Si te dijera que cada vez que abres un email alguien puede estar tomando notas de lo que haces, seguramente pensarías que exagero. Pero no: buena parte de los correos de marketing que recibes llevan dentro un pequeño espía digital, un píxel de rastreo invisible, que chiva cuándo has abierto el mensaje, desde qué dispositivo, cuántas veces y hasta desde dónde te has conectado.
Este tipo de seguimiento se ha convertido en una forma de vigilancia cotidiana, silenciosa y masiva. Grandes plataformas, empresas de publicidad, herramientas de email marketing e incluso ciberdelincuentes utilizan estos píxeles para recopilar datos a tu costa. La buena noticia es que no estás vendido: con unos cuantos ajustes en tu correo, el uso de filtros DNS y algunas herramientas adicionales puedes reducir de forma brutal lo que terceros saben de ti.
Qué son los píxeles de rastreo y cómo funcionan realmente
Los llamados píxeles de seguimiento, píxeles espía o balizas web son imágenes diminutas incrustadas en correos, webs o apps, normalmente de 1×1 píxel (e incluso 0×0). Son tan pequeñas y suelen ser transparentes que, a efectos prácticos, son invisibles para el usuario.
Cuando abres un email en HTML y tu cliente de correo carga las imágenes remotas, el programa hace una petición al servidor donde está alojado ese píxel. Esa simple solicitud permite al servidor registrar un buen lote de información: fecha y hora de apertura, dirección IP, sistema operativo, tipo de navegador o cliente de correo y la página o mensaje desde el que se ha descargado la imagen.
En marketing se suele usar un código similar a <img src=»https://ejemplo.com/pixel/usuario123.png» width=»1″ height=»1″ />. Esa URL es única para cada destinatario, de forma que no solo se sabe que un correo se ha abierto, sino exactamente qué dirección lo ha abierto, cuántas veces y desde qué entorno.
En la web ocurre algo parecido, pero a menudo en lugar de una imagen se utiliza JavaScript embebido que ejecuta código de seguimiento. El resultado es el mismo: pueden seguir tu ruta de navegación, cuánto tiempo pasas en una página, qué secciones visitas y cómo interactúas con los contenidos.
Todo este rastreo se integra en una enorme economía de la vigilancia digital: los datos se usan para personalizar anuncios, analizar campañas, probar diseños, optimizar embudos de venta, construir perfiles de usuarios y, en no pocos casos, se comparten o venden a terceros especializados en datos.
Qué datos pueden recopilar estos rastreadores y por qué es un problema
Los píxeles de seguimiento no se limitan a un simple “correo abierto / no abierto”. En la práctica, pueden dibujar un mapa bastante detallado de tu comportamiento. Entre la información más habitual que recogen está:
- Si abriste o no el correo y cuántas veces lo has vuelto a abrir.
- Fecha y hora exactas de cada apertura, hasta el segundo.
- Dirección IP y ubicación aproximada (a veces muy precisa, hasta nivel de ciudad o barrio).
- Dispositivo, sistema operativo y cliente de correo que utilizas (Gmail, Outlook, Apple Mail, etc.).
- Resolución de pantalla y algunos parámetros técnicos que ayudan a crear una “huella digital” del dispositivo.
- En muchos casos, enlaces en el correo con parámetros de seguimiento (UTM y otros), que relacionan tus clics con campañas concretas.
Cuando pinchas en un enlace de un email rastreado, con frecuencia no vas directamente al sitio de destino: antes pasas por un servidor intermedio que registra tu clic, guarda tu dirección de correo asociada a ese enlace y solo entonces te redirige a la web final. Todo esto sucede tan rápido que ni lo notas, pero deja rastro.
El problema es que, sumando píxeles, enlaces de rastreo, cookies y huellas del navegador, se puede vincular tu dirección de correo con tu historial de navegación, tus intereses y tus compras. Estudios académicos han mostrado que una gran mayoría de newsletters comerciales contienen varios rastreadores que envían datos a numerosos intermediarios, no solo al remitente original.
Con esa información se crean perfiles muy finos sobre tu comportamiento online y offline: desde si sueles abrir correos por la noche hasta si visitas páginas relacionadas con inversiones, salud, consumo, ideología política o aficiones muy concretas. Y todo ello, casi siempre, sin que nadie te lo explique claramente ni te pida un consentimiento real.
Además, algunos proveedores de email marketing y plataformas de automatización han sufrido filtraciones de datos masivas. Cuando se filtran listas con historiales de interacción, los atacantes pueden usar esa información para lanzar campañas de phishing mucho más creíbles, segmentadas por intereses o tipo de usuario.
El lado oscuro: cómo usan estos píxeles los ciberdelincuentes
No solo las empresas legítimas han visto el potencial de estos píxeles. Los ciberdelincuentes los aprovechan como herramienta de reconocimiento previo antes de atacar con campañas de phishing dirigidas o compromiso de correo corporativo.
Un atacante puede, por ejemplo, enviar un primer correo aparentemente inocuo con un píxel espía. En cuanto lo abres, ya sabe que tu dirección es válida, que lees el correo, desde qué zona del mundo y más o menos a qué horas sueles conectarte.
Con esa información, el siguiente paso es preparar un correo de phishing mucho más creíble y enviarlo justo en la franja horaria en la que sueles estar activo, aumentando las probabilidades de que caigas. Si además vinculan esos datos con filtraciones previas (por ejemplo, listas de clientes de criptomonedas, bancos concretos, etc.), la estafa puede estar extremadamente afinada.
También se ha documentado el uso de píxeles para doxxing y perfilado agresivo: cruzando tu IP aproximada con datos públicos (redes sociales, registros, foros), pueden intentar identificar tu domicilio o lugar de trabajo. Esto se vuelve especialmente preocupante cuando hablamos de activistas, periodistas o perfiles de alto valor.
En entornos corporativos, algunos empleadores han utilizado balizas web para vigilar qué empleados abren correos internos, cuándo y desde dónde, sin que estos sean realmente conscientes del nivel de seguimiento al que están sometidos. Más allá de lo legal, es un tema serio de confianza y clima laboral.
Por si fuera poco, cuando un proveedor de email marketing sufre una brecha, no solo se exponen direcciones de correo, sino a menudo también información de comportamiento: quién interactúa mucho, quién casi nada, qué temáticas despiertan interés, etc. Todo ello facilita campañas muy personalizadas por parte de delincuentes.
Qué papel juegan la ley y la regulación en el seguimiento de emails
Desde el punto de vista legal, el uso de píxeles de seguimiento se mueve en un terreno delicado. En el ámbito europeo, el GDPR (Reglamento General de Protección de Datos) es bastante claro: cualquier tratamiento de datos personales, y aquí entra de lleno el rastreo de aperturas y clics, requiere una base legal sólida, normalmente el consentimiento explícito.
Los organismos europeos de protección de datos han mostrado una oposición muy fuerte a este tipo de seguimiento “silencioso”, porque almacena y envía información sobre el comportamiento del destinatario sin que este lo sepa de forma clara. En teoría, para cumplir el GDPR, las empresas que usan píxeles deberían:
- Explicar de forma transparente qué datos se recogen y con qué finalidad.
- Obtener un consentimiento informado, específico e inequívoco antes de activar el rastreo.
- Permitir que el usuario retire ese consentimiento con la misma facilidad con la que lo otorgó.
- Documentar y poder demostrar que se ha cumplido con todos estos requisitos.
En la práctica, muchas campañas de email marketing no cumplen este estándar tan estricto y se limitan a incluir menciones genéricas en la política de privacidad o en los términos de uso, algo que no es suficiente según la interpretación más exigente del GDPR.
Mientras que en Estados Unidos la situación es diferente: la ley CAN-SPAM no prohíbe expresamente el uso de píxeles, pero sí establece obligaciones para los correos comerciales (identificación del remitente, opción clara de baja, datos veraces, etc.). No exige un consentimiento explícito para el rastreo como tal, lo que deja a los usuarios con menos protección frente a estas prácticas.
Otros países (Canadá, Australia y algunos estados de EE. UU.) están endureciendo también su legislación de privacidad, por lo que todo apunta a que el seguimiento encubierto de correos tendrá cada vez más frenos legales, al menos en teoría. Mientras tanto, si quieres protegerte, depende sobre todo de lo que tú configures.
Conviene recordar que los píxeles de seguimiento no son ilegales per se. Muchas empresas los usan para medir la eficacia de una campaña de forma agregada. El gran problema es la opacidad: casi nunca se informa con claridad de que están ahí ni se ofrece una forma sencilla de desactivarlos.
Cómo bloquean el rastreo los filtros DNS y por qué son tan potentes
Uno de los enfoques más efectivos para cortar de raíz muchos rastreadores, incluidos los de email, es usar filtros DNS que bloqueen dominios conocidos de seguimiento. En lugar de actuar solo en el navegador o en el cliente de correo, atacas el problema a nivel de resolución de nombres de dominio.
El DNS es el sistema que se encarga de traducir los nombres de dominio (por ejemplo, ejemplo.com) en direcciones IP que los dispositivos entienden. Cada vez que tu correo intenta cargar una imagen remota, o tu navegador resuelve un dominio de tracking, se hace una consulta DNS.
Si usas un servicio o servidor DNS que implemente filtros de bloqueo, cuando tu cliente de correo pida resolver el dominio de un píxel espía, la respuesta será “no existe” o se redirigirá a una IP nula. Resultado: el píxel nunca llega a cargarse, la petición no llega al servidor del rastreador y, por tanto, no se registra la apertura.
Este enfoque tiene una gran ventaja: funciona de forma transversal en todos los dispositivos y apps que usen ese DNS. Si lo configuras en tu router, afectará a los móviles, tablets, portátiles, televisores inteligentes y, por supuesto, a tus clientes de correo y navegadores. Es una “capa de higiene” muy eficaz.
Muchos servicios de DNS seguros y algunas VPN incluyen ya listas de bloqueo específicas para publicidad, rastreadores web, malware y dominios de tracking de email. Al activarlas, reduces enormemente la superficie de exposición, aunque ningún filtro es perfecto al 100 % y siempre aparecerán nuevos dominios.
La clave está en combinar estos filtros DNS con otras medidas a nivel de cliente de correo, navegador y comportamiento. Cuantas más capas pongas, más difícil será que un píxel o script consiga colarse y enviar datos sobre ti.
Bloquear píxeles de rastreo en el correo: ajustes básicos imprescindibles
Más allá de los filtros DNS, hay una serie de ajustes muy sencillos que deberías activar sí o sí en tus clientes de correo para ponerles las cosas muy complicadas a los rastreadores.
1. Desactivar la carga automática de imágenes remotas
Es probablemente el paso más efectivo de todos. Como la mayoría de píxeles funcionan como imágenes remotas cargadas desde un servidor externo, si bloqueas esa carga automática, cortas el rastreo de raíz.
En Gmail (versión web), puedes ir a Configuración → General → Imágenes y elegir la opción “Preguntar antes de mostrar imágenes externas”. De este modo, los correos llegarán sin cargar imágenes por defecto y solo se mostrarán cuando tú lo autorices.
Por otra parte, en Outlook.com, encontrarás una opción similar en Configuración → General → Imágenes, donde puedes ajustar cómo se cargan las imágenes externas. En las aplicaciones de Outlook de escritorio también puedes bloquear las descargas automáticas de imágenes por motivos de privacidad y seguridad.
En Apple Mail, tanto en iPhone y iPad como en Mac, tienes la opción de desactivar la carga de contenido remoto desde los ajustes de Correo. Apple ha dado además un paso más con la Protección de Privacidad de Mail, que precarga imágenes a través de sus propios servidores para ocultar tu IP y “romper” las métricas de apertura tradicionales.
La desventaja es evidente: algunos correos se verán algo pelados, sin banners ni gráficos hasta que tú decidas cargar las imágenes. Pero en términos de privacidad, el beneficio es enorme.
2. Usar proveedores de correo centrados en la privacidad
Si te preocupa seriamente el tema, plantéate usar un servicio de correo que bloquee de serie los píxeles de seguimiento y limpie enlaces de rastreo. Proton Mail es uno de los referentes en este terreno.
Proton Mail incorpora una protección contra rastreo mejorada que hace varias cosas a la vez: elimina píxeles espía conocidos al recibir el correo, precarga otras imágenes a través de un proxy con una IP genérica (para que no se revele tu ubicación real) y limpia los enlaces para quitar parámetros UTM y otros identificadores de tracking.
Además, almacena las imágenes en caché durante un tiempo para que el acceso posterior sea más rápido y no implique nuevas peticiones al servidor del remitente. El usuario ve un icono de escudo con un número que indica cuántos rastreadores y enlaces de seguimiento se han bloqueado o limpiado en ese mensaje.
Otros proveedores como Tutanota o StartMail también apuestan por reducir de forma agresiva el rastreo y ofrecer cifrado de extremo a extremo. Suelen estar ubicados en países con legislaciones fuertes en privacidad, lo que añade una capa legal interesante.
La ventaja de este tipo de servicios es que, sin que tengas que tocar demasiados ajustes, bloquean buena parte de los rastreadores por defecto. Y, de propina, suelen integrar filtros antispam potentes y políticas estrictas de no venta de datos.
3. Instalar extensiones de navegador que bloqueen el seguimiento en email
Si consultas el correo desde el navegador (Gmail, Outlook web, etc.), puedes apoyarte en extensiones centradas en privacidad que detectan y bloquean intentos de rastreo dentro de los mensajes.
Existen extensiones específicas para correo, como Email Privacy Protector, Ugly Email, PixelBlock o Trocker, que dibujan un icono cuando detectan píxeles espía y bloquean su ejecución. Algunas incluso te indican cuántos rastreadores había embebidos y de qué servicios proceden.
También puedes usar bloqueadores más generales como uBlock Origin con listas de rastreo activadas, que cortan muchas solicitudes a dominios de publicidad y tracking. Aunque no están pensados exclusivamente para email, ayudan a reducir ruido.
Eso sí, conviene ser prudente: cualquier extensión que quieras que “toque” tu correo tendrá acceso muy amplio a su contenido. Asegúrate de instalar solo complementos de fuentes oficiales (Chrome Web Store, catálogo recomendado de Firefox, etc.) y con buena reputación.
Ten en cuenta además que la protección de estas extensiones suele ser limitada al navegador concreto donde las tienes instaladas. Si lees el correo desde una app móvil o desde otro navegador, el efecto se pierde, de ahí que los filtros DNS y los ajustes del cliente de correo sigan siendo claves.
4. Alias de correo y direcciones desechables para compartimentar tu identidad
Otra táctica muy útil es recurrir a alias y correos temporales para todo aquello que huela a marketing agresivo, registros rápidos o webs de confianza dudosa.
Servicios como SimpleLogin, Proton Pass o AnonAddy permiten crear direcciones aleatorias que redirigen a tu buzón real. De ese modo, si una de esas direcciones empieza a recibir spam o newsletters rastreadas en exceso, sabes de dónde viene el problema y puedes “matar” el alias sin tocar tu cuenta principal.
Esto no solo reduce el descontrol en tu bandeja de entrada, también limita las posibilidades de que tu dirección principal acabe en listas de terceros o en filtraciones de datos. Si un alias está comprometido, lo desactivas y desaparece automáticamente de la ecuación.
Muchos usuarios optan por mantener una dirección principal “limpia” para temas personales y profesionales de confianza, y luego varios alias o correos secundarios para cuentas de tiendas, suscripciones, pruebas gratuitas y similares.
Si combinas esta estrategia con filtros DNS y bloqueo de imágenes, las posibilidades de que te rastreen de forma masiva se reducen enormemente, incluso aunque sigas suscrito a algunas newsletters que te interesen.
Filtros DNS en el sistema y en el router: blindar toda tu red contra balizas web
Si quieres ir un paso más allá y proteger no solo el correo, sino toda la actividad de tu casa u oficina, merece la pena configurar un DNS filtrante en tus dispositivos o directamente en el router.
A nivel de sistema operativo, puedes cambiar manualmente el servidor DNS en Windows, macOS, Android o iOS para apuntar a un proveedor que ofrezca bloqueo de rastreadores. Muchos servicios de seguridad y algunas VPN incluyen ya perfiles específicos que bloquean dominios asociados a publicidad, tracking y malware.
Cuando mueves ese mismo ajuste al router, la cosa se vuelve especialmente interesante: todos los dispositivos conectados a tu red local heredarán esa configuración. Eso significa que si una tele inteligente, una app móvil o un cliente de correo intentan cargar imágenes o contactar con servidores de tracking, el DNS devolverá una respuesta bloqueada.
Este enfoque sistémico evita que tengas que ir dispositivo por dispositivo instalando extensiones o apps específicas. Funciona de fondo, de forma silenciosa, y protege incluso a quienes comparten red contigo y quizá no tienen tanto cuidado con lo que abren o configuran.
Hay que tener en mente, no obstante, que los filtros DNS no distinguen si la imagen es un logo legítimo o un píxel espía: dependen de listas de dominios. Si un remitente aloja sus píxeles en el mismo dominio que el resto de recursos “buenos”, puede que parte del rastreo se cuele. Por eso es tan importante combinarlo con el bloqueo de imágenes remotas en el correo.
En algunos casos, una buena VPN con bloqueador de rastreadores integrado puede ser una alternativa cómoda, sobre todo si sueles conectarte desde redes públicas o poco confiables. La VPN cifra tu tráfico, oculta tu IP y, si incluye lista de bloqueo, corta muchas peticiones de seguimiento, incluidos algunos píxeles de email.
Más medidas de defensa: texto plano, buenas prácticas y sentido común
Si alguien necesita la máxima privacidad posible, siempre queda la opción radical de leer y enviar los correos exclusivamente en texto plano, desactivando HTML e imágenes por completo. Es incómodo y visualmente pobre, sí, pero elimina de un plumazo la inmensa mayoría de vectores de rastreo.
Para el resto de mortales, es más realista adoptar una combinación de buenas prácticas y cierta vigilancia. Por ejemplo, evitar abrir correos de remitentes desconocidos o claramente sospechosos, no hacer clic en enlaces raros y desconfiar de mensajes que piden datos personales o urgencias injustificadas.
Muchos clientes de correo permiten ver una vista previa segura del mensaje sin cargar contenido remoto. Si algo te huele mal, mejor marcarlo como spam o borrarlo directamente. En el día a día, también ayuda revisar de vez en cuando a qué newsletters estás suscrito y darse de baja de todo lo que ya no te aporta nada.
En casa u oficina conviene que todo el mundo esté mínimamente al tanto del problema. De poco sirve que tú bloquees píxeles y enlaces si luego alguien comparte tu dispositivo o tu cuenta y se dedica a abrir y reenviar cualquier cosa. Una pequeña charla de concienciación evita muchos sustos.
Y, por supuesto, aunque aquí hablamos de rastreo, no olvides el resto de pilares de la seguridad del correo: contraseñas robustas, autenticación en dos pasos, copias de seguridad y, si es posible, cifrado de extremo a extremo para contenidos sensibles.
Al final, se trata de recuperar algo que nunca deberíamos haber perdido: la sensación de que tu bandeja de entrada no es un escaparate para que medio internet tome notas de lo que haces. Con filtros DNS bien configurados, bloqueando contenido remoto, usando servicios respetuosos con la privacidad y aplicando cuatro hábitos sencillos, puedes volver a leer tus correos con bastante tranquilidad, sabiendo que, como mínimo, ya no les estás regalando tu vida digital al completo a cada píxel invisible que se cruza en tu camino.
Continúar leyendo...