Artículo
Estafa por email: cómo protegerte del phishing en México
Conoce los tipos de estafas por correo electrónico más comunes en México y cómo proteger tu información personal y financiera del fraude.
Nos adherimos
Nos adherimos 5 min de lectura | Finanzas personales
Una persona promedio recibe entre 10 y 30 correos electrónicos en un día. A veces, no tienes el tiempo necesario para poder mirar cada uno de los que recibes y puede ser que hagas clic en un botón o enlace por error.
Parece una tontería, pero esta acción es muy peligrosa, ya que podrías estar enfrentándote a estafas por correo electrónico sin darte cuenta.
En México, 13.5 millones de personas han sido víctimas de phishing, según datos de The CIU. Solo en 2025, se registraron 360 millones de mensajes falsos de phishing en el país, un incremento de 202% respecto al año anterior. El monto promedio perdido por evento asciende a $8,750 pesos.
Preparamos este artículo para ayudarte a mantener los ojos bien abiertos y sepas cómo identificar y protegerte de las estafas por email. Aquí encontrarás los tipos de fraude más comunes, cómo detectarlos y qué hacer si eres víctima.
¿Cuáles son las estafas por correo electrónico más comunes?
Si miras por Internet, encontrarás que hay muchísimas formas de caer en la trampa y ser víctima de un fraude. México ocupa el tercer lugar mundial en recepción de correos maliciosos (8% del total global), solo detrás de China y Rusia.
Antes que nada lee el asunto, si no te suena, marca el correo como SPAM directamente sin abrirlo.
A modo general, resumimos cuáles son tipos de estafas por email más comunes a las que te enfrentarás:
El phishing
El phishing viene de la palabra fishing, que significa "pesca" en inglés. La referencia es simple, los piratas informáticos y estafadores esperan que muerdas el anzuelo.
Su objetivo es robar tu identidad, ya que con tus datos podrán tener acceso a tu cuenta bancaria, a tus perfiles en las redes sociales o incluso al servidor de la empresa en la que trabajas. Este tipo de datos valen mucho dinero en el mercado negro.
Los correos electrónicos phishing pueden llegar de muchas formas, pero lo importante es reconocer dos elementos clave en ellos:
Ingeniería social: se hacen pasar por alguien (un amigo, tu jefe, el gerente de un banco).
Enlaces maliciosos: comparten un enlace que te llevará a un sitio fraudulento, casi idéntico a uno real como Facebook, Paypal o tu banco, con el fin de robar tus datos.
Sentido de urgencia: te dirán que hagas algo rápido para poder obtener algo o evitar perderlo. Dinero, cierres de cuentas bancarias, mensajes que se borrarán. Su idea es que actúes sin pensar.
El email de PayPal falso
Una de sus tácticas favoritas es enviar correos desde una dirección falsa y hacerse pasar por PayPal u otros monederos digitales.
Pueden hablar acerca de problemas con una transacción, de una nueva entrada de dinero o del cierre de tu cuenta. Desean generar una urgencia para que no pienses bien y hagas clic en un botón o enlace que te llevará a una página donde robarán tus datos.
Para evitar esto, muchas Fintech utilizan métodos de autenticación de identidad en dos pasos y sus mensajes con claves dicen claramente que no sean compartidas con nadie.
Correos falsos del SAT o bancos mexicanos
Una modalidad muy frecuente en México es recibir correos que aparentan ser del SAT (Servicio de Administración Tributaria), de BBVA, Banorte, Santander u otros bancos. Estos correos suelen mencionar supuestas devoluciones de impuestos, bloqueos de cuenta o movimientos sospechosos.
El SAT cuenta con un buscador de correos falsos donde puedes verificar si un correo recibido es auténtico. Si recibes un correo sospechoso de tu banco, verifica directamente en la app o llamando al número que aparece en tu tarjeta.
Correos de Bitcoin y criptomonedas
Si te llegan correos de Bitcoin, aunque no tengas cuenta en una billetera o en un Exchange, estás frente a una estafa.
Mucha gente reporta que le llegan correos de Bitcoin con un código de transacción. Los estafadores se aprovechan del desconocimiento en el mundo de las criptomonedas para generar falsa urgencia en sus víctimas.
Te pedirán ingresar a un enlace, cuyos campos están pensados para robar tu información. O podrían incluso compartir un código QR que se conectará con tu app de criptomonedas (si la tienes) y confundirte para que envíes dinero a una wallet.
La herencia de un país exótico
Es uno de los tipos de estafas más famosos, quizás la conozcas también como la estafa nigeriana o "el príncipe nigeriano", nombre que se le da gracias a la narrativa que emplean en estas estafas por email.
Le reconocerás, pues se te ofrece una herencia millonaria del príncipe de un país lejano (en su mayoría africanos) con quien tienes algún supuesto nexo. También puede que no digan que tienen un nexo, pero sí que confían porque eres una buena persona.
Con el tiempo han surgido variaciones de la estafa nigeriana que usan la misma lógica.
Puede ser que te escriban para recibir una comisión de mucho dinero por cobrar la lotería o que te digan que podrías ganar una comisión por ayudar a alguien a sacar dinero de un país.
Lo que quieren es que creas que ganarás dinero. Luego, en algún momento, te pedirán dinero a ti con una excusa como:
Pagar un seguro
Pagar a un abogado
Cubrir comisiones
Crear un historial de transacciones entre las cuentas para que no se vea sospechosa la transacción para las autoridades
El fin es el mismo, darás el dinero y quizás nunca más sabrás de tu pariente lejano y de tu supuesta herencia.
O lo que es aún peor, quizás sí te respondan o vuelvan a contactarte, todo con la idea de estafarte con más dinero.
Una oferta de trabajo increíble
Hay algunos correos electrónicos que te ofrecerán muy buenas ofertas de trabajo con unas condiciones excelentes. La mayoría serán para trabajar en el extranjero.
Estas mismas te pedirán un pago por adelantado para la tramitación del contrato, la búsqueda de vivienda a donde irás o cualquier otro tipo de cosa. De nuevo, una variación de la estafa nigeriana.
A no ser que hayas enviado tú el CV, seguramente son un fraude. Si te pasa esto, te recomendamos que te pongas en contacto con la empresa directamente por otra vía (si existe).
Así aclararás si estás siendo víctima de una estafa o de verdad te están ofreciendo trabajo.
Para evitar este escenario, prefiere conseguir empleo en las mejores plataformas para buscar trabajo.
Engaños amorosos por internet
Consiste en correos electrónicos de personas que afirman que se han enamorado profundamente de ti.
Luego de un intercambio de correos y seguramente de mensajes en redes sociales (exponiendo aún más tu identidad) estas personas te pedirán dinero para conocerte y poder viajar dónde estés.
Incluso algunos inventan otro tipo de mentiras como unas vacaciones juntos, un crucero de amor o algo así. Luego podrán usar información que tienen acerca de ti para solicitar reembolsos o devoluciones y quedarse con el dinero.
Hay muchas historias de engaños amorosos por internet que han terminado muy mal. Algunas comienzan con un correo y terminan en raptos o escenarios mucho peores.
Préstamos estafa
Una nueva modalidad es la de "prestamistas" dispuestos a otorgar créditos solo por caridad. La mayoría de las veces ponen condiciones muy favorables como "0% de interés".
Estos préstamos estafa podrían pedirte dinero para el trámite o para consultar con un abogado debido a que "no cumples con los requisitos para el préstamo".
¿Sabes lo que pasará una vez envíes el dinero para tramitar o asegurar tu préstamo? Exacto, no recibirás nada a cambio. Nunca hubo un préstamo, solo intenciones de estafarte. Si te interesa conocer más sobre prestamistas fraudulentos, revisa nuestra guía de empresas fraudulentas en México.
Estafas con inteligencia artificial
Una tendencia reciente es el uso de inteligencia artificial para crear correos de phishing más convincentes. Los estafadores utilizan IA para generar mensajes sin errores ortográficos, con un tono natural y personalizado. También emplean deepfakes de voz para llamadas telefónicas que complementan los correos fraudulentos, haciéndose pasar por ejecutivos bancarios o familiares.
Este tipo de ataques son más difíciles de detectar porque eliminan las señales tradicionales de fraude como la mala redacción.
Hay una variedad de montadeudas y estafas por internet que usan el email como el puente entre tú y los estafadores. Si logran hacer contacto, robarán tu información usando tecnología. Con ella pedirán préstamos a tu nombre en empresas que no verifican la identidad de los solicitantes.
¿Cómo puedes detectar un fraude por correo electrónico?
El poder descubrir un correo electrónico falso es muy importante para no caer en manos de criminales en línea y ser víctimas de una estafa. Según datos recientes, solo el 45.6% de los internautas mexicanos evita hacer clic en enlaces sospechosos y apenas el 34.4% verifica la autenticidad de los correos. Algunas formas de detectar este tipo de emails son:
Solicitan información personal sensible. Por ejemplo, si te envían un "correo" de tu entidad bancaria, pero no conoces al remitente o la dirección de correo es muy diferente a las usuales, lo mejor es que llames a tu persona de confianza en la entidad. Igual con un correo sospechoso de una dirección similar a la de tu trabajo.
Revisa la dirección del remitente. Los correos fraudulentos suelen venir de direcciones similares pero no idénticas a las reales. Por ejemplo, "soporte@bbva-mx-seguridad.com" en lugar de una dirección oficial de BBVA.
Si el correo electrónico está escrito con mala ortografía y una gramática horrible. Normalmente, las empresas y los bancos cuidan mucho estos detalles. Sin embargo, con el uso de IA los estafadores cada vez cometen menos errores.
Tienes que sospechar si recibes un email que no te suena familiar y no recuerdas haberte registrado con esa empresa o haber compartido tus detalles con dicha persona.
Te han mandado un correo pidiendo dinero. A no ser que sea un amigo o familiar cercano que te pida dinero y ya lo sabías con anterioridad, no accedas. Las estafas por correo electrónico también funcionan timando a terceros luego de hackear las cuentas de sus amigos, conocidos, compañeros de trabajo y similares.
El correo proviene de un lugar en el que no vives y nunca has estado. Y, además, no conoces a nadie que vive allí. Presta mucha atención porque lo más seguro es que sea un fraude.
Contiene archivos adjuntos inesperados. Nunca abras archivos adjuntos de correos que no esperabas, especialmente si tienen extensiones como .exe, .zip o .scr.
Abre los correos de desconocidos con cuidado. No hagas clic en ningún enlace que no sea de una persona o entidad de tu confianza y bloquea el remitente si identificas una posible estafa por correo.
¿Qué hacer si eres víctima de phishing o una estafa?
Si tomas precauciones y te percatas a tiempo, lo más seguro es que nunca seas víctima de una estafa por correo electrónico. Pero a veces, un simple despiste, puede dar muchos dolores de cabeza.
En México, el 23.1% de las víctimas de phishing sufrió pérdidas económicas con un promedio de $8,750 pesos por evento, y el 15.4% perdió acceso a sus cuentas bancarias.
Algunas de las cosas que puedes hacer si eres víctima de una estafa por correo electrónico son:
Contacta a tu banco de inmediato. Si compartiste datos bancarios o realizaste una transferencia, llama al número que aparece en tu tarjeta. Puede ser que todavía estés a tiempo de parar la transferencia y no perder el dinero.
Cambia tus contraseñas. Si diste tus credenciales de redes sociales, correo electrónico u otras plataformas, cambia las contraseñas lo antes posible y activa la verificación en dos pasos.
Reporta a la CONDUSEF. Si el fraude involucra servicios financieros, presenta tu queja en la CONDUSEF llamando al 55 53 40 09 99 o a través de su portal en condusef.gob.mx. La CONDUSEF recopila reportes a través de su Portal de Fraudes Financieros.
Denuncia ante la Policía Cibernética. En la Ciudad de México puedes reportar al teléfono 55 5242 5100, extensión 5086, o al correo policia.cibernetica@ssc.cdmx.gob.mx. Cada estado cuenta con su propia unidad de Policía Cibernética.
Guarda todas las evidencias. Conserva capturas de pantalla, correos electrónicos recibidos, comprobantes de pago o transferencias y cualquier dato del estafador. Esto será fundamental para la investigación.
Si fue un correo falso del SAT, verifícalo en el buscador de correos falsos del SAT y repórtalo directamente en su sitio web.
¿Cómo protegerte de las estafas por correo electrónico?
Además de saber detectar los correos fraudulentos, hay medidas preventivas que puedes tomar para reducir el riesgo de caer en una estafa:
Activa la verificación en dos pasos en todas tus cuentas importantes (correo, banco, redes sociales). Así, aunque roben tu contraseña, no podrán acceder sin el segundo factor.
Usa contraseñas únicas y complejas para cada servicio. Solo el 32.6% de los mexicanos utiliza contraseñas complejas, según The CIU.
Instala un antivirus actualizado. Solo el 18.6% de los internautas mexicanos usa software de seguridad en sus dispositivos.
No compartas información personal en redes sociales que pueda servir para personalizar ataques de phishing (nombre completo, fecha de nacimiento, dirección).
Verifica los enlaces antes de hacer clic. Pasa el cursor sobre el enlace para ver la URL real. Si no coincide con el sitio oficial, no hagas clic.
Mantén actualizado tu sistema operativo y aplicaciones. Las actualizaciones corrigen vulnerabilidades de seguridad que los estafadores pueden explotar.
El sufrir o no una estafa por email está en tus manos. Maneja responsable y celosamente tu información personal. Los estafadores no siempre son hackers al estilo nerds informáticos, sino personas inteligentes con gran manejo de ingeniería social.
Y recuerda que la mejor forma de evitar un fraude por correo electrónico es no abrir correos que no reconozcas y marcarlos como SPAM de inmediato.
Preguntas frecuentes sobre estafas por correo electrónico
¿Puede un estafador obtener algo solo con mi correo electrónico?
Sí. Con tu dirección de correo electrónico, un estafador puede enviarte correos de phishing personalizados, intentar recuperar contraseñas de tus cuentas o usar ingeniería social para obtener más información. Si además obtiene tu contraseña, puede acceder a tus cuentas bancarias, redes sociales y otros servicios. Por eso es importante usar contraseñas únicas y activar la verificación en dos pasos.
¿Cómo identificar una estafa por correo electrónico?
Revisa la dirección del remitente (suele ser similar pero no idéntica a la real), busca errores ortográficos o de gramática, desconfía de mensajes con urgencia excesiva ("tu cuenta será cerrada en 24 horas") y no hagas clic en enlaces sin verificar la URL. Los bancos y el SAT nunca solicitan contraseñas ni datos personales por correo.
¿Cómo son los correos electrónicos de estafa?
Los correos fraudulentos suelen imitar la apariencia de empresas legítimas como bancos, PayPal o el SAT. Contienen logos y diseños similares a los originales, pero incluyen enlaces que llevan a páginas falsas. Generalmente piden que realices una acción urgente como verificar tu cuenta, actualizar datos o confirmar una transacción.
¿Dónde puedo denunciar un fraude por correo electrónico en México?
Puedes denunciar ante la CONDUSEF (55 53 40 09 99) si involucra servicios financieros, ante la Policía Cibernética de la Ciudad de México (55 5242 5100 ext. 5086) o ante la Fiscalía General de la República si el daño fue mayor. También puedes reportar correos falsos del SAT en su buscador oficial de correos fraudulentos.
¿Qué es el phishing y cómo funciona?
El phishing es un tipo de fraude en el que los estafadores envían correos electrónicos haciéndose pasar por empresas, bancos o instituciones de confianza. Su objetivo es que hagas clic en un enlace que te lleva a una página falsa donde ingreses tus datos personales, contraseñas o información bancaria. En México, más de 13.5 millones de personas han sido víctimas de esta modalidad.
Comentarios
Solo los usuarios registrados pueden dejar comentarios.