Los correos electrónicos de confirmación de pedido deberían ser rutinarios. Compras algo y, en cuestión de segundos, recibes un recibo en tu bandeja de entrada.
A veces, sin embargo, las confirmaciones de pedido reales se marcan como spam. Otras veces, los correos electrónicos de phishing que se hacen pasar por confirmaciones de pedido se cuelan. Con 3.400 millones de correos electrónicos de phishing enviados diariamente, los estafadores han convertido los recibos de pedido falsos en uno de los trucos de phishing más eficaces.
Esto crea dos problemas:
- Los clientes pierden la confianza cuando sus recibos reales nunca llegan.
- Los estafadores aprovechan la confusión para robar credenciales de acceso y datos de pago.
Se supone que los filtros de spam deben resolver esto, pero no siempre lo hacen bien. Entonces, ¿por qué las confirmaciones de pedidos reales acaban en spam? ¿Por qué se cuelan los correos electrónicos de phishing? Y lo más importante: ¿cómo distinguirlos?
En esta guía te lo explicaremos:
- Cómo los estafadores diseñan correos electrónicos de pedidos falsos que parecen lo suficientemente reales como para engañarte.
- Qué ocurre cuando haces clic en un enlace de phishing.
- ¿Cómo puedes protegerte de estas estafas?
¡Vamos a sumergirnos!
Por qué las confirmaciones de pedido legítimas acaban en spam
Acabas de comprar algo por Internet: un teléfono nuevo, comida, entradas para un concierto, lo que sea. Esperas recibir inmediatamente un correo electrónico de confirmación en tu bandeja de entrada. Pero no aparece. Actualizas tu correo electrónico. Sigue sin aparecer nada. Entonces, por una corazonada, compruebas la carpeta de correo no deseado.
Ahí está, junto a una falsa alerta de PayPal y un turbio correo electrónico de «Reclama tu recompensa».
¿Por qué tu confirmación de pedido real acabó en spam? Porque los filtros de spam no son perfectos.
Están diseñados, entre otras cosas, para escanear los correos electrónicos en busca de rasgos sospechosos como dominios no verificados, demasiadas imágenes o palabras desencadenantes como «urgente» o «actúa ahora». El problema es que muchas confirmaciones de pedido legítimas contienen esos mismos rasgos. Si los ajustes de correo electrónico de una empresa no están configurados correctamente, sus correos pueden ser marcados.
Esto lleva a un problema mayor. Si las confirmaciones de pedido reales siguen yendo a spam, los clientes empiezan a comprobar sus carpetas de spam con regularidad, un hábito del que se aprovechan los estafadores. Cuando la gente se acostumbra a encontrar recibos reales en el spam, es más probable que confíe en uno falso.
Eso es lo que hace que los correos electrónicos de phishing sean tan peligrosos. Los estafadores no necesitan engañar a todo el mundo, sólo a un número suficiente de personas que ya están condicionadas a creer que «a veces, los correos electrónicos de pedidos reales acaban en spam».
Entonces, ¿cómo manipulan estas falsas confirmaciones de pedido para que la gente haga clic? Demasiado a menudo para ser ignoradas.
Pero las confirmaciones de pedido legítimas no deberían acabar en el spam. Con InboxAlly, puedes entrenar las bandejas de entrada para que reconozcan y prioricen tus correos electrónicos, de modo que los clientes realmente los vean. ¡Reserva una demostración gratuita y pruébalo!
Cómo los estafadores manipulan la psicología con correos electrónicos de pedidos falsos
La mayoría de los correos electrónicos de phishing no intentan ser perfectos: sólo necesitan hacerte reaccionar antes de pensar.
Digamos que recibes un correo electrónico «Tu pago de 399,99 $ ha sido procesado».
No recuerdas haber hecho esta compra y te da un vuelco el corazón. Justo debajo del cargo, hay un botón azul de «Cancelar y reembolsar». En un momento de pánico, hacer clic te parece la forma más rápida de solucionar el problema.
Eso es exactamente con lo que cuentan los estafadores.
Las confirmaciones falsas de pedidos se basan en dos emociones:
- Que cunda el pánico: Un cargo de cientos de dólares es algo que debes detener ahora.
- Curiosidad: «Tu paquete está listo para ser entregado». Pero nunca has pedido nada. ¿De qué se trata?
Para aumentar la urgencia, los estafadores utilizan frases diseñadas para precipitarte a la acción:
- «Tu cuenta se cargará en 24 horas a menos que se cancele».
- «Haz clic aquí inmediatamente para evitar que te facturen».
- «Tu pedido se ha enviado: hazle un seguimiento ahora».
Las estafas de phishing aumentan durante las temporadas de vacaciones y los grandes eventos de ventas, como el Black Friday, cuando la gente espera correos electrónicos de confirmación. Y como el 51% de los correos electrónicos de phishing se hacen pasar por marcas de confianza como Amazon, Apple o PayPal, se mezclan con transacciones reales: ¡cuidado!
Cómo detectar una confirmación de pedido falsa
Algunos correos electrónicos fraudulentos son tan obvios que puedes detectarlos a la legua: inglés incorrecto, fechas erróneas, nombres imprecisos, etc. Pero otros son casi demasiado buenos.
Las «mejores» confirmaciones de pedido falsas parecen lo suficientemente reales como para engañar incluso a los expertos en tecnología. Pero no caer en el truco es más fácil si sabes qué buscar.
Aquí tienes un par de consejos:
- Comprueba la dirección de correo electrónico del remitente.
Una empresa real no te va a enviar una confirmación de pedido desde @gmail.com o algo parecido a AmazonSupport123@yahoo.com. Los estafadores suelen utilizar dominios que casi parecen legítimos, como @amazon-orders.com en lugar de @amazon.com. Compruébalo siempre dos veces.
- Fíjate en el formato y la gramática.
Una confirmación de pedido real es limpia y profesional. Si el correo electrónico tiene:
- Mezcla de fuentes diferentes o espaciado extraño
- Frases incómodas como «Tu compra se ha realizado correctamente por un importe de 399,99 USD«.
- Un formato de fecha que no coincide con tu región (como DD/MM/AAAA en lugar de MM/DD/AAAA)
…probablemente sea falso.
- Pasa el ratón por encima de los enlaces antes de hacer clic.
Los estafadores necesitan que hagas clic sin pensar. Pero antes de hacerlo, pasa el ratón por encima del enlace. Si el correo electrónico dice ser de PayPal, pero el enlace dice paypa1-support.com, mantente alejado. Las empresas legítimas nunca te piden que te conectes a través de un correo electrónico para «verificar» nada.
- Compruébalo dos veces antes de descargar archivos adjuntos.
Las tiendas no envían los detalles del pedido como archivos ZIP, documentos Word o PDF que requieran «Activar contenido». Es una trampa clásica del malware. Si no esperabas un archivo adjunto, no lo abras.
Los estafadores cuentan con que confíes en tu bandeja de entrada. Pero ahora que conoces las señales, no se lo pondrás fácil. Mantente alerta y, en caso de duda, ¡no hagas clic!
Por qué los filtros de spam no detectan todos los correos de pedidos falsos
Como hemos mencionado, los filtros de spam pueden cometer errores. Se basan en la autenticación del correo electrónico, la reputación del remitente y la seguridad de los enlaces para decidir qué es spam. Pero los estafadores tienen formas de burlar estas defensas.
Ahora bien, ¿qué hace que los filtros de spam no sean ideales en estas situaciones?
- Falsos positivos – Una empresa legítima olvida autenticar sus correos electrónicos mediante SPF, DKIM o DMARC y, de repente, sus confirmaciones de pedidos reales aterrizan en el spam. Mientras tanto, un estafador que evita cuidadosamente los activadores de spam consigue pasar.
- Dominios similares – Un mensaje de confirmación real procede de @amazon.com. Uno falso procede de @amazon-orders.com. La diferencia es pequeña, pero suficiente para engañar tanto a los filtros de spam como a las personas que no se fijan bien.
- Correos electrónicos con muchas imágenes – Las confirmaciones de pedidos reales suelen tener logotipos, banners y un texto mínimo. Pero a los filtros de spam no les gustan los correos con muchas imágenes. A veces bloquean los recibos legítimos y permiten los correos electrónicos de phishing que logran el equilibrio adecuado entre texto e imagen.
- Correos electrónicos de phishing generados por IA – Los correos electrónicos de phishing ya no son tan descuidados como antes. Algunos estafadores utilizan la IA para imitar el estilo de escritura de una empresa, lo que hace que sus correos sean más difíciles de detectar.
Los filtros de spam ayudan, pero no son suficientes. Por eso es tan importante comprender lo que ocurre si haces clic en un correo electrónico de pedido falso. Así que hablemos de eso…
¿Qué ocurre si haces clic en un correo electrónico de pedido falso?
Un clic. Eso es todo lo que hace falta para convertir un pequeño error en un gran problema.
Los correos electrónicos de pedidos falsos están hechos para robarte algo. Esto es lo que ocurre cuando caes en uno:
Credenciales de acceso robadas
Hacer clic en un enlace de un correo electrónico de phishing suele llevarte a una página de inicio de sesión falsa que tiene el mismo aspecto que Amazon, PayPal o tu banco. Introduce tu nombre de usuario y contraseña y acabas de facilitar a los estafadores el acceso a tu información confidencial.
Infecciones por malware
Algunos correos electrónicos de phishing van más allá de falsas páginas de inicio de sesión. Los archivos adjuntos etiquetados como «factura» o «detalles del pedido» pueden contener en realidad:
- Registradores de teclado – Graban todo lo que tecleas, incluidas contraseñas e información personal o financiera.
- Ransomware – Bloquea tus archivos y exige dinero para desbloquearlos.
Robo de tarjetas de crédito
Algunos correos electrónicos de pedidos falsos incluyen un botón«Cancelar el pago«. Haz clic en él y aterrizarás en un formulario que te pedirá los datos de tu tarjeta de crédito. En el momento en que los envíes, los estafadores pueden realizar compras fraudulentas o vaciar tu cuenta.
El 80% de las brechas de seguridad implican phishing y el 35% de los ataques de ransomware comienzan con un único correo electrónico malicioso. Si las empresas quieren proteger a sus clientes (y a sí mismas), la seguridad es algo que no pueden permitirse pasar por alto.
¿No estás seguro de si tus correos electrónicos llegan donde deberían? El comprobador de correo electrónico gratuito de InboxAlly te muestra exactamente cómo tratan tus mensajes de correo electrónico los proveedores de bandejas de entrada. Prueba tus correos electrónicos antes de que perjudiquen tu capacidad de entrega.
Por qué deberías utilizar la autenticación 2FA
Con la autenticación de dos factores (2FA) tienes que verificar tu identidad de otra forma después de introducir tu contraseña: mediante una aplicación de autenticación, una huella dactilar o una llave física. Incluso si alguien roba tu contraseña, queda bloqueado.
La mayoría de las plataformas ofrecen 2FA: proveedores de correo electrónico, bancos y redes sociales. Configurarla lleva unos minutos, pero hace que hackear tu cuenta sea mucho más difícil. Google, Microsoft y Apple recomiendan su uso.
La mejor forma de utilizar 2FA es una aplicación de autenticación como Google Authenticator o Authy. Si alguna vez recibes un aviso de 2FA que no has solicitado, alguien tiene tu contraseña. Cámbiala inmediatamente.
La 2FA detiene la mayoría de los hackeos de cuentas antes de que se produzcan. Es una de las formas más sencillas y eficaces de mantener a salvo tus datos confidenciales.
Reflexiones finales
Los correos electrónicos falsos de confirmación de pedido se mezclan con el ruido de las transacciones cotidianas. Los estafadores se aprovechan de la rutina, la urgencia y la confianza, esperando que reacciones antes de pensar. Pero una vez que conoces las señales de advertencia, detectarlas es más fácil.
El phishing no va a desaparecer. No se trata de si recibirás un correo electrónico con un pedido falso, sino de cuándo.
La próxima vez que te llegue uno a la bandeja de entrada, piénsatelo antes de hacer clic. Ese momento de duda puede salvar tu seguridad, tu dinero… ¡y tu cordura!
Y si tienes problemas para enviar a los clientes tus importantísimos correos electrónicos de confirmación de pedido, echa un vistazo a InboxAlly. ¡Nada dice «de confianza» como un correo electrónico de confirmación que llega a tiempo!