El spam es correo no deseado; el scam es un fraude diseñado para robarte dinero o datos. Esa es la diferencia spam scam en una frase, pero la línea se difumina cuando un mensaje molesto esconde una estafa detrás. Entender el correo no deseado vs estafa te ahorra desde perder cinco minutos borrando ofertas de casinos hasta perder el acceso a tu cuenta bancaria. En este artículo separamos ambos conceptos, repasamos los tipos de spam y los tipos de scam más habituales, y te damos señales concretas para clasificar cualquier mensaje sospechoso en segundos. Sin tecnicismos innecesarios. Con ejemplos que probablemente ya tienes en la bandeja de entrada ahora mismo.
Spam vs scam: qué significa cada término
El spam es comunicación masiva no solicitada. Publicidad de una tienda a la que nunca te suscribiste, boletines que se colaron tras comprar en una web, ofertas de productos milagro. Molesto, sí. Ilegal en muchos casos, también. Pero su objetivo suele ser vender, no engañarte para robarte.
El scam es directamente un fraude. Alguien se hace pasar por tu banco, por Correos, por Hacienda o por un familiar en apuros para que hagas algo: pagar, revelar una contraseña o instalar un programa. El emisor sabe que miente. Ese es el matiz que separa el spam vs scam: intención comercial molesta frente a intención criminal deliberada.
La confusión viene de que casi todo el scam llega a través del spam. El correo masivo es el vehículo; la estafa es la carga. Por eso un buen filtro antispam bloquea las dos cosas, aunque técnicamente sean bestias distintas.
| Criterio | Spam | Scam |
|---|---|---|
| Objetivo | Vender o promocionar | Robar dinero, datos o credenciales |
| Legalidad | Infracción administrativa (RGPD, LSSI) | Delito penal (estafa, fraude) |
| Riesgo real | Bajo: tiempo y saturación | Alto: pérdida económica o de identidad |
| Ejemplo típico | Newsletter de una tienda | «Tu paquete está retenido, paga 1,99 €» |
Tipos de spam que llenan tu bandeja
No todo el correo no deseado es igual. Distinguir los tipos de spam ayuda a decidir si basta con darse de baja o conviene denunciar.
- Spam comercial legítimo pero molesto: empresas reales que abusan de tu email. Suelen incluir enlace de baja funcional.
- Spam de contenido adulto o farmacéutico: las clásicas ofertas de pastillas y productos sin control sanitario.
- Spam de listas revendidas: tu dirección circula entre bases de datos compradas. Aquí es donde el correo no deseado vs estafa empieza a mezclarse.
- Spam SEO y de comentarios: el que inunda blogs y formularios con enlaces basura.
- Spam en mensajería: ya no solo email. Los bots y canales falsos son un problema serio, como explicamos en nuestra guía sobre spam en Telegram.
La normativa española es clara: la LSSI-CE (Ley 34/2002) prohíbe el envío de comunicaciones comerciales sin consentimiento previo, y el RGPD refuerza el derecho a oponerte. La Agencia Española de Protección de Datos (AEPD) puede sancionar estas prácticas. Guardar el consentimiento es obligación del emisor, no tuya.
Tipos de scam: el fraude que se disfraza de mensaje normal
Aquí la creatividad de los delincuentes no tiene límite. Estos son los tipos de scam más frecuentes en 2024 y 2025 según los avisos recurrentes del INCIBE y la Oficina de Seguridad del Internauta.
- Phishing bancario: correos que imitan a tu banco pidiendo «verificar» datos. La técnica evoluciona: los ataques de phishing AiTM con proxy inverso llegan a robar la sesión aunque tengas doble factor.
- Smishing: el phishing por SMS. El fraude de Correos y paquetes retenidos es el rey del smishing en España.
- Fraude del CEO: alguien suplanta a un directivo para ordenar una transferencia urgente. Golpea sobre todo a empresas.
- Estafa romántica: perfiles falsos que cultivan una relación durante semanas antes de pedir dinero.
- Pharming: te redirige a una web falsa aunque escribas bien la dirección. Si no distingues esta técnica del phishing clásico, repasa las diferencias entre pharming y phishing.
- Sextorsión: emails que afirman tener vídeos comprometidos y exigen pago en criptomonedas. Casi siempre es un farol basado en una contraseña filtrada.
Un detalle sobre esa contraseña filtrada: muchos scams de sextorsión incluyen una clave tuya real para asustarte. La sacaron de una brecha de datos antigua. Comprueba si tu correo aparece en alguna filtración con Have I Been Pwned; si tu contraseña sale ahí, cámbiala, pero ignora la amenaza.
Cómo identificar cada uno en 30 segundos
La distinción spam vs scam se resuelve con unas pocas preguntas. Aplica esta lista mental a cualquier mensaje sospechoso.
- ¿Pide una acción urgente? El scam mete prisa: «tu cuenta se bloqueará en 24 horas». El spam rara vez te presiona.
- ¿Pide datos, dinero o que instales algo? Si la respuesta es sí, trátalo como scam hasta demostrar lo contrario.
- ¿El remitente y los enlaces cuadran? Pasa el ratón por encima del enlace sin hacer clic. Aprende a leer una dirección sospechosa con nuestra guía de señales en la URL que delatan el phishing.
- ¿Hay errores raros? Faltas gramaticales, saludos genéricos («Estimado cliente») y logos pixelados apuntan a fraude.
- ¿Tiene enlace de baja real? Un spam comercial legal suele incluirlo. Un scam, jamás.
Ante la duda, verifica el contenido de un enlace o adjunto en VirusTotal, que lo analiza contra decenas de motores antivirus. Y nunca uses el teléfono o la web que aparecen en el mensaje: busca el contacto oficial por tu cuenta.
Cómo protegerte de ambos
Filtrar spam y frenar scam requiere capas. Ninguna herramienta lo hace todo sola.
- Filtro antispam con IA: analiza patrones, remitentes y contexto para separar el ruido del fraude antes de que llegue a ti.
- Autenticación en dos pasos: imprescindible. Y para las cuentas críticas, considera una llave de seguridad física tipo YubiKey, que resiste incluso el phishing de proxy inverso.
- Correo con privacidad reforzada: proveedores como los que analizamos en nuestra comparativa de ProtonMail y Tutanota reducen la exposición de tu dirección.
- Menos rastro público: cuanto menos circule tu email, menos spam. Reducir tu huella con una eliminación de datos en data brokers corta el suministro a los spammers.
- Cuidado en el trabajo: los dispositivos personales amplían la superficie de ataque; conviene conocer los riesgos de seguridad del BYOD antes de mezclar correo laboral y personal.
Si gestionas la web o el correo de un negocio y quieres blindar ese frente, tiene sentido apoyarse en especialistas en inteligencia artificial para empresas que integren filtrado inteligente en tus sistemas. Para el usuario doméstico, con hábitos y herramientas gratuitas basta en la mayoría de casos.
Preguntas frecuentes
¿El spam es ilegal en España?
El envío de comunicaciones comerciales sin consentimiento previo infringe la LSSI-CE y el RGPD. La AEPD puede sancionarlo, aunque se considera infracción administrativa y no delito, a diferencia del scam.
¿Qué hago si he picado en un scam?
Cambia de inmediato las contraseñas afectadas y avisa a tu banco si diste datos financieros. Denuncia ante la Policía Nacional o la Guardia Civil y reporta el caso al INCIBE a través de su línea de ayuda gratuita.
¿Marcar como spam sirve de algo?
Sí. Cada vez que marcas un mensaje, entrenas el filtro de tu proveedor y del sistema antispam. Es más efectivo que borrarlo sin más, porque mejora la detección de mensajes futuros parecidos.
¿Cómo sé si mi correo está en una filtración de datos?
Introduce tu dirección en Have I Been Pwned. El servicio, mantenido por el investigador Troy Hunt, te dice en qué brechas conocidas apareció tu email para que cambies las contraseñas comprometidas.
¿Un mensaje puede ser spam y scam a la vez?
Constantemente. La mayoría de estafas se distribuyen como correo masivo no solicitado. El envío es spam por su forma; el contenido es scam por su intención fraudulenta. Un buen filtro detiene ambos niveles.
El siguiente paso
Abre tu bandeja de entrada, coge el primer correo dudoso que veas y aplícale las cinco preguntas del test de 30 segundos. Si pide urgencia, datos o dinero, no respondas: márcalo como spam y bloquéalo. Ese gesto de hoy es la diferencia entre una bandeja limpia y una cuenta comprometida mañana.


