JunkMail
Volver al blog
Creé un email trampa y se lo di a 50 sitios: Aquí está la carnicería en 24h

Creé un email trampa y se lo di a 50 sitios: Aquí está la carnicería en 24h

Un experimento real sobre la velocidad de propagación del spam. Spoiler: tu dirección de email viaja más rápido que tú.

Por Equipo de Investigación3/1/2026

Es una pregunta que todos nos hacemos, a menudo mientras eliminamos con rabia un enésimo boletín sobre paneles solares cuando vivimos en un sótano: "¿Pero cómo demonios consiguieron mi dirección?"

Culpamos al destino. Culpamos a ese viejo concurso de Facebook de 2014. Pero rara vez nos damos cuenta de la velocidad pasmosa a la que circulan nuestros datos hoy en día.

Para salir de dudas, decidí hacer un experimento. Un poco masoquista, lo admito.

Creé una dirección de correo virgen en JunkMail: honeypot-experiment-01@junkmail.site. Y durante una mañana, la arrojé a los rincones más voraces de la web.

Aquí está la crónica de esas 24 horas en el infierno.

El Protocolo: Cómo arruiné este buzón

Para que esta prueba fuera científica (y divertida), tenía que variar las fuentes. No me limité a registrarme en sitios sospechosos. Apunté a cuatro categorías de "sospechosos" muy comunes:

  1. Los "Freebies" (15 sitios): Esos libros electrónicos sobre "Cómo hacerse rico con dropshipping" y esos informes de marketing que te piden tu email para descargar un PDF de 3 páginas.
  2. Los Comparadores (10 sitios): Seguros, créditos, viajes. Esos formularios interminables que prometen el "mejor precio".
  3. Los Concursos (15 sitios): Gana un iPhone 15, un viaje a las Maldivas o un año de comida para gatos.
  4. El E-commerce "Discount" (10 sitios): Esas tiendas que venden cables USB a 0,50€ y te ofrecen un 10% de descuento por unirte a su boletín.

Total: 50 registros. Hora de inicio: 09:00 AM. Estado inicial: 0 correos. La calma antes de la tormenta.

10:30 AM: La luna de miel (La calma engañosa)

1 hora y media después de mis registros, el balance es... decepcionante. ¿O tranquilizador?

Solo he recibido 48 correos. Espera, ¿48? ¿Para 50 registros? Sí. Dos sitios ni siquiera se molestaron en enviar la confirmación prometida.

En esta etapa, todo es "legítimo". Son correos de bienvenida: "Gracias por registrarte", "Aquí está tu ebook", "Confirma tu dirección". Es limpio. Es educado. Los filtros anti-spam de Gmail habrían dejado pasar todo esto con una sonrisa.

Aquí es donde se cierra la trampa. Al hacer clic en "Confirmar", acabo de validar ante estos 48 robots que:

  1. Esta dirección existe.
  2. Hay un humano detrás haciendo clic.
  3. Este humano es "receptivo" (léase: ingenuo).

Mi valor de mercado se acaba de multiplicar por diez.

14:00 PM: Las primeras grietas

Vuelvo de comer. Actualizo mi buzón de JunkMail. Contador: 62 correos. (+14)

Aquí es donde se pone interesante. No he hecho nada desde esta mañana. No me he registrado en ningún otro lugar. Sin embargo, tengo 14 mensajes nuevos.

¿Quiénes son?

  • Una oferta para "Renegociar mi seguro de préstamo" (no tengo préstamo).
  • Una "Oportunidad única" en Bitcoin.
  • Y curiosamente, un boletín sobre jardinería.

Analizando los encabezados técnicos de estos correos (el código fuente invisible), noto algo fascinante. El correo de jardinería proviene de la misma dirección IP de envío que uno de los sitios de "Freebies" de marketing de esta mañana.

Conclusión: Comparten sus bases de datos. O peor aún, pertenecen a la misma nebulosa de sitios creados únicamente para recolectar datos. Le di mi email al Sitio A, y el Sitio B ya me está escribiendo.

Tiempo de propagación: menos de 4 horas.

19:00 PM: Comienza la inundación

La jornada laboral termina. No para los spammers. Contador: 115 correos. (+53)

La presa se ha roto. Ya no es un goteo, es un grifo abierto.

Lo que llama la atención es el cambio de tono. Hemos pasado del "Bienvenido" educado de la mañana a la agresión comercial pura y dura.

  • "¡¡¡ÚLTIMA OPORTUNIDAD!!!" (en rojo y mayúsculas)
  • "Tu paquete está esperando" (clásica estafa de phishing)
  • "Leandre, olvidaste esto..." (No, no me llamo Leandre en esta dirección, pero están intentando adivinar).

También he recibido mis primeros spams en idiomas extranjeros. Italiano, ruso. Mi dirección ha viajado. Probablemente fue listada en un archivo de intercambio o vendida en tiempo real en un mercado programático (RTB).

En 10 horas, mi dirección se ha vuelto internacional.

Al día siguiente, 09:00 AM: El balance de las 24 horas

Me despierto, tomo mi café y abro JunkMail con cierta aprensión.

Contador final: 342 correos.

Déjenme repetir eso. Di mi dirección a 50 sitios (casi) legítimos. En 24 horas, recibí 342 solicitudes.

Es una proporción de x7. Por cada registro voluntario, recibí 7 correos no solicitados en un solo día. Imagina eso en una semana. En un mes. En un año.

La autopsia del cadáver

Si hubiera usado mi dirección real pro o personal para este experimento:

  1. Mi teléfono habría vibrado 342 veces.
  2. Habría perdido unos 45 minutos clasificando, eliminando e intentando darme de baja (sin éxito, ya que el enlace de baja suele ser un señuelo que confirma que lees).
  3. Mi dirección estaría ahora "quemada". Marcada como "activa y receptiva" en cientos de bases de datos. Estaría condenado a recibir este ruido de fondo digital para siempre.

La moraleja de la historia

Este experimento prueba una cosa aterradora: la reversibilidad no existe en Internet.

Una vez que haces clic en "Enviar", pierdes el control. Tu dato ya no te pertenece. Es copiado, fragmentado, vendido, revendido y almacenado en servidores que ni siquiera sabes que existen.

La única forma de ganar este juego es no jugar con tus fichas reales.

Eliminé la dirección honeypot-experiment-01@junkmail.site con un clic. Los 342 correos desaparecieron. Las futuras insistencias rebotarán contra un muro. Los spammers desperdiciarán sus recursos escribiendo a un fantasma.

¿Y yo? Puedo volver a mi buzón real. Está limpio, silencioso y seguro.

Porque para todo lo demás, tengo JunkMail.

Haz el experimento tú mismo (sin riesgos). Crea una dirección desechable ahora y mira quién intenta spamearte.