Spam traps en tu base de datos de ecommerce: qué son, cómo se cuelan en tu lista y por qué pueden hundir tu deliverability en una sola campaña

Un día tu campaña de email marketing funciona. Tasa de apertura del 22%, clics del 3%, ventas que entran al ritmo de siempre. Al día siguiente, mandas otra campaña casi idéntica y la apertura cae al 6%. Te metes en Gmail con tu cuenta personal y tu propio email ha caído en spam. Klaviyo, Mailchimp o Brevo te muestran un aviso amarillo en el dashboard: deliverability issues detected.

No es mala suerte. Lo más probable es que en algún punto de tu lista hay uno o varios spam traps. Y acabas de enviarles un correo.

Vamos a mirar qué son estos contactos venenosos, los tres tipos que existen, cómo terminan en una base de datos de tienda online española sin que nadie los meta a propósito, y cómo identificar candidatos antes de que provoquen un desastre. Si quieres saber primero por qué los emails rebotan o cómo evitar que entren contactos basura desde el formulario, te recomendamos leer antes hard bounce vs soft bounce y doble opt-in en tu tienda online.

Qué es un spam trap, en una frase

Un spam trap (o honeypot) es una dirección de correo que existe para una sola cosa: cazar a los que envían emails sin permiso o con bases mal mantenidas. Los proveedores antispam (Spamhaus, Spamcop, los propios Gmail, Outlook, Yahoo) las siembran por internet y las activan en bases de datos antiguas. El día que tu campaña impacta una de esas direcciones, te marcan automáticamente como remitente sospechoso.

No son "emails enfadados que te marcan como spam". Son cuentas trampa diseñadas y operadas por empresas de seguridad de email para detectar a los remitentes que no cuidan sus listas.

La mala noticia es que tú no sabes cuáles son las direcciones-trampa. Nadie las publica, esa es justo la idea. La buena noticia es que existen patrones reconocibles que permiten identificar candidatos antes de enviar.

Los tres tipos de spam trap que pueden estar en tu lista

No todos los spam traps son iguales. Saber distinguirlos cambia cómo proteges tu base.

1. Pristine spam traps (trampas puras)

Son direcciones creadas específicamente como cebo. Nunca pertenecieron a una persona real. Se dejan visibles en zonas oscuras de internet (foros viejos, comentarios de blogs abandonados, listas que circulan en mercados de spam) para que las recojan los scrapers (bots que rascan emails de páginas web).

Si una dirección de este tipo termina en tu lista, significa una de dos cosas: o compraste una base de datos, o usaste una herramienta de scraping para captar emails, o alguien metió manualmente direcciones cogidas de webs públicas. Ninguna de las tres opciones es legal en España bajo el RGPD ni la LSSI, así que aparte del problema de deliverability tienes un problema legal.

Una pristine trap es la más grave de las tres. Spamhaus suele bloquear el dominio del remitente al primer impacto.

2. Recycled spam traps (trampas recicladas)

Son direcciones que sí existieron como cuentas reales en algún momento, pero llevan años abandonadas. El proveedor (Gmail, Yahoo, Hotmail) las desactiva primero, espera entre 6 y 12 meses haciendo que reboten cualquier mensaje que llegue, y después las reactiva como trampa. Si tu sistema sigue enviando a esa dirección a pesar de que llevas un año recibiendo hard bounces, te van a cazar.

¿Cómo termina una recycled trap en una base de tienda online? Muy fácil. Imagina que un cliente se apuntó a tu newsletter en 2018 con una cuenta de Hotmail que dejó de usar en 2020. Tú nunca limpiaste la lista, sigues enviándole campañas. En 2024 esa dirección lleva tres años rebotando, en 2025 el proveedor la convierte en trampa, y la próxima campaña que mandes a tu lista de "todos los suscriptores" impacta esa dirección. Puerta de entrada para problemas.

Este es el tipo más común en bases de ecommerce que llevan varios años activas sin limpieza.

3. Typo traps (trampas de errata)

Direcciones con erratas frecuentes en dominios mal escritos: gnail.com en vez de gmail.com, hotnail.com en vez de hotmail.com, yaho.com en vez de yahoo.com. Algunos proveedores antispam compran esos dominios mal escritos justamente para cazar a remitentes que no validan los emails que entran a sus formularios.

Si tu formulario de newsletter no valida que el dominio detrás del @ realmente exista, cada errata se queda guardada en tu lista y, tarde o temprano, terminará impactando un typo trap.

Cómo se infiltran en una base de tienda online española

Ningún propietario de ecommerce mete spam traps a propósito. Entran solos por cinco caminos:

  1. Lista antigua sin limpiar. Llevas tres, cuatro o cinco años importando contactos a Klaviyo, Mailchimp o Brevo y nunca has eliminado los que rebotan. Cada año que pasa, las cuentas de Hotmail y Yahoo abandonadas se convierten en recycled traps.
  2. Formulario sin validación de dominio. Si tu formulario de Shopify, WooCommerce o PrestaShop guarda cliente@gnail.com sin avisar, esa errata se queda y un día impacta una typo trap.
  3. Importación de listas de terceros. Compraste una base, te la pasó un comercial, o un consultor "te regaló" 5.000 contactos de un evento. Lo más probable es que esas listas vengan ya envenenadas con pristine traps.
  4. Concursos y sorteos masivos. Cuando el incentivo es muy alto (sorteo de iPhone, descuento del 50%, cupón sin compra mínima), aparecen direcciones falsas, inventadas y desechables. Y a veces, direcciones-trampa públicas que algún listo recoge para inflar su participación.
  5. Lead magnet captado en webs externas. Si captas suscriptores en blogs de invitados, intercambios de listas o partners, el filtro depende del partner. Si el partner es descuidado, te pasa el problema.

Qué pasa cuando tu campaña impacta un spam trap

Las consecuencias dependen del tipo de trap, del proveedor antispam que la opera y de cuántos impactos lleves acumulados, pero el espectro va de incómodo a catastrófico.

Daño leve (1 typo trap aislada): El proveedor de email marketing (Klaviyo, Mailchimp, Brevo) puede aplicarte una penalización temporal. La próxima campaña sale más lenta, llega a menos buzones, te muestran un aviso para revisar la lista.

Daño medio (varias recycled traps en la misma campaña): Tu sender reputation (puntuación que Gmail, Outlook y Yahoo asignan al dominio que envía) cae. Los emails empiezan a ir a la pestaña Promociones o directamente a Spam. La tasa de apertura se desploma porque ya nadie los ve. Recuperarse cuesta entre 30 y 90 días de envíos cuidadosos.

Daño grave (1 pristine trap): Spamhaus, Spamcop o UCEPROTECT añaden tu dominio o tu IP de envío a una lista negra pública. Cualquier email que envíes desde ese dominio (no solo el marketing, también las facturas, los emails transaccionales, las contraseñas de recuperación) tiene altas probabilidades de no llegar. Salir de una lista negra pública requiere demostrar que limpiaste la base y a veces cambiar de IP de envío. Puede paralizar la operativa de la tienda durante semanas.

Para entender por qué una sola dirección puede causar tanto daño, conviene saber que una sola incidencia en sender reputation arrastra todo el dominio, no solo la campaña concreta.

Cómo identificar candidatos a spam trap antes de enviar

Repetimos: nadie publica la lista de spam traps. Lo que sí puedes hacer es identificar direcciones con alto riesgo de ser una trampa. Las señales son consistentes:

  • Direcciones con dominios mal escritos. gnail.com, hotnail.com, yaho.com, gmial.com, outlok.com. Todas son candidatas a typo trap.
  • Direcciones con dominios que ya no existen. Si haces una verificación de DNS sobre el dominio (el MX record) y no responde, la dirección no puede recibir correo. Si lleva años en tu lista, posiblemente sea una recycled trap en proceso.
  • Direcciones que llevan más de 18 meses sin abrir ni hacer clic. No siempre son spam traps, pero el grupo "inactivos largos" concentra una proporción alta de cuentas abandonadas que en algún momento se convertirán en recycled traps si no las eliminas.
  • Direcciones role-based (info@, contacto@, ventas@, admin@, noreply@). No son spam traps por sí mismas, pero suelen llegar a múltiples buzones y multiplican las quejas. Algunos antispam las penalizan más duramente cuando reciben campañas comerciales.
  • Direcciones desechables. mailinator.com, guerrillamail.com, tempmail.org, 10minutemail.com y cientos similares. No son trampas, pero indican que el cliente no quería darte un email real, así que su dirección caduca y entra al ciclo de recycled traps en cuanto el dominio desechable se reutiliza.

Si tu lista tiene 10.000 contactos y un 1% (es decir, 100 direcciones) cumple varias de estas señales a la vez, ya tienes un riesgo serio de impactar al menos una trampa real en la próxima campaña grande.

Lo que NO funciona (aunque parezca razonable)

Hay tres tácticas que la gente usa pensando que protegen contra spam traps y en realidad no sirven o empeoran las cosas:

  • Enviar una campaña de "reactivación" a toda la lista. Si tu lista lleva años sin limpieza, esa campaña masiva impacta sí o sí varias recycled traps. La idea de "vamos a despertarlos" es exactamente lo que el sistema antispam está diseñado para cazar.
  • Cambiar de proveedor de email marketing. Si pasas de Mailchimp a Klaviyo manteniendo la lista sucia, el problema viaja contigo. Tu reputación está atada al dominio remitente, no al proveedor.
  • Suscribir solo a "los que abrieron en los últimos 6 meses". Es un buen filtro de actividad pero no detecta typo traps (que pueden no haber rebotado aún) ni pristine traps (que sí pueden haber sido "abiertas" si Spamhaus las marca como activas).

Lo que sí funciona es filtrar la lista por riesgo antes de enviar, eliminar los candidatos de alto riesgo, y solo después lanzar la campaña.

Cómo ClearRows ayuda a reducir el riesgo

ClearRows no detecta spam traps individuales (nadie puede, son secretas), pero sí elimina los candidatos de alto riesgo que más probabilidades tienen de ser uno.

Subes tu CSV o XLSX exportado desde Klaviyo, Mailchimp, Brevo, Shopify o WooCommerce. El análisis es gratuito, sin tarjeta y sin límite de filas. En unos minutos recibes un informe que identifica:

  • Emails con sintaxis inválida.
  • Emails con dominios que no responden a un MX lookup (el dominio no existe o no recibe correo).
  • Emails con dominios mal escritos típicos (las erratas frecuentes que candidatos a typo trap).
  • Emails desechables conocidos (más de 1.500 dominios temporales en el filtro).
  • Duplicados exactos y aproximados, que también inflan la base sin aportar valor.
  • Pérdida estimada en euros al mes por mantener esos contactos.

Si quieres además recibir el CSV ya limpio de vuelta para reimportarlo a tu plataforma de email, los precios son fijos: 67€ para bases de hasta 25.000 registros y 147€ para bases de hasta 50.000 registros. Para bases más grandes, escríbenos a daniel@clearrows.com y te pasamos un presupuesto personalizado.

Analiza tu base ahora, sin tarjeta y sin compromiso. Si después decides limpiarla, lo decides con el informe en la mano.

Preguntas frecuentes sobre spam traps en ecommerce

¿Si nunca he comprado una base, puedo tener spam traps? Sí. La mayoría de spam traps en bases de tiendas online son recycled traps: direcciones que un cliente real dejó hace años y el proveedor reactivó como trampa. No hace falta que hayas hecho nada irregular, solo que no hayas limpiado la lista en mucho tiempo.

¿Cuántos spam traps puedo permitirme antes de tener problemas? Con uno solo puedes tener problemas. Spamhaus y otros antispam reaccionan a un único impacto si la trap es del tipo pristine. Las recycled traps suelen requerir varios impactos antes de que escalen, pero la cuenta sube rápido si tu base lleva años sin limpieza.

¿Cómo sé si ya me ha pasado? Tres síntomas: la tasa de entrega cae bruscamente, el proveedor (Klaviyo, Mailchimp, Brevo) te muestra un aviso de deliverability issues, o herramientas como MXToolbox Blacklist Check marcan tu dominio o tu IP en alguna lista negra. Si ocurre, hay que parar todos los envíos masivos hasta limpiar la base.

¿La limpieza me garantiza que no va a volver a pasar? Reduce drásticamente el riesgo, pero no lo elimina al 100% porque las direcciones-trampa son secretas. Por eso la limpieza no es un evento, es un mantenimiento. Una revisión cada 3-6 meses, junto con doble opt-in activo en el formulario, deja la probabilidad de impacto en niveles muy bajos.

¿Por qué Klaviyo o Mailchimp no las eliminan automáticamente? Porque no pueden. Las listas de spam traps son privadas y los proveedores de email marketing no tienen acceso. Lo que sí hacen Klaviyo y Mailchimp es eliminar las direcciones que rebotan duro, pero eso es un paso reactivo: significa que ya enviaste el email y ya recibiste el daño. La detección preventiva (antes de enviar) requiere análisis externo del CSV.

Si llevas más de 12 meses sin limpiar tu base de clientes y vas a lanzar una campaña grande (rebajas, Black Friday, lanzamiento de producto), analiza tu base antes. Cinco minutos te pueden ahorrar 30 días de deliverability rota.