Todos los días, cientos de correos fraudulentos llegan a las bandejas de entrada de empresas en México. Algunos pretenden ser el SAT. Otros, CFE. Otros más, proveedores o clientes reales. Su objetivo siempre es el mismo: que hagas clic en algo, descargues un archivo o entregues información sin darte cuenta.
Esta guía te enseña a detectarlos. No necesitas saber de tecnología. Solo necesitas saber dónde mirar.
Primero lo primero: ¿qué es un correo malicioso?
Un correo malicioso — también llamado phishing — es un mensaje diseñado para engañarte. El remitente finge ser alguien de confianza: una institución de gobierno, tu banco, un proveedor, o incluso un compañero de trabajo.
Su trampa está en hacerte actuar rápido, sin pensar: “Tu cuenta será suspendida”, “Tienes una factura pendiente”, “Debes actualizar tus datos hoy”.
La buena noticia: casi siempre dejan pistas visibles. Solo hay que saber leerlas.
La pista más importante: el dominio del remitente
Imagina que recibes una carta firmada por el presidente de México, pero la dirección del sobre dice que viene de un departamento en Italia. Algo no cuadra.
Con el correo electrónico pasa exactamente lo mismo. El nombre que ves puede decir cualquier cosa. Lo que importa es la dirección de correo — y dentro de ella, el dominio.
¿Qué es un dominio?
Un dominio es la parte que va después del símbolo @ en una dirección de correo.
Por ejemplo, en la dirección obligaciones.fiscales@sat.gob.mx, el dominio es sat.gob.mx.
Un dominio tiene dos partes que debes leer de derecha a izquierda:
sat.gob.mx
↑ ↑ ↑
│ │ └── Extensión del país (.mx = México)
│ └────── Tipo de organización (.gob = gobierno)
└─────────── Nombre de la institución (sat)Si el correo dice venir del SAT, el dominio debe ser sat.gob.mx. Si es cualquier otra cosa, es fraude.
Ejemplos reales que llegan a empresas mexicanas
Estos son correos fraudulentos reales, recibidos el 29 de abril de 2026:
Correo 1 — Finge ser el SAT
De: Obligaciones Fiscales
<promo2023@integracionprofesional.com.mx>
Asunto: Buzón Tributario 2026
El nombre dice “Obligaciones Fiscales”. Pero el dominio es integracionprofesional.com.mx. El SAT siempre escribe desde sat.gob.mx. Este correo no tiene nada que ver con el gobierno.
Correo 2 — Finge ser CFE
De: CFE Contigo
<CFEContigoApp@cfe.com>
Asunto: Aviso de Factura
Aquí el dominio dice cfe.com. Suena parecido, ¿verdad? Pero el dominio real de la CFE es cfe.mx. Además, este correo fue enviado desde un servidor llamado vps39.osudservicios.com — que es un servidor de alquiler sin relación con CFE.
Correo 3 — Finge ser una factura CFDI
De: CDFI Factura
<grupo@mx19.meupagodefacturas2.top>
Asunto: Ha Recebido um CDFI (Factura)
Varias señales de alerta aquí: el dominio es meupagodefacturas2.top (inventado), el asunto está escrito en portugués (“Recebido” no es español), y usa una extensión .top — una señal clásica de dominios desechables creados para fraude.
Correo 4 — Finge ser tu propio dominio
De: eldiez.com.mx
<demografici@comune.cetara.sa.it>
Asunto: Aviso de actualización por correo electrónico
El nombre del remitente dice ser tu propia empresa. Pero el dominio es comune.cetara.sa.it — la página oficial de un municipio en Italia. ¿Por qué un municipio italiano te enviaría un aviso de actualización? No tiene ningún sentido.
La trampa del subdominio
Aquí es donde muchos usuarios se confunden, porque la dirección parece legítima a primera vista.
¿Qué es un subdominio?
Un subdominio es una extensión que se agrega antes del dominio. Por ejemplo:
factura19.meupagodefacturas2.top
↑ ↑
│ └── Dominio real (el que manda)
└─────────────── Subdominio (puede decir lo que sea)El truco de los estafadores es crear un subdominio que suene oficial, pero el dominio real sigue siendo el suyo.
Ejemplo real de este ataque
Remitente:
grupo@mx19.meupagodefacturas2.top
Aquí mx19 es el subdominio. Suena técnico, como si fuera un servidor oficial de México. Pero el dominio real es meupagodefacturas2.top — completamente inventado.
Otro ejemplo que se usa mucho en fraudes:
sat.tramites.pagos-urgentes.com
↑ ↑ ↑
│ │ └── Dominio real (pagos-urgentes.com — inventado)
│ └──────────── Subdominio (tramites — suena oficial)
└──────────────────── Sub-subdominio (sat — para confundirte)Regla de oro: lee el dominio de derecha a izquierda. Lo que importa es la parte justo antes de la extensión (.com, .mx, .gob.mx, etc.). Todo lo que esté antes son subdominios que el atacante puede inventar libremente.
Otras señales de alerta
Además del dominio, hay más pistas que revelan un correo fraudulento:
1. El nombre del remitente no coincide con el dominio
El campo “De:” puede mostrar cualquier nombre que el atacante quiera poner. Lo importante es hacer clic para ver la dirección completa.
| Lo que ves | Lo que hay que revisar |
|---|---|
CFE Contigo | ¿El dominio es realmente cfe.mx? |
SAT Obligaciones | ¿El dominio es realmente sat.gob.mx? |
Tu empresa | ¿El dominio es realmente el tuyo? |
2. El correo tiene urgencia exagerada
“Tu cuenta será cancelada hoy”, “Tienes 24 horas”, “Acción requerida inmediatamente”. Este tipo de presión está diseñada para que actúes sin pensar.
Las instituciones reales rara vez exigen respuesta inmediata por correo.
3. El idioma no es el correcto
Si el correo supuestamente viene de una empresa mexicana pero está en portugués, inglés o con errores de redacción evidentes, es una señal clara. El correo del fraude CFDI que mostramos arriba usaba “Ha Recebido” — que es portugués, no español.
4. El Reply-To apunta a otro dominio
A veces el correo llega desde un dominio, pero si intentas responder, la respuesta va a otro lugar diferente. Esto se llama “Reply-To” manipulado.
Ejemplo real:
Recibido desde:
actualizacionmx.com
Responder a:promo2023@integracionprofesional.com.mx
Si respondes, tu mensaje no llega al remitente original — llega al atacante.
5. El dominio usa una extensión inusual
Las extensiones confiables en México son .com, .com.mx, .mx, .gob.mx, .org.mx. Extensiones como .top, .xyz, .click, .info, .online son baratas y frecuentemente usadas en fraudes porque cualquiera puede registrarlas en minutos por unos cuantos pesos.
Cómo ver la dirección completa del remitente
En la mayoría de los clientes de correo, el nombre del remitente se muestra por defecto. Para ver la dirección completa:
En Gmail: Haz clic en el nombre del remitente. Aparecerá una ventana con la dirección completa.
En Outlook: Coloca el cursor sobre el nombre del remitente o haz clic derecho para ver las propiedades del mensaje.
En correo web en general: Busca el símbolo ▼ o > junto al nombre del remitente. Al hacer clic, verás la dirección real.
¿Y si el dominio se ve legítimo?
Algunos atacantes invierten en registrar dominios que parecen reales. Por ejemplo:
sat-mexico.com— no es el SAT (el SAT essat.gob.mx)cfe-contigo.mx— no es CFEservicios-sat.com.mx— no es el SAT
Ante la duda, no uses los enlaces ni los datos de contacto del correo. Ve directamente al sitio oficial escribiendo la dirección en tu navegador.
Los sitios oficiales del gobierno mexicano siempre terminan en .gob.mx.
Resumen: la lista de verificación
Antes de hacer clic en cualquier enlace o descargar cualquier archivo de un correo, revisa esto:
- ¿El dominio del remitente coincide con la institución que dice ser?
- ¿Lees el dominio de derecha a izquierda y tiene sentido?
- ¿El subdominio no está intentando imitar un nombre oficial?
- ¿El idioma y la redacción son correctos?
- ¿El correo no tiene urgencia exagerada o amenazas?
- ¿El Reply-To apunta al mismo dominio que el From?
- ¿La extensión del dominio es confiable (.com, .mx, .gob.mx)?
Si alguna de estas preguntas tiene respuesta dudosa, no interactúes con el correo. Repórtalo a tu área de sistemas o simplemente elimínalo.
Una última cosa
Ningún banco, institución de gobierno, proveedor de luz o empresa legítima te va a pedir que confirmes contraseñas, que descargues un archivo urgente o que hagas un pago desde un correo sin verificación previa.
Cuando tengas duda, la regla más segura es: no hagas nada. Llama directamente a la institución usando un número que ya conoces — no el que aparece en el correo sospechoso.
La seguridad digital no es complicada. Es, sobre todo, saber hacer una pausa antes de actuar.