (lo mínimo que marca la diferencia)

1) Refuerza el acceso con verificación en dos pasos (2FA) del propio correo

La verificación en dos pasos del correo es especialmente crítica porque protege el punto desde el que se recuperan otras cuentas. Actívala en el proveedor que uses (Gmail, Outlook, iCloud, Yahoo, correo corporativo, etc.).

Guía práctica (paso a paso):

  • Paso 1: Entra a la configuración de tu cuenta (no solo a la app de correo). Busca “Seguridad”, “Inicio de sesión” o “Verificación en dos pasos”.
  • Paso 2: Activa 2FA y elige el método disponible más robusto en tu proveedor (por ejemplo, app de autenticación o llave de seguridad si tu servicio lo permite). Si solo ofrece SMS, úsalo como mejora temporal mientras habilitas una opción más fuerte cuando esté disponible.
  • Paso 3: Guarda los códigos de recuperación en un lugar seguro (por ejemplo, impresos y guardados, o en un gestor de contraseñas si ya lo usas). No los dejes en la bandeja de entrada.
  • Paso 4: Revisa “Dispositivos” o “Sesiones activas” y cierra sesión en los que no reconozcas.

2) Activa alertas de inicio de sesión y cambios importantes

Las alertas te avisan si alguien intenta entrar o si se cambia algo sensible (contraseña, reenvío, número de recuperación). Son tu “alarma” temprana.

Continúa en nuestra aplicación.
  • Escuche el audio con la pantalla apagada.
  • Obtenga un certificado al finalizar.
  • ¡Más de 5000 cursos para que explores!
O continúa leyendo más abajo...
Download App

Descargar la aplicación

Qué activar:

  • Avisos por inicio de sesión desde un dispositivo nuevo.
  • Avisos por inicio de sesión desde una ubicación inusual.
  • Avisos por cambios en contraseña, correo/telefono de recuperación y reglas de reenvío.

Mini-chequeo: si tu proveedor permite elegir el canal de alerta, configura al menos dos (por ejemplo, notificación en el móvil y correo alternativo).

3) Revisa dispositivos confiables y accesos de aplicaciones

Muchos accesos no autorizados ocurren porque quedó una sesión abierta en un equipo viejo, porque una app de terceros tiene permisos, o porque se configuró un cliente de correo en un dispositivo que ya no controlas.

Guía práctica (paso a paso):

  • Paso 1: En “Seguridad” > “Tus dispositivos” (o similar), elimina dispositivos que ya no uses o no reconozcas.
  • Paso 2: Revisa “Aplicaciones con acceso a tu cuenta” o “Acceso de terceros”. Revoca lo que no sea imprescindible.
  • Paso 3: Si usas clientes de correo (por ejemplo, una app de escritorio), revisa si el proveedor muestra “Contraseñas de aplicación” o “Acceso IMAP/POP”. Desactiva lo que no uses.

Higiene del buzón: menos caos, menos riesgo

1) Usa filtros para aislar lo importante y reducir trampas

Los filtros no solo ordenan: también ayudan a que los correos críticos (facturas, avisos de seguridad, confirmaciones) no se pierdan entre promociones o mensajes sospechosos.

Ejemplos de filtros útiles:

  • Crear una carpeta/etiqueta “Seguridad” y filtrar allí correos que contengan palabras como código, verificación, inicio de sesión, cambio de contraseña (ajústalo a tu idioma y proveedor).
  • Enviar a “Promociones” los boletines y tiendas para que no camuflen correos falsos.
  • Marcar como destacados los correos de dominios oficiales que uses con frecuencia (por ejemplo, tu banco), pero solo después de verificar que el dominio es el correcto.

2) Considera alias o direcciones separadas (si tu proveedor lo permite)

Separar usos reduce el impacto si una dirección se filtra o empieza a recibir ataques dirigidos. Algunos proveedores permiten alias (variantes de tu correo) o direcciones adicionales.

Esquema práctico recomendado:

  • Correo principal: solo para cuentas críticas (banco, salud, trabajo, administración).
  • Correo secundario/alias: para compras, registros en sitios, newsletters.
  • Correo “de registro”: para pruebas o servicios de baja confianza (si lo necesitas).

Consejo operativo: si creas un correo secundario, configura reenvío solo de mensajes que tú definas mediante filtros (no reenvío total), para no abrir una puerta adicional.

3) Elimina correos peligrosos y reduce “material” para ataques

Correos antiguos pueden contener datos útiles para un atacante (facturas con dirección, números parciales, documentos adjuntos, enlaces de restablecimiento ya usados). No se trata de borrar todo, sino de reducir lo sensible.

Guía práctica (paso a paso):

  • Paso 1: Busca en tu buzón términos como contraseña, código, verificación, restablecer, factura, documento, adjunto.
  • Paso 2: Abre solo lo que esperas y reconoces. Si hay adjuntos sensibles que necesitas conservar, guárdalos en un lugar seguro fuera del correo y elimina el mensaje.
  • Paso 3: Vacía la papelera y la carpeta de spam si tu proveedor no lo hace automáticamente.

Detección de correos falsos sin tecnicismos

1) Verifica el remitente real (no solo el nombre visible)

Un correo puede mostrar “Soporte” o “Tu banco” como nombre, pero lo importante es la dirección real y, sobre todo, el dominio (lo que va después de @).

Cómo comprobarlo:

  • En móvil: toca el nombre del remitente para desplegar la dirección completa.
  • En web/escritorio: pasa el cursor o abre los detalles del remitente para ver la dirección real.

Señales típicas de suplantación:

  • Dominio con variaciones: @banco-seguro.com en vez de @banco.com.
  • Uso de subdominios para confundir: @banco.com.seguridad-alertas.net (el dominio real es seguridad-alertas.net).
  • Errores sutiles: letras cambiadas o añadidas: @micr0soft.com, @paypaI.com (i mayúscula por l).

2) Revisa enlaces sin hacer clic

Muchos correos falsos intentan llevarte a una web que parece legítima. Antes de abrir un enlace, mira a dónde apunta.

  • En escritorio: coloca el cursor sobre el enlace y observa la URL que aparece.
  • En móvil: mantén pulsado el enlace para previsualizar la URL (si tu app lo permite).

Qué buscar: que el dominio sea exactamente el oficial del servicio. Si el enlace usa acortadores o dominios raros, trátalo como sospechoso.

3) Encabezados básicos: lo mínimo útil

No necesitas ser técnico: basta con saber dónde ver “detalles del mensaje” para detectar incoherencias.

Qué mirar en los detalles:

  • De (From): lo que ves normalmente.
  • Responder a (Reply-To): si al responder se enviaría a otra dirección distinta, mala señal.
  • Para (To): si aparece como enviado a una lista extraña o a otra dirección que no es la tuya (a veces va en copia oculta, pero si todo es confuso, sospecha).

Ejemplo práctico:

From: "Soporte" <soporte@servicio.com> Reply-To: <verificacion@dominio-raro.net>

Si el Reply-To no coincide con el dominio oficial, evita responder y verifica por otra vía.

Protocolo de actuación ante un correo sospechoso

Regla de oro: no interactúes con el contenido

  • No respondas.
  • No abras adjuntos.
  • No hagas clic en enlaces.
  • No llames a números que aparezcan en el correo.

Guía práctica (paso a paso) para verificar sin exponerte

  • Paso 1: Pausa y clasifica. ¿Es un aviso de seguridad, una factura, un “problema con tu cuenta”, un premio, una urgencia? Los mensajes que presionan con urgencia merecen doble verificación.
  • Paso 2: Comprueba el remitente real. Expande la dirección completa y revisa el dominio.
  • Paso 3: Verifica por otra vía. En lugar de usar el enlace del correo, entra al servicio escribiendo la dirección en el navegador o usando la app oficial. Si el aviso era real, normalmente lo verás también dentro de tu cuenta.
  • Paso 4: Contrasta el contexto. Si dice “tu pedido”, revisa si realmente compraste algo. Si dice “tu cuenta será cerrada”, revisa notificaciones dentro del servicio.
  • Paso 5: Reporta. Usa la opción de tu proveedor: “Reportar phishing” o “Marcar como suplantación”. En entornos de trabajo, reenvía al canal interno de seguridad (por ejemplo, “reportar correo sospechoso” si existe) sin hacer clic en nada.
  • Paso 6: Elimina. Borra el correo y vacía la papelera si es necesario.

Si ya hiciste clic o abriste un adjunto

Actúa como si hubiera riesgo, incluso si “no pasó nada” a simple vista.

  • Si introdujiste datos: cambia la contraseña del servicio afectado desde la app o web oficial (no desde el enlace del correo) y revisa actividad reciente y métodos de recuperación.
  • Si descargaste un archivo: no lo ejecutes. Elimínalo y pasa un análisis de seguridad con la herramienta del sistema o una solución confiable.
  • Si diste acceso al correo: revisa inmediatamente “Sesiones activas”, “Dispositivos”, “Reenvío” y “Reglas”. Los atacantes suelen crear reglas para ocultar avisos o reenviar mensajes.

Chequeo rápido: señales de compromiso del correo

  • Correos “enviados” que no recuerdas.
  • Reglas nuevas que mueven mensajes a archivados/papelera o los reenvían.
  • Notificaciones de inicio de sesión que no reconoces.
  • Cambios en datos de recuperación que no hiciste.

Si detectas alguna, prioriza: cerrar sesiones desconocidas, revisar reglas/reenvío, y asegurar la cuenta desde la configuración oficial del proveedor.

Ahora responde el ejercicio sobre el contenido:

Recibes un correo que dice ser un aviso de seguridad y te pide que confirmes tu cuenta con un enlace. ¿Cuál es la acción más segura para verificar si el aviso es real sin exponerte?

¡Tienes razón! Felicitaciones, ahora pasa a la página siguiente.

¡Tú error! Inténtalo de nuevo.

La forma más segura es no interactuar con enlaces del correo. Verifica el aviso accediendo al servicio por la web/app oficial; si era legítimo, normalmente estará reflejado en tu cuenta. Así reduces el riesgo de caer en una suplantación.

Siguiente capítulo

Protección de datos en la nube y copias de seguridad confiables

Arrow Right Icon
Portada de libro electrónico gratuitaSeguridad Digital para la Vida Diaria: Contraseñas, Estafas y Protección de Datos sin Complicaciones
80%

Seguridad Digital para la Vida Diaria: Contraseñas, Estafas y Protección de Datos sin Complicaciones

Nuevo curso

10 páginas
Aprender Seguridad de la Información

AprenderSeguridad de la Información

Descubre cursos en línea gratuitos sobre Seguridad de la Información. Aprende a protegerte de amenazas cibernéticas con lecciones de Ciberseguridad y más, ¡todo gratis!

 Aprender Informática ( TI )

AprenderInformática ( TI )

Accede gratis a cursos desde básica a avanzada en informática, incluyendo Excel, programación, IA, redes, seguridad y más. Certificación gratuita incluida.
Descarga la aplicación para obtener una certificación gratuita y escuchar cursos en segundo plano, incluso con la pantalla apagada.
QR Code - Baixar Cursa - Cursos Online

Descarga nuestra aplicación a través del Código QR o los enlaces a continuación:.

Disponible en Google Play Disponible en App Store