Compartir
PHISHING DE CUENTA

¿account_update@amazon.com es real? El correo de verificación de Amazon en 2026

Amazon sí envía avisos reales de verificación de cuenta y de inicio de sesión, así que no puedes descartar todo mensaje de "verifica tu cuenta" como falso. Pero un correo que te empuja a un enlace y luego te pide tu contraseña, el número completo de tu tarjeta o datos fiscales es casi siempre phishing. Aquí tienes cómo notar la diferencia en 30 segundos, sin confiar en el correo en absoluto.

SafeBrowz Threat Research Investigación de seguridad6 de junio de 20269 min de lectura

Veredicto: real pero suplantable - verifica solo iniciando sesión en amazon.com

La dirección account_update@amazon.com es un remitente legítimo de Amazon (vive en el dominio real amazon.com), así que ver ese nombre no convierte el correo en una estafa, pero tampoco lo convierte en auténtico. La línea del remitente, incluso @amazon.com, se puede suplantar, y esa misma dirección ya ha aparecido falsificada en correos de phishing. Por eso es engañoso fiarse de ella por el nombre: un mensaje que se muestra como account_update@amazon.com puede ser real o falso. Amazon nunca te pide confirmar tu contraseña ni los datos de tu tarjeta por un enlace de correo. La única forma segura de comprobarlo es ignorar los enlaces del mensaje, abrir un navegador, escribir tú mismo amazon.com, iniciar sesión y mirar tu Centro de mensajes. Si algo real necesita tu atención, estará ahí.

Lo esencial

Amazon sí envía avisos de verificación de cuenta y de inicio de sesión, y justo por eso funciona la estafa: un falso "verifica tu cuenta" se mezcla con los reales. La respuesta honesta a "¿este correo es real?" no es un sí o un no a simple vista, es un proceso. Un correo que quiere que inicies sesión, confirmes una tarjeta o introduzcas datos fiscales por un enlace es el patrón falso. Una dirección de remitente en @amazon.com no prueba que el mensaje sea real, y un remitente raro no prueba que sea falso. Nunca decides sobre el correo mismo. Decides yendo tú a amazon.com y revisando Tu cuenta, la misma regla que vence a la falsa confirmación de pedido de Amazon y al mensaje falso de retiro y reembolso de Amazon.

Cómo se ve el correo de estafa

El mensaje llega con aspecto de aviso de seguridad rutinario. Un asunto como "Verifica tu cuenta de Amazon", "Actividad de inicio de sesión inusual, confirma que fuiste tú" o "Tu cuenta ha sido suspendida". El cuerpo lleva el logo de Amazon, los colores correctos, un pie limpio y un único botón destacado: "Verificar tu cuenta" o "Confirmar tu identidad".

Se lee parecido a esto: "Detectamos un inicio de sesión en tu cuenta de Amazon desde un dispositivo nuevo. Por tu seguridad, tu cuenta ha sido bloqueada temporalmente. Para restaurar el acceso, verifica tu identidad ahora". Luego un botón. Haces clic y aterrizas en una copia casi perfecta de la pantalla de inicio de sesión de Amazon. Introduces tu correo y tu contraseña, y la página siguiente te pide "confirmar" el número de tu tarjeta, tu dirección de facturación y, a veces, los últimos dígitos de tu documento de identidad o tu número fiscal para "verificar del todo" la cuenta. Todo lo que escribes va directo al atacante.

La imagen de marca es convincente. Lo que no se sostiene es el destino del botón. No va a amazon.com. Va a un dominio parecido como amazon-verify-account.com, amazon-account-confirm.com, amazon-security-verify.com o verify-amazon-account.net (ejemplos ilustrativos, no dominios reales de Amazon). La palabra "amazon" está ahí, pero pegada a "verify", "confirm" o "security", o al lado equivocado del punto. El dominio real de Amazon es amazon.com, y un problema real de cuenta nunca se resuelve iniciando sesión por un enlace que te entregó un correo.

🛡 VERIFICACIÓN EN VIVO

Comprueba ese enlace de verificación antes de hacer clic

¿Recibiste un correo que te pide verificar tu cuenta de Amazon y no estás seguro del enlace? Haz clic en cualquier dominio en rojo de arriba, o pega tu propio enlace sospechoso abajo antes de hacer clic. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro.

Análisis completo con IA profunda → · Ninguna URL se vincula a tu identidad.

Por qué la dirección del remitente no lo resuelve (account_update y auto-confirm)

La gente quiere una regla limpia: si viene de @amazon.com es real, si no, es falso. Esa regla falla en ambos sentidos, y los estafadores cuentan con ello.

Amazon envía correos auténticos de pedidos y de cuenta desde direcciones en sus propios dominios, y líneas de remitente que parecen account-update@amazon.com, account_update@amazon.com, auto-confirm@amazon.com o no-reply@amazon.com son comunes. Pero Amazon no publica una lista pública de sus buzones de remitente, así que una dirección de aspecto familiar no prueba nada por sí sola. Investigadores de seguridad han documentado que esa misma dirección account_update@amazon.com se ha suplantado en correos de phishing de "intento de inicio de sesión", así que verla no es un certificado de buena salud. Tampoco es prueba de estafa. El correo electrónico no se diseñó para garantizar el remitente, y aunque la política DMARC estricta de Amazon (p=reject, con SPF y DKIM) hace que una línea "De" falsificada en el dominio exacto amazon.com suela ser rechazada de plano por Gmail, Outlook y Yahoo, los dominios parecidos que esa política no cubre llegan a las bandejas de entrada cada día. Un mensaje que muestra account_update@amazon.com puede ser real o falso. El remitente es una pista, nunca el veredicto.

Una señal más reciente puede ayudar, pero solo en un sentido. En 2025 Amazon empezó a mostrar una marca de verificación, la insignia azul de la "sonrisa", junto a los mensajes @amazon.com autenticados en Gmail, Yahoo Mail y Apple Mail. Si ves esa insignia, el dominio sí pasó la autenticación de Amazon. Si no la ves, eso por sí solo no prueba nada, porque mucho correo legítimo es anterior a la función y no todo cliente de correo la muestra. Trata la insignia como un pequeño plus cuando está, nunca como un requisito, y aun así confirma en el sitio real. Lo único que de verdad lo resuelve es tu Centro de mensajes de Amazon: un aviso genuino de Amazon aparece ahí cuando inicias sesión tú mismo en amazon.com. Si no está en tu Centro de mensajes, Amazon no lo envió.

También falla al revés. Un mensaje real e importante de Amazon puede venir de una dirección de envío que no reconoces, o de un dominio regional de Amazon, y eso no lo convierte en estafa. Así que no puedes dar por bueno un correo solo porque el remitente parece correcto, ni puedes condenarlo solo porque el remitente parece raro. El remitente es una pista, nunca el veredicto.

Por eso el paso de verificación de abajo no involucra el correo en absoluto. No inspeccionas cabeceras, no confías en el campo "De", no haces clic para "comprobar". Vas tú mismo a Amazon y dejas que tu cuenta real te diga la verdad.

La comprobación de 30 segundos: verifica iniciando sesión en amazon.com

Esta es la respuesta entera a "¿este correo es real?". Funciona tanto si el mensaje es genuino como si es una copia perfecta, porque nunca depende del correo.

  1. No hagas clic en nada del correo. Ni el botón, ni el enlace, ni la opción de "no fui yo". Deja el mensaje donde está.
  2. Abre una pestaña nueva del navegador o la app de Amazon. En el navegador, escribe tú mismo amazon.com en la barra de direcciones, o usa un marcador que hayas creado. No busques y hagas clic en un anuncio.
  3. Inicia sesión con normalidad. Si tu cuenta estuviera realmente bloqueada, lo verías aquí, en el sitio real, no solo en un correo.
  4. Abre Tu cuenta y revisa las áreas de seguridad y mensajes. Mira Inicio de sesión y seguridad, y Tus mensajes o el Centro de mensajes. Las acciones de seguridad reales que Amazon necesita de ti aparecen dentro de tu cuenta, no solo en tu bandeja de entrada.
  5. Si nada ahí te pide verificar nada, el correo era falso. Bórralo. Si hay un aviso genuino esperando en tu cuenta, atiéndelo ahí, en amazon.com, donde iniciaste sesión tú mismo.

Esa es la regla para todo mensaje de "verifica tu cuenta", venga de Amazon o de quien sea: júzgalo en el sitio real, nunca en el correo. El mismo enfoque está en el centro de nuestra guía sobre cómo saber si un sitio web es una estafa.

Señales que inclinan el veredicto hacia estafa

  • Pide tu contraseña por un enlace. Amazon no te pide confirmar tu contraseña siguiendo un enlace de correo. La casilla de inicio de sesión en una página enlazada es el paso de recolección.
  • Pide el número completo de tu tarjeta, el CVV o tu número fiscal. Amazon no recoge ni reconfirma los datos completos de pago ni un número de identidad para "verificar" tu cuenta por correo. Esto solo ya lo marca como phishing.
  • Urgencia de cuenta bloqueada con una cuenta atrás. "Tu cuenta se cerrará de forma permanente en 24 horas si no verificas." Los problemas reales de cuenta no vencen en un temporizador de un día diseñado para que no compruebes.
  • El enlace no va a amazon.com. Pasa el cursor o mantén pulsado el botón. Un destino como amazon-verify-account, amazon-account-confirm o cualquier cosa que no sea amazon.com es falso, aunque la página que carga se vea perfecta.
  • Un saludo genérico en un mensaje de seguridad. "Estimado cliente" o "Estimado usuario" en un mensaje que dice que tu cuenta concreta está en riesgo es una señal. No prueba nada por sí solo, pero se suma al resto.
  • La página lo quiere todo a la vez. Contraseña, luego tarjeta, luego dirección, luego número fiscal, en un solo flujo. Los flujos reales de Amazon no apilan campos sensibles para "verificar del todo".
  • El remitente parece correcto pero el enlace no. Una línea "De" que dice account_update@amazon.com junto a un botón hacia un dominio que no es amazon.com es la suplantación clásica. Juzga el destino, no el remitente.

Qué hacer si ya hiciste clic e introdujiste datos

Actúa rápido. Una vez capturada tu contraseña de Amazon, el atacante puede iniciar sesión, cambiar tus ajustes y comprar con tus métodos de pago guardados.

  1. Cambia tu contraseña de Amazon de inmediato. Entra a amazon.com o a la app escribiendo tú la dirección, no por ningún enlace del correo. Elige una contraseña que no hayas usado en ningún otro lugar.
  2. Activa la verificación en dos pasos. Está en Inicio de sesión y seguridad. Aunque tenga tu contraseña, un atacante queda bloqueado sin tu segundo factor. Usa una app de autenticación cuando puedas.
  3. Busca datos de cuenta cambiados. Abre Inicio de sesión y seguridad más tus direcciones y métodos de pago. Elimina cualquier correo, teléfono, dirección o tarjeta que no hayas añadido tú.
  4. Revisa los pedidos recientes. Cancela lo que no hayas comprado si aún puedes, y repórtalo al servicio al cliente de Amazon.
  5. Cierra sesión en todos los dispositivos. Amazon te deja terminar todas las sesiones activas desde los ajustes de seguridad. Hazlo para matar cualquier sesión que el atacante haya abierto.
  6. Si introdujiste una tarjeta, llama a tu banco. Reporta la tarjeta como comprometida, pide un reemplazo y vigila el estado de cuenta. Disputa los cargos que no reconozcas.
  7. Si introdujiste tu número fiscal o de identidad, trátalo como exposición a robo de identidad. Considera vigilar tu historial crediticio y estar atento a cuentas nuevas abiertas a tu nombre.
  8. Restablece esa contraseña en cualquier sitio donde la reutilizaste. Cada cuenta con su propia contraseña única.

Cómo denunciar el correo falso

  • Repórtalo a Amazon. Amazon acepta reportes de mensajes que suplantan la marca. Puedes reenviar los correos sospechosos a stop-spoofing@amazon.com y reportar el mensaje por el flujo de "Reportar algo sospechoso" dentro de las páginas de ayuda de Amazon en amazon.com para que su equipo persiga el cierre de las páginas clonadas.
  • En España, denuncia a INCIBE. Llama a la Línea de Ayuda en Ciberseguridad del INCIBE en el 017 (gratuito y confidencial) o usa la Oficina de Seguridad del Internauta en osi.es. Para fraude con pérdida económica, denuncia ante la Policía Nacional o la Guardia Civil.
  • En México, repórtalo a la CONDUSEF y la PROFECO. La CONDUSEF (condusef.gob.mx) atiende fraudes financieros y de tarjetas; la PROFECO (profeco.gob.mx) atiende fraudes de consumo y tiendas falsas.
  • Borra el correo después de denunciar. No hagas clic en nada de él al salir.

Cómo SafeBrowz bloquea esta amenaza

SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA.

  • Capa 1 - Detección local: más de 60 firmas de patrones de URL, una base de datos de más de 550 marcas (Amazon incluida) y comprobaciones de homógrafos cirílicos y Punycode, todo dentro de la extensión antes de que la página se cargue. Detecta dominios de verificación parecidos como amazon-verify-account y amazon-account-confirm, donde un dominio que no es de Amazon sirve un formulario de inicio de sesión con su estilo.
  • Capa 2 - Comprobaciones por API: agrega Google Safe Browsing, PhishTank, URLhaus y feeds de ScamAdviser, más más de 30 listas de TLD de estafa, para marcar dominios ya conocidos como maliciosos, lo que cubre muchos dominios de phishing de verificación de cuenta a medida que se reportan.
  • Capa 3 - Análisis profundo con IA (Premium): el análisis de contenido en más de 100 idiomas detecta páginas parecidas recién creadas en segundos, incluida una pantalla de verificación falsa de Amazon que copia el estilo real pero vive en el dominio equivocado.

Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.

Dónde encaja la defensa en el navegador

Los filtros de correo no pueden detenerlo todo. Muchos correos de phishing de verificación vienen de dominios nuevos que pasan las comprobaciones básicas, y la página de inicio de sesión falsa es lo que en realidad hace el daño. El análisis en el navegador atrapa ese siguiente paso. Cuando una página de verificación con el estilo de Amazon se carga en un dominio que no es amazon.com, un escáner consciente de la marca señala la suplantación antes de que el formulario se cargue. SafeBrowz es una extensión gratuita para Chrome, Firefox y Edge (Safari muy pronto) que comprueba cada URL antes de que se cargue contra una base de datos de más de 550 marcas. Instala SafeBrowz y combínalo con la única regla que vence a toda esta categoría: llega a Amazon solo abriendo la app o escribiendo amazon.com tú mismo, nunca por un enlace que te envió un mensaje. Si sigues sin estar seguro de una página, nuestra guía sobre cómo saber si un sitio web es una estafa repasa las comprobaciones más a fondo.

Instala SafeBrowz gratis

Añade la extensión de navegador que ejecuta cada comprobación de este artículo automáticamente, en cada página, antes de que se cargue. Gratis para siempre, con análisis profundo de IA Premium opcional por 14,99 $ al año.

Chrome Añadir a Chrome Firefox Añadir a Firefox Edge Añadir a Edge

Ver precios y funciones Premium

Preguntas frecuentes

¿account_update@amazon.com es real o una estafa?

account_update@amazon.com es una dirección de remitente legítima de Amazon, en su dominio real amazon.com, así que verla no es prueba de estafa. Pero tampoco es prueba de que el correo sea real, porque el remitente visible se puede suplantar y esa misma dirección ya ha aparecido en phishing. Nunca decidas por la línea "De". No hagas clic en nada. Abre un navegador, escribe amazon.com tú mismo, inicia sesión y revisa Tu cuenta. Si hace falta una verificación real, aparece ahí. Si tu cuenta se ve normal, el correo era falso.

¿Amazon te pide verificar tu cuenta por correo?

Amazon puede avisarte de actividad de inicio de sesión o de un asunto de seguridad, pero no te pide confirmar tu contraseña, el número completo de tu tarjeta ni tu número fiscal por un enlace de correo. Cualquier mensaje que quiera esos datos por un botón es phishing. La verificación real se hace cuando inicias sesión en amazon.com, no introduciendo datos sensibles en una página que te envió un correo.

¿account_update@amazon.com o auto-confirm@amazon.com son legítimos?

Amazon sí envía correos legítimos desde direcciones como account-update@amazon.com y auto-confirm@amazon.com, así que ver una no es prueba de estafa. Pero tampoco es prueba de que el correo sea real, porque la dirección visible del remitente se puede suplantar. Nunca juzgues solo por la línea "De". Juzga por el destino del enlace y por lo que muestra tu cuenta real cuando inicias sesión tú mismo en amazon.com.

¿Cómo distingo un enlace falso de verificación de Amazon de uno real?

Mira el dominio. Las páginas reales de Amazon viven en amazon.com. Un enlace a un parecido como amazon-verify-account, amazon-account-confirm, amazon-security-verify o verify-amazon-account seguido de otra terminación es falso. Si el enlace está acortado, expándelo antes de hacer clic. Incluso una página de inicio de sesión de aspecto perfecto es falsa si la barra de direcciones no dice amazon.com.

Hice clic en el enlace e introduje mi contraseña y mi tarjeta. ¿Qué hago primero?

Cambia tu contraseña de Amazon de inmediato entrando directamente a amazon.com o a la app, no por ningún enlace del correo. Activa la verificación en dos pasos, elimina cualquier dato de cuenta o pago que no hayas añadido, revisa los pedidos recientes por fraude y cierra sesión en todos los dispositivos. Llama a tu banco para reportar la tarjeta. Si introdujiste tu número fiscal o de identidad, trátalo como exposición a robo de identidad y vigila tu historial crediticio. Restablece esa contraseña en cualquier otro sitio donde la reutilizaste.

¿Cómo denuncio un correo falso de verificación de Amazon?

Reenvía el correo sospechoso a stop-spoofing@amazon.com y repórtalo por el flujo de ayuda "Reportar algo sospechoso" en amazon.com para que Amazon persiga el cierre de las páginas. En España, denuncia al INCIBE en el 017 o usa osi.es, y ante la Policía Nacional o la Guardia Civil si hubo pérdida económica. En México, repórtalo a la CONDUSEF y la PROFECO. Luego borra el correo sin hacer clic en nada de él.

Más cobertura de SafeBrowz

En resumen: account_update@amazon.com es un remitente real de Amazon, así que "¿este correo es real?" nunca es un sí o un no que lees en la línea del remitente. Un correo que quiere tu contraseña, el número completo de tu tarjeta o tu número fiscal por un enlace es el patrón falso, y una dirección de remitente no prueba nada en ningún sentido. Ignora los enlaces, abre Amazon tú mismo escribiendo amazon.com, inicia sesión y revisa Tu cuenta. Pon SafeBrowz en tu navegador para que la página de verificación falsa nunca se cargue de entrada.