Cómo detectar un correo phishing: análisis de un caso real y protección de cuentas
Descripción corta: Analizamos un correo phishing real con un dominio sospechoso onmicrosoft.com, errores SPF fail y un archivo PDF adjunto. Aprende a identificar amenazas rápidamente y proteger tus cuentas.
Los correos phishing modernos son cada vez más realistas. Muchos usuarios reciben un mensaje aparentemente “oficial”, abren el PDF o hacen clic en un enlace y, en pocos minutos, pierden acceso a su correo, cuentas bancarias o servicios de trabajo.
En este ejemplo real, los atacantes enviaron un mensaje desde replyorderpay28372284@oleksii392.onmicrosoft.com. El correo incluía un archivo PDF y errores de validación SPF. Precisamente estos detalles suelen revelar el fraude.
Cuándo es importante revisar esto
- Recibiste un correo extraño con un archivo adjunto
- El remitente utiliza un dominio sospechoso
- El mensaje exige abrir un archivo urgentemente
- Sospechas de un intento de robo de contraseña
- Necesitas comprobar si el correo es falso o legítimo
La forma más rápida de comprobarlo (1 minuto)
- Verifica la dirección completa del remitente
- Pasa el cursor sobre los enlaces sin abrirlos
- No abras archivos PDF o ZIP de remitentes desconocidos
- Revisa SPF/DKIM/DMARC si sabes analizar encabezados
- Si aparece SPF fail o un dominio extraño, elimina el correo
Qué reveló el correo phishing
En el ejemplo se utilizó esta dirección:
replyorderpay28372284@oleksii392.onmicrosoft.com
La dirección ya parece sospechosa:
- números aleatorios;
- nombre de dominio desconocido;
- uso de onmicrosoft.com;
- sin relación con una empresa real.
Además, en los encabezados aparecía este error:
Received-SPF: fail
Esto significa que el servidor no superó la validación SPF. Muy frecuentemente, SPF fail indica un remitente falsificado o un correo fraudulento. :contentReference[oaicite:0]{index=0}
Por qué los archivos PDF son peligrosos
El correo contenía el archivo:
Disney-MLY7KJ922HS.pdf :contentReference[oaicite:1]{index=1}
Actualmente los atacantes utilizan archivos PDF para:
- facturas falsas;
- notificaciones de entrega falsas;
- documentos falsificados de Microsoft o Google;
- ocultar enlaces maliciosos;
- redirigir a páginas phishing.
Muchos usuarios creen que un PDF siempre es seguro, pero dentro del documento pueden existir:
- botones con enlaces maliciosos;
- scripts JavaScript;
- formularios falsos de inicio de sesión;
- descargas de malware.
Principales señales de un correo phishing
La mayoría de los correos phishing tienen patrones muy similares.
Método 1 — comprobar la dirección del remitente
- Abre la información completa del correo
- Revisa el dominio después del símbolo @
- Confirma que pertenece a una empresa real
- Busca números aleatorios o palabras extrañas
- Si el dominio parece sospechoso, no abras el mensaje
Ejemplos:
- support-google-security.com — dominio falso
- paypal-confirm2026.net — phishing
- oleksii392.onmicrosoft.com — dominio técnico sospechoso
Método 2 — analizar SPF, DKIM y DMARC
- Abre los encabezados del correo
- Busca SPF, DKIM y DMARC
- Comprueba si aparece fail, none o neutral
- Si SPF muestra fail, considera el mensaje peligroso
En el ejemplo real aparecía:
Received-SPF: fail :contentReference[oaicite:2]{index=2}
También se utilizó un dominio DKIM poco habitual:
oleksii392-onmicrosoft-com.20251104.gappssmtp.com :contentReference[oaicite:3]{index=3}
Para un usuario común puede parecer normal, pero para un administrador es una señal clara de alerta.
Método 3 — comprobar archivos adjuntos de forma segura
- No abras el PDF directamente
- Primero súbelo a VirusTotal
- Comprueba la firma digital
- Abre el archivo solo en un entorno aislado
- Nunca introduzcas contraseñas después de abrir el archivo
Truco poco conocido: si el correo dice venir de Microsoft, un banco o una empresa de envíos, evita abrir el archivo adjunto. Es mejor entrar manualmente al sitio oficial.
Qué se recomienda bloquear
Si el correo llegó a varios usuarios o a una red corporativa, se recomienda:
- bloquear el dominio onmicrosoft.com del remitente;
- bloquear la dirección de correo específica;
- agregar la IP a filtros antispam;
- bloquear PDF sospechosos;
- comprobar quién más recibió el mensaje.
En este caso, los elementos sospechosos son:
- replyorderpay28372284@oleksii392.onmicrosoft.com
- oleksii392.onmicrosoft.com
Consejos útiles
- Activa la autenticación de dos factores
- Utiliza contraseñas diferentes para cada servicio
- No abras archivos adjuntos de desconocidos
- Configura SPF, DKIM y DMARC en tu dominio
- Utiliza filtros antispam modernos
Errores más comunes
El error más frecuente es confiar en la apariencia visual del correo. Aunque parezca un mensaje de Google, Microsoft o un banco, no significa que sea auténtico.
Muchos usuarios también:
- revisan solo el nombre del remitente;
- ignoran la dirección real;
- abren PDFs sin analizarlos;
- ignoran SPF fail;
- introducen contraseñas después de hacer clic en enlaces.
Preguntas frecuentes
¿Abrir un correo puede infectar el ordenador?
Normalmente no. Pero abrir archivos adjuntos o enlaces sí puede ser peligroso.
¿Por qué utilizan onmicrosoft.com?
Porque Microsoft 365 permite crear dominios técnicos rápidamente y parecen más confiables.
¿Los PDF pueden ser peligrosos?
Sí. Los PDF pueden contener enlaces maliciosos, scripts y elementos phishing.
¿Qué hago si ya introduje mi contraseña?
Cambia la contraseña inmediatamente, cierra todas las sesiones activas y activa la autenticación de dos factores.
Conclusión
La mejor protección contra el phishing es revisar cuidadosamente la dirección del remitente, SPF/DKIM y ser muy prudente con los archivos adjuntos. En este caso, el dominio sospechoso, el SPF fail y el extraño PDF revelaron rápidamente el ataque. Unos segundos de verificación pueden evitar la pérdida de cuentas y datos.
Leer también
Marcadores
Si este artículo fue útil, añade nuestro blog sobre
seguridad en Internet y protección de Windows
a tus favoritos.
