Skip to content
Email Tools

guide · Gmail Spam & Phishing

Cómo reportar spam en Gmail — guía 2026

Reporta spam en Gmail correctamente — botón, atajo !, gestos en móvil, qué hace Google después, Spam vs Phishing vs Bloquear vs Darse de baja, e INCIBE y OSI para escalar phishing en España.

Alexis Dollé Por Alexis Dollé · ·
Cómo reportar spam en Gmail — guía 2026

El Suspicious Email Reporting Service del Reino Unido (NCSC SERS) superó los 54,5 millones de reportes en abril de 2026, lo que llevó a 248.000 retiradas de sitios fraudulentos repartidos en 440.000 URLs — cada uno de esos reportes empezó con un usuario haciendo clic en “reportar” en vez de “eliminar”. Reportar spam es la palanca menos usada del buzón: dos segundos de esfuerzo, reduce activamente el alcance del remitente para todo el mundo, y en Gmail web una sola tecla (!) hace todo el trabajo. Esta guía cubre los gestos exactos en web y móvil, la diferencia entre Reportar spam, Reportar phishing, Bloquear y Darse de baja, lo que ocurre realmente dentro del pipeline de Google tras tu clic, y dónde escalar phishing real en España — INCIBE 017, OSI, Policía Nacional — cuando Gmail por sí solo no basta.

TL;DR — Reporta spam con una tecla

En Gmail web con los atajos de teclado activados, pulsa ! (Mayús+1) con el mensaje abierto o seleccionado para reportarlo como spam al instante. Con el ratón, haz clic en el icono octagonal de stop “Reportar spam” en la barra de herramientas del mensaje. En móvil, abre el mensaje → menú de tres puntos → Reportar spam. Para correo que suplanta una marca o pide credenciales, usa Reportar phishing — menú de tres puntos → Reportar phishing — para enviar una señal más fuerte al equipo antifraude de Google.

Si solo te quedas con una cosa de este artículo, quédate con la tecla: !. Es la acción de moderación más rápida de Gmail, más rápida que archivar, y hace más por la comunidad que el simple bloqueo. Activa los atajos en Configuración → General → Atajos de teclado → Activados si aún no lo has hecho.

Spam vs Phishing vs Bloquear vs Baja — tabla de decisión

Cuatro acciones que se solapan, cuatro resultados distintos. Reportar spam entrena al clasificador de Gmail. Reportar phishing escala al equipo antifraude de Google y a Safe Browsing. Bloquear solo filtra esa dirección en tu cuenta. Darse de baja sí te saca de la lista del remitente. La elección depende de si el correo es malicioso, no deseado o de un opt-in legítimo.

AcciónQué haceQué NO haceCuándo usarla
Reportar spamMueve el mensaje a Spam, envía señal al clasificador global de Google, ajusta tu filtro de usuario para correo similarNo te da de baja, no bloquea al remitente si cambia de dominioCorreo masivo no solicitado, promos repetitivas, newsletters de mala calidad
Reportar phishingIgual que Reportar spam más escalado al equipo antifraude de Google y Safe Browsing — puede provocar la retirada de URLsNo persigue penalmente al remitente (proceso aparte)Suplantación de marca, petición de credenciales, enlace a login falso, malware en adjunto
Bloquear remitenteEl correo futuro de esa dirección concreta va directo a Spam en tu cuentaNo afecta a nadie más, no impide nuevas direcciones del mismo actor, no da de bajaRemitentes individuales persistentes que ignoran la baja, acosadores, estafadores de dirección única
Darse de baja (enlace inline)Activa la baja RFC 8058 en un clic; el remitente debe retirarte en dos días hábiles según las reglas bulk-sender de GoogleNo marca al remitente ante Google, no ayuda a nadie másMarketing legítimo de remitentes a los que te suscribiste alguna vez y quieres dejar

Regla práctica que uso: si el correo intenta engañarme, Reportar phishing. Si es no deseado pero de apariencia legítima, miro si reconozco al remitente — conocido → Darse de baja, desconocido → Reportar spam. Bloquear queda para el caso raro de un humano concreto que no para.

Si el mensaje es marketing legítimo que ya no quieres, darse de baja es lo correcto — pero hacerlo newsletter a newsletter consume horas. Prueba Leave Me Alone gratis

Para la estrategia completa de reducción del volumen global de spam — filtros, compartimentación de direcciones, pila de baja — consulta la guía amplia anti-spam. Este artículo trata específicamente la acción de reportar.

Reportar spam en Gmail web (botón + atajo !)

En Gmail web hay tres caminos: el botón de la barra de herramientas (icono octagonal rojo con etiqueta “Reportar spam”), el menú de tres puntos dentro del mensaje, o el atajo de teclado !. Cualquiera de los tres mueve el mensaje a Spam y envía señal al clasificador de Google.

Método 1 — El botón de la barra de herramientas

  1. Abre el spam en Gmail web en mail.google.com.
  2. En la barra de herramientas en la parte superior del mensaje, localiza el icono octagonal rojo de stop con un signo de exclamación dentro. Pasa el ratón para confirmar el tooltip “Reportar spam”.
  3. Haz clic. El mensaje pasa a Spam, vuelves a la bandeja, y un banner amarillo dice “Conversación reportada como spam” con un enlace Deshacer activo unos segundos.

Método 2 — El menú de tres puntos

Útil cuando quieres elegir entre Reportar spam y Reportar phishing.

  1. Abre el mensaje.
  2. Haz clic en el menú de tres puntos “Más” arriba a la derecha del encabezado del mensaje (junto a Responder).
  3. Elige Reportar spam o Reportar phishing según la intención.

Método 3 — El atajo de teclado !

La vía más rápida. Requiere los atajos activados en Configuración → General → Atajos de teclado → Activados.

  1. Con el mensaje abierto O seleccionado en la lista, pulsa ! (Mayús+1).
  2. Reporte y traslado a Spam en una tecla.

También puedes seleccionar varios mensajes con x (alternar selección) y luego pulsar ! para reportar el lote a la vez.

Reportar desde la carpeta Spam

Si Gmail ya marcó el mensaje y quieres reforzar la señal — o reportar un phishing que aterrizó en Spam (Reportar phishing es señal más fuerte que el autoclasificador) — abre Spam, abre el mensaje, menú de tres puntos → Reportar phishing.

Reportar spam en Gmail móvil (iOS + Android)

En Gmail iOS y Android el camino es idéntico: abre el mensaje, toca el menú de tres puntos arriba a la derecha del encabezado, elige Reportar spam o Reportar phishing. Una pulsación larga en la lista selecciona varios mensajes para reportar en lote.

iOS (app Gmail)

  1. Abre la app Gmail y toca el mensaje para abrirlo.
  2. Toca el menú de tres puntos (⋮) arriba a la derecha del encabezado del mensaje — no la barra superior de la app.
  3. Desplaza la hoja de acciones y toca Reportar spam o Reportar phishing.
  4. Confirma en el popup. El mensaje pasa a Spam.

Para reportar en lote: desde la bandeja, pulsación larga sobre un mensaje para entrar en modo selección, toca los demás, luego menú de tres puntos en la barra superior → Reportar spam.

Android (app Gmail)

  1. Abre la app Gmail y toca el mensaje.
  2. Toca el menú de tres puntos a la derecha del nombre del remitente.
  3. Toca Reportar spam o Reportar phishing.
  4. Confirma.

La pulsación larga para selección múltiple funciona igual que en iOS.

Por qué el móvil se siente más lento

La interfaz móvil esconde Reportar phishing un toque más profundo que Reportar spam en algunas versiones de Android — Google ha reordenado el menú al menos dos veces en dos años. Si no ves Reportar phishing al instante, desplaza la hoja; en pantallas pequeñas suele caer bajo el corte visible.

Qué pasa tras pulsar Reportar spam

Tres cosas en paralelo. El mensaje pasa a tu carpeta Spam y se autoelimina a los 30 días. Google recibe una copia que alimenta su clasificador global anti-spam — tu señal se suma a miles de millones más para puntuar los futuros envíos del remitente. Y tu modelo de usuario se ajusta a la dirección, dominio y patrones de contenido, así que los mensajes similares tienen más probabilidad de ser marcados al llegar.

Según la página de ayuda Gmail sobre reportar spam, Google declara explícitamente: “Cuanto más spam denuncies, mejor identificará Gmail correos similares como spam.” Esa formulación importa — confirma el bucle de refuerzo individual, no solo el global.

Las consecuencias del lado del remitente son menos visibles pero reales. Las IPs de envío y los dominios autenticados (los que firman con SPF, DKIM, DMARC) acumulan una puntuación de reputación. Los reportes repetidos de spam de muchos destinatarios hunden esa puntuación, lo que significa que el correo futuro de ese remitente tiene más probabilidad de aterrizar en Spam en los ~1,8 mil millones de usuarios de Gmail — no solo el tuyo. La aplicación de reglas bulk-sender de Google de febrero de 2024 hizo esa puntuación todavía más relevante: los remitentes con tasas de reporte de spam altas (>0,3% sostenido) son limitados o bloqueados directamente.

La implicación: un solo clic en Reportar spam contribuye, de forma modesta pero medible, a que llegue menos spam a la bandeja de todo el mundo. Es lo más cercano a una mecánica de deber cívico que tiene la bandeja de entrada.

Reportar phishing (y por qué importa más)

Reportar phishing es estructuralmente el mismo gesto que Reportar spam — menú de tres puntos → Reportar phishing — pero la señal se enruta de manera distinta dentro de Google. Los reportes de phishing van al equipo antifraude y alimentan Google Safe Browsing, que protege a usuarios de Chrome, Firefox y Safari de hacer clic en URLs maliciosas. Usa Reportar phishing para cualquier mensaje que intente engañar, aunque solo parezca “muy spam”.

El botón web de Reportar phishing está escondido en el menú de tres puntos (no en la barra de herramientas). En móvil, el mismo camino. Sin atajo de teclado.

Usa Reportar phishing cuando el mensaje:

  • Suplanta una marca (PayPal, Amazon, tu banco, Microsoft, el propio Google)
  • Te pide “verificar” tu cuenta, contraseña o código 2FA
  • Enlaza a una página de login en un dominio que no coincide con la marca
  • Adjunta un archivo afirmando ser factura, recibo, mensaje de voz o aviso de envío
  • Amenaza con cierre de cuenta, acciones legales o detención si no actúas
  • Viene de un dominio parecido a una marca real con una ligera falta (paypaI.com con I mayúscula, m1crosoft.com)

El escalado importa porque un reporte de phishing puede provocar la retirada de URL vía Safe Browsing en horas — el atacante pierde entonces la landing que cosechaba credenciales en otras víctimas. Un simple reporte de spam no dispara el mismo flujo.

Lo que NO debes hacer — los cuatro errores

Cuatro acciones parecen útiles pero empeoran las cosas: hacer clic en el enlace de baja de un email sospechoso, responder “stop” o “baja”, reenviar el mensaje a amigos o colegas sin preservar cabeceras, y abrir cualquier adjunto “para ver qué es”.

1. No hagas clic en darse de baja en correo sospechoso

Los enlaces de baja en marketing legítimo son seguros — activan el flujo RFC 8058 de un clic que Google impone desde febrero de 2024. Los enlaces de baja en phishing o spam puro son armas. Hacer clic puede:

  • Confirmar que tu dirección está activa — el enlace incluye un rastreador único. El remitente vende entonces tu dirección “verificada activa” a precio premium en mercados de spam.
  • Cargar malware — el enlace redirige a una página de descarga drive-by.
  • Capturar credenciales — el enlace abre una página de login falsa que te pide “iniciar sesión para darte de baja”.

Regla: si no reconoces al remitente, no cliques nada en el cuerpo. Reportar spam o phishing.

2. No respondas “stop” ni “baja”

Misma lógica amplificada. Una respuesta confirma que la dirección está vigilada por un humano. Los spammers compran y venden listas de direcciones activas; responder triplica el precio de la tuya.

3. No reenvíes a amigos o colegas sin contexto

Reenviar un phishing a un colega para avisarle se vuelve a menudo en tu contra — lo recibe de tu dirección de confianza, el enlace malicioso está a un clic, y las cabeceras desaparecen. Si tienes que avisar, reenvía como adjunto (preserva las cabeceras originales) y añade una advertencia escrita encima. La opción Reenviar como adjunto de Gmail mantiene el .eml intacto para el análisis IT.

4. No abras adjuntos

Hasta una simple previsualización de un PDF, DOCX o HTML adjunto en el visor web de Gmail puede activar exploits embebidos en sistemas no parcheados. Si sospechas phishing, Reportar phishing inmediatamente y deja que el sandbox de Google analice el archivo — no lo abras tú.

Escalar a Google Safe Browsing y APWG

Más allá del clic Reportar phishing dentro de Gmail, dos escalados entre plataformas importan: el formulario de abuso de Google (para reportar usuarios Gmail que envían abuso desde direcciones Gmail) y la Anti-Phishing Working Group, que agrega reportes de phishing a través de proveedores de email y los redistribuye a navegadores, CERTs y autoridades de todo el mundo.

Formulario de abuso de Gmail de Google

Si un usuario Gmail te envía correo abusivo, de acoso o spam desde una dirección @gmail.com, usa directamente el formulario de abuso de Google. Es complementario a Reportar spam — el formulario permite enviar contexto detallado y cabeceras originales, que el botón in-bandeja no captura.

Anti-Phishing Working Group (APWG)

Reenvía el correo sospechoso como adjunto a reportphishing@apwg.org. APWG es un consorcio industrial sin ánimo de lucro que agrega reportes de phishing de Microsoft, Google, bancos, ISPs y particulares, y luego redistribuye los indicadores (URLs, IPs de envío, muestras) a fabricantes de navegadores, CERTs y autoridades. Los reportes que llegan aquí alimentan las advertencias antiphishing de Chrome, Firefox y Safari.

Usa Reenviar como adjunto para que las cabeceras originales sobrevivan — los analistas de APWG necesitan el sobre completo para rastrear la infraestructura de envío.

Reporte oficial en España — INCIBE 017, OSI, denuncia

España cuenta con dos canales centrales gratuitos y eficaces: la línea 017 de INCIBE (Instituto Nacional de Ciberseguridad) que atiende ciudadanos y pymes, y el portal OSI (Oficina de Seguridad del Internauta) con formularios y alertas. Para perjuicio económico o suplantación grave, denuncia ante la Policía Nacional o la Guardia Civil. Cada canal tarda menos de un minuto y alimenta flujos reales de aviso y, llegado el caso, investigación.

INCIBE 017 — la línea nacional de ciberseguridad

INCIBE es el organismo público español dependiente del Ministerio para la Transformación Digital y de la Función Pública. La línea 017 (gratuita, en horario amplio) atiende consultas y reportes de ciudadanos y pymes sobre phishing, fraude, suplantación, ciberacoso, malware y seguridad en general. La atención es por teléfono, WhatsApp/Telegram al 900 116 117 (canales oficiales publicados por INCIBE) y formulario web.

OSI — Oficina de Seguridad del Internauta

La OSI es el portal ciudadano de INCIBE. Publica avisos de seguridad, guías de actuación tras un incidente, y un formulario “Reporte de Fraude” para enviar mensajes de phishing, suplantaciones bancarias y otros casos. Útil para reportar phishing al gran público sin necesidad de llamar — el formulario aporta contexto que la línea telefónica no recoge igual de bien.

Denuncia formal — Policía Nacional / Guardia Civil

Si has perdido dinero, te han hackeado una cuenta o han suplantado tu identidad, interpón denuncia formal. Dos vías:

  • Policía Nacional — Brigada Central de Investigación Tecnológica (BCIT): información y canales de contacto en policia.es/colabora.
  • Guardia Civil — Grupo de Delitos Telemáticos (GDT): información en gdt.guardiacivil.es.

Para la denuncia conserva el correo de phishing con todas sus cabeceras (reenvía a una bandeja propia como adjunto antes de cualquier acción), aporta capturas, y solicita copia compulsada de la denuncia para tramitar con tu banco si hubo fraude bancario.

Phishing bancario — avisa también a tu banco

Si el phishing suplanta a tu banco (BBVA, Santander, CaixaBank, ING, etc.) o si proporcionaste datos por error, llama de inmediato al teléfono oficial del banco (no el del email) y al canal antifraude del propio banco. Cuanto antes la entidad bloquee operaciones, menor el perjuicio.

Flujo de reporte en Workspace

Los administradores de Google Workspace pueden configurar el reporte a nivel de organización: un botón “Reportar phishing” que enruta copias del correo reportado a un buzón de seguridad, integración con el Security Investigation Tool y flujos automatizados de cuarentena. Los usuarios finales en Workspace tienen los mismos botones de Gmail más, opcionalmente, un botón corporativo “Reportar a TI”.

Si tu organización usa Google Workspace y recibes un mensaje sospechoso en tu dirección laboral:

  1. Usa primero Reportar phishing en Gmail — sigue entrenando al clasificador de Google sobre la base global de usuarios.
  2. Luego reenvía como adjunto al buzón interno de seguridad si tu organización tiene uno (habitualmente phishing@empresa.com o seguridad@empresa.com). Usa Reenviar como adjunto para que las cabeceras lleguen intactas al equipo de seguridad.
  3. Para administradores Workspace: activa “Enhanced pre-delivery message scanning” en la consola de administración, configura el buzón de recolección de phishing reportado por usuarios en Seguridad → Centro de alertas, y revisa el Security Investigation Tool sobre los mensajes reportados.

Los administradores también pueden poner retroactivamente en cuarentena mensajes coincidentes en las bandejas de todos los usuarios mediante la acción “Eliminar de la bandeja de entrada” del Security Investigation Tool — es la palanca antiphishing más potente disponible en Workspace.

Para más detalles sobre las protecciones del lado Workspace, consulta la ayuda de administrador de Google sobre protecciones antiphishing.

Alexis Dollé, fundador de Email Tools
Alexis Dollé
Fundador & Editor

Alexis Dollé, experto en email desde hace 10+ años. Fundador de Email Tools. Pruebo cada cliente de correo y cada utilidad yo mismo, y luego escribo como se lo explicaría a un amigo — sin marketing, sin rankings patrocinados, cada afirmación con su fuente.

LinkedIn
Fuentes & referencias
  1. Google Support — “Marcar o desmarcar correos como spam en Gmail” — documentación oficial Gmail sobre Reportar spam y el aprendizaje del filtro de usuario. Consultado el 2026-05-17. support.google.com/mail/answer/1366858
  2. Google Support — “Evitar y denunciar correos de phishing” — guía Reportar phishing y qué hace Google con él. Consultado el 2026-05-17. support.google.com/mail/answer/8253
  3. Google Support — “Denunciar un abuso en Gmail” — formulario de abuso para usuarios Gmail que envían abuso. Consultado el 2026-05-17. support.google.com/mail/contact/abuse
  4. Google Support — “Directrices para remitentes de correo” — requisitos bulk-sender de febrero 2024, con umbrales de tasa de reporte de spam. Consultado el 2026-05-17. support.google.com/mail/answer/81126
  5. INCIBE — Instituto Nacional de Ciberseguridad (línea 017, portal ciudadanía). Consultado el 2026-05-17. incibe.es/ciudadania
  6. OSI — Oficina de Seguridad del Internauta (portal ciudadano de INCIBE). Consultado el 2026-05-17. osi.es
  7. Policía Nacional — Brigada Central de Investigación Tecnológica (BCIT). Consultado el 2026-05-17. policia.es
  8. Guardia Civil — Grupo de Delitos Telemáticos (GDT). Consultado el 2026-05-17. gdt.guardiacivil.es
  9. Anti-Phishing Working Group — consorcio que agrega reportes de phishing para navegadores y CERTs. Consultado el 2026-05-17. apwg.org/reportphishing
  10. NCSC UK — colección “Phishing scams” (referencia estadística SERS 54,5M+ reportes abril 2026). Consultado el 2026-05-17. ncsc.gov.uk/collection/phishing-scams

Preguntas frecuentes

¿Cuál es el atajo de teclado para reportar spam en Gmail? En Gmail web con atajos de teclado activados (Configuración → General → Atajos de teclado activados), el atajo es el signo de exclamación (Mayús+1, escrito !). Con la conversación abierta o seleccionada en la lista, pulsar ! la marca como spam y la mueve a la carpeta Spam. No existe atajo nativo para Reportar phishing — eso sigue requiriendo el menú de tres puntos.

¿Qué pasa realmente después de hacer clic en Reportar spam? Tres cosas a la vez. El mensaje pasa a tu carpeta Spam donde se autoelimina a los 30 días. Google recibe una copia para su clasificador global anti-spam, que combina tu señal con miles de millones más para puntuar los futuros envíos de ese remitente. Y tu filtro de usuario se ajusta a la dirección, dominio y patrones de contenido — los mensajes similares tienen más probabilidad de ser marcados al llegar la próxima vez.

¿Reportar spam o Reportar phishing — qué diferencia hay? Reportar spam es para correo no deseado pero no malicioso — marketing al que nunca te suscribiste, promos repetitivas, newsletters de baja calidad. Reportar phishing es para correo que suplanta a una marca, pide credenciales, enlaza a una página de login falsa o adjunta malware. Los reportes de phishing van al equipo antifraude de Google y alimentan Safe Browsing — pesan más que un simple reporte de spam, así que usa Reportar phishing siempre que el mensaje intente engañar.

¿Es seguro hacer clic en el enlace de darse de baja en un spam? Solo si reconoces al remitente y alguna vez le diste tu dirección. Para remitentes desconocidos, el enlace de baja puede ser un rastreador (confirma que la dirección está activa), un cargador de malware o una redirección a una página falsa de captura de credenciales. La regla: remitente desconocido → Reportar spam o phishing, nunca cliquear nada en el cuerpo. Remitente conocido → usa el enlace Darse de baja inline que Gmail muestra junto al nombre del remitente (no el del pie de mensaje).

¿Dónde reportar un email de phishing en España fuera de Gmail? España: llama al 017 (INCIBE, línea gratuita de ciberseguridad) o reporta online en incibe.es y osi.es (Oficina de Seguridad del Internauta). También puedes presentar denuncia en la Policía Nacional (Brigada Central de Investigación Tecnológica) o en la Guardia Civil (Grupo de Delitos Telemáticos). Internacional: reportphishing@apwg.org para la Anti-Phishing Working Group, que alimenta las advertencias antiphishing de Chrome/Firefox/Safari.

¿Se puede reportar spam desde la app móvil de Gmail? Sí. En iOS y Android: abre el mensaje → menú de tres puntos arriba a la derecha del encabezado → Reportar spam (o Reportar phishing si suplanta marca o pide credenciales). Una pulsación larga en un mensaje de la lista permite seleccionar varios para reportar en lote. El atajo ! es solo web — los teclados móviles no disparan acciones de Gmail.

Relacionado: Cómo dejar de recibir spam completamente — la estrategia anti-spam amplia. Cómo bloquear a alguien en Gmail — cuándo bloquear es lo correcto. Cómo crear un filtro en Gmail — automatizar la decisión reportar-o-rutear. Cuenta Gmail que no recibe emails — qué hacer cuando correo legítimo se marca por error como spam. Mejores herramientas de baja de suscripción 2026 — para la vía baja-en-vez-de-reportar. Mejor método de baja masiva — flujos de baja en lote.