Para los ciberdelincuentes el correo electrónico —no es solo un punto de entrada, sino todo un portal en tu vida digital. A través del acceso al correo se puede obtener acceso a cuentas bancarias, servicios de almacenamiento en la nube, redes sociales e incluso a tus contactos. Pero la buena noticia es que puedes protegerte activando simplemente varias funciones de seguridad que ya están integradas en la mayoría de los servicios. Esto llevará solo un par de minutos, pero puede evitar una catástrofe.
Autenticación de dos factores mediante aplicación
La protección más simple, evidente y a la vez increíblemente eficaz es la autenticación de dos factores (2FA). Añade una segunda barrera: incluso si un atacante ha adivinado tu contraseña, sin el segundo código no podrá acceder al correo. La forma más segura de implementar la 2FA es usar una aplicación generadora de códigos en lugar de SMS. Por ejemplo, Google Authenticator, 1Password o Microsoft Authenticator. Estas aplicaciones generan cada 30 segundos un código de un solo uso que hay que introducir al iniciar sesión. La vinculación se realiza mediante un código QR en la configuración de tu correo.
¿Por qué una aplicación? Los SMS pueden ser interceptados mediante la suplantación de la tarjeta SIM o por vulnerabilidades de los operadores de telefonía. En cambio, el código de una aplicación existe únicamente en tu dispositivo. Correo de Google, Outlook y casi todos los servicios modernos permiten activar 2FA con el uso de esos generadores. Esto es lo primero que conviene activar si aún no lo has hecho.
Eliminar el acceso de aplicaciones de terceros
Muchos servicios permiten iniciar sesión en una cuenta mediante el correo —«iniciar sesión con Google» o «con Microsoft». Es cómodo, pero no siempre seguro. Si conectaste una aplicación poco conocida y dejó de recibir soporte, puede quedar una vulnerabilidad. A través de ella los atacantes podrían acceder a tu correo incluso sin comprometer la cuenta principal.
La solución es limpiar periódicamente la lista de plataformas conectadas. En Gmail esto se hace desde la sección de seguridad de la cuenta: encuentra la lista de aplicaciones con acceso y elimina las que no uses desde hace tiempo. Lo mismo aplica a las autorizaciones mediante Apple ID o Microsoft: todas recopilan conexiones de terceros.
Bloqueo de imágenes externas
Las imágenes en los correos parecen inofensivas hasta que se revela que no son solo un banner, sino un píxel de seguimiento incrustado. Esos elementos invisibles permiten al remitente saber cuándo abriste el mensaje, desde qué dispositivo e incluso desde qué ciudad. Además, a veces las imágenes ocultan scripts maliciosos.
Por defecto muchos clientes de correo cargan imágenes desde servidores externos automáticamente. Esto se puede (y debe) desactivar. En Outlook entra en Configuración > Privacidad y datos > Imágenes externas y activa la opción «Usar siempre el servicio de Outlook para descargar imágenes». Esto significa que los medios pasarán por un proxy de protección de Microsoft en lugar de descargarse directamente.
Si tu cliente de correo no soporta esa función, quizá valga la pena considerar cambiar de servicio. La opción también está disponible en Gmail. Así cortarás el oxígeno al atacante antes de que ocurra lo irreversible.
Filtrado de entrantes y lista blanca de remitentes
El phishing —uno de los métodos más extendidos para comprometer el correo. Un mensaje que parece provenir del «servicio de seguridad» puede pedir confirmar el acceso de forma urgente, y un solo clic en un enlace puede acabar en pérdida de datos. Los filtros de correo no siempre son suficientes: a veces los mensajes maliciosos llegan a la bandeja de entrada como si fueran normales.
Por eso tiene sentido reforzar el filtrado manualmente. En Outlook y Gmail puedes activar configuraciones avanzadas de filtrado: permitir mensajes solo de contactos o de dominios que hayas añadido a una lista blanca. Esta configuración requiere atención aumentada —puedes perder por error un mensaje importante de un remitente nuevo. Pero en el caso de correo corporativo o cuentas usadas para registros en servicios, es una forma fiable de eliminar lo sospechoso.
Los clientes de correo que admiten reglas o filtros también permiten eliminar automáticamente o poner en cuarentena mensajes que contienen determinadas palabras clave, adjuntos o dominios sospechosos.
Bloquear adjuntos de remitentes desconocidos
Los archivos adjuntos son un vector clásico de ataque. Puede ser un documento Word infectado, un PDF con un exploit o un archivo ZIP con un troyano. Incluso si un antivirus está activo, es mejor evitar que esos mensajes lleguen a la bandeja de entrada. Los adjuntos maliciosos suelen ocultar más de lo que aparentan.
Algunos clientes de correo permiten bloquear adjuntos de cualquiera que no esté en tu lista de contactos. Esto es especialmente efectivo durante ataques masivos, cuando los agentes maliciosos envían correos a millones de direcciones. También se puede especificar una lista de dominios de confianza o añadir a «remitentes seguros» únicamente las direcciones en las que confías de verdad.
Si usas correo corporativo, el administrador puede configurar una política por la cual cualquier adjunto procedente de direcciones externas se envía automáticamente a un análisis previo en una sandbox o se bloquea por completo.
Contraseñas seguras y migración a passkeys
La medida más antigua, pero todavía crítica, es la contraseña. Y la mayoría de los compromisos de correo no ocurren por ataques sofisticados, sino por fuerza bruta o por reutilización: la combinación era demasiado simple o se empleó en otro servicio cuyos datos ya se filtraron.
Asegúrate de que cada correo tenga una contraseña única, larga y compleja. No uses el nombre de la mascota ni una fecha de nacimiento. Lo más seguro es generarla con un gestor de contraseñas —por ejemplo, integrado en Contraseñas de Apple, Bitwarden o 1Password. Un gestor colocará automáticamente la combinación correcta al iniciar sesión, de modo que no tendrás que memorizarla.
Además, puedes considerar migrar a passkeys: una alternativa nueva a las contraseñas, resistente al phishing. En lugar de introducir una frase secreta, confirmas el acceso mediante biometría o PIN en el dispositivo. El soporte para passkeys ya está disponible en Google, Microsoft y Apple ID, y se irá extendiendo a la mayoría de los servicios populares.
Conclusión: máxima protección en mínimo tiempo
Proteger el correo electrónico no consiste en instalar antivirus complejos ni comprar productos de pago. Se trata de entrar en la configuración y activar cinco o seis opciones clave que ya tienes disponibles. Incluso activar solo la 2FA complica mucho la vida al atacante. Si a eso sumas el bloqueo de adjuntos, el control del acceso de terceros y contraseñas correctas, tendrás una verdadera fortaleza electrónica.
Los atacantes cuentan con la negligencia. No les des esa oportunidad.
