Archivos adjuntos sospechosos en el correo: seis tipos de archivo a los que prestar atención en 2026

No todo adjunto es peligroso, pero tampoco son todos seguros. Estos seis tipos de archivo merecen atención especial, y te contamos qué hacer si sin querer ya has hecho clic.

Te llega un correo de un proveedor. O un mensaje a través del formulario de contacto. O una solicitud de empleo. Y lleva un archivo adjunto. La mayoría de las veces no hay problema, pero a veces sí lo hay. ¿Cómo saber qué adjuntos conviene ignorar, sin necesidad de ser un experto en IT?

En este artículo repasamos los tipos de archivo más utilizados en 2026 para ataques de phishing y malware dirigidos a pymes. Además: qué hacer si sin querer ya has hecho clic.

Por qué los archivos adjuntos siguen siendo tan populares entre los ciberdelincuentes

Los filtros de correo han mejorado mucho en los últimos años. Los enlaces sospechosos suelen bloquearse de forma automática. Pero ¿un adjunto? A veces pasa sin problemas, sobre todo si el remitente parece legítimo. Y si además el adjunto tiene pinta de factura, albarán o currículum, alguien hará clic antes de lo que imaginas.

Lo peligroso es que un solo clic puede ser suficiente. No para tumbar toda la red —eso es un mito—, pero sí para instalar algo que no se detecta hasta días después.

Los seis tipos de archivo que debes mirar con más cuidado

1. .zip, .rar y .7z (carpetas comprimidas)

Un ZIP en sí no es peligroso, pero es el método favorito para colar contenido malicioso a través de un filtro de correo, porque lo que hay dentro queda oculto. ¿Te llega un ZIP de alguien de quien no te lo esperabas? No lo abras; confirma con el remitente por otro canal (teléfono, WhatsApp) si realmente lo envió.

2. .iso, .img y .vhd (imágenes de disco)

Antes solo los usaban técnicos de IT para emular discos de instalación. Hoy se utilizan para saltarse la seguridad de Windows: un ISO se abre como si fuera una unidad independiente y los archivos que contiene no generan ninguna advertencia. Ningún proveedor te va a enviar una factura como ISO. Punto.

3. .html y .htm (páginas web como adjunto)

Un archivo HTML se abre en el navegador y puede parecer la página de inicio de sesión de Microsoft o una pantalla de DocuSign. Pero se ejecuta en local, por lo que la barra de direcciones no mostrará "microsoft.com". Es uno de los trucos de phishing de más rápido crecimiento en este momento. ¿Te llega un adjunto HTML? Ciérralo sin abrirlo.

4. .xlsm, .docm y .pptm (archivos de Office con macros)

La "m" al final indica macros: pequeños programas que se ejecutan al abrir el archivo. Microsoft ha bloqueado por defecto las macros en archivos procedentes de internet, pero siguen existiendo formas de saltarse ese bloqueo, por ejemplo metiendo el archivo en un ZIP (véase el punto 1). ¿No esperabas un archivo con macros? No lo abras.

5. .lnk (accesos directos)

Un acceso directo parece inofensivo, pero puede ejecutar en segundo plano un comando que descarga malware. Los archivos LNK no tienen ningún lugar en un correo electrónico. Nunca.

6. .pdf — sí, también este

Un PDF suele ser seguro de ver, pero se usa a menudo como gancho: dentro del PDF hay un botón "Ver documento" que lleva a un sitio de phishing. El adjunto en sí es técnicamente inofensivo, pero el enlace que contiene no lo es. Sé especialmente crítico con los PDF que incluyan botones de inicio de sesión o códigos QR.

Las cuatro preguntas que debes hacerte antes de abrir

1. ¿Lo esperaba? Una factura inesperada de un desconocido es sospechosa. Una oferta esperada de tu proveedor habitual, mucho menos.
2. ¿El remitente es realmente quien dice ser? No solo el nombre, también la dirección de correo. "Juan García <juan@empresa-conocida.es>" es diferente de "Juan García <juan@empresa-con0cida.es>".
3. ¿El tono encaja con el remitente? ¿Tu asesor fiscal de repente escribe con faltas de ortografía y una urgencia inusual? Llámale.
4. ¿Hay presión o urgencia? "Pago antes de hoy", "si no, bloqueo", "confidencial - no reenviar": son señales de alerta.

¿Qué hacer si ya has hecho clic?

Pasa. No hay que avergonzarse, pero sí hay que actuar, y rápido:

• Desconecta el cable de red o apaga el wifi del equipo desde el que hiciste clic. Mejor unas horas sin conexión que dejar que algo se propague.
• Informa de inmediato a quien se encargue del IT en tu empresa, aunque sea un proveedor externo. No mañana, ahora.
• Cambia tus contraseñas, empezando por el correo electrónico y el programa de contabilidad. Hazlo desde otro dispositivo.
• Comprueba que el 2FA sigue activo en tus cuentas principales. Los atacantes intentan desactivarlo en cuanto consiguen acceso.
• Vigila tu cuenta bancaria durante los próximos días y avisa a tus compañeros de que podrían recibir correos extraños en tu nombre.

Qué puedes hacer de forma estructural

La concienciación está muy bien, pero enviar un correo una vez al año no es suficiente. Lo que realmente ayuda en una pyme:

• Configura el filtro de correo de forma más estricta para adjuntos como .iso, .lnk y .html: en el 99 % de los casos no los necesitarás.
• Asegúrate de que Microsoft 365 o Google Workspace analice los adjuntos antes de la entrega (Safe Attachments / Advanced Protection).
• Establece la norma de que cualquier cambio de IBAN se confirme por teléfono, por muy convincente que parezca el correo.
• Mantén bien configurados SPF, DKIM y DMARC para que los delincuentes no puedan enviar correos suplantando tu dominio.

¿No estás seguro de si la seguridad de tu correo está a punto? Realizamos una revisión de seguridad del correo (SPF/DKIM/DMARC) en la que identificamos exactamente dónde están los puntos débiles, sin que tengas que tocar ningún registro DNS. Empieza por ahí y filtramos la mayor parte del correo malicioso antes de que llegue a tus empleados.