La guía completa de Red Sift sobre la seguridad del correo electrónico

image
Explora nuestra guía
En este capítulo
En este capítulo

¿Qué tan seguro es tu correo electrónico?

¿La verdad? No mucho – especialmente con el aumento de ataques de phishing y spoofing, cada vez más sofisticados gracias a la IA, que siguen evolucionando en 2026 y cuestan millones a las empresas.

Las tecnologías para la seguridad del correo electrónico se presentan en varios formatos. Al final, todas persiguen los mismos objetivos: limitar el spam, detectar amenazas y evitar que lleguen a tu bandeja de entrada.

Normalmente, estas tecnologías identifican las características más comunes de un correo malicioso – como una dirección IP en lista negra o un dominio sospechoso – y las bloquean antes de que lleguen a la bandeja de entrada. El exact-domain-spoofing significa que un atacante usa tu dominio para enviar un correo electrónico fraudulento.

Todas las medidas de seguridad para el correo electrónico (excepto DMARC – ¡hablaremos de ello más adelante!) son ineficaces para reconocer un correo malicioso que parece provenir de un dominio legítimo.

Esto ocurre debido a una vulnerabilidad del Simple Mail Transfer Protocol (SMTP), el estándar de Internet para la transmisión de mensajes electrónicos. En octubre de 2008, la Network Working Group definió oficialmente SMTP como ‘intrínsecamente inseguro’. Declaró que cualquiera puede falsificar un dominio y enviar correos fraudulentos en nombre del propietario legítimo. Esta vulnerabilidad sigue existiendo en 2026, por lo que la autenticación de dominio ahora es una necesidad y ya no solo una recomendación.

¿De verdad cualquiera puede hacerse pasar por ti por correo electrónico?

Sí. Cualquier persona con conocimientos básicos de programación puede encontrar fácilmente en internet los pasos para hacer email spoofing – basta una búsqueda en Google. El resultado es un correo que parece completamente legítimo y que no muestra las señales típicas de phishing, como una dirección sospechosa. El servidor de correo del destinatario acepta la comunicación (si no hay medidas de seguridad adecuadas activo). En ese punto, es casi imposible reconocer que se trata realmente de un ataque de phishing con dominio falsificado.

icon
¿Qué es un dominio falsificado?

Un dominio falsificado es un sitio web o dirección de correo fraudulenta diseñada para parecerse mucho a un dominio legítimo. Existen varias técnicas de spoofing, entre ellas:

  • Exact-domain-spoofing: Cuando el atacante falsifica exactamente tu dominio. Por ejemplo, yourcompany.com
  • Lookalike-domain: Cuando un atacante registra un dominio tan similar al original que es casi indistinguible. Esto también se llama typosquatting. Por ejemplo, yourc0mpany.com
  • Subdomain-spoofing: En este caso, el atacante crea una subcarpeta aparentemente legítima, a menudo para robar credenciales mediante un formulario falso. Por ejemplo, login.yourcompany.com

¿Qué es el phishing por correo electrónico?

El phishing por correo electrónico ocurre cuando un atacante o 'delincuente' envía correos fraudulentos haciéndose pasar por una organización fiable, instando al destinatario a entregar información sensible como datos bancarios o personales. En ocasiones, el phishing también se utiliza para propagar malware en los sistemas de las víctimas.

icon

Los ataques de phishing siguen aumentando año tras año. Los datos más recientes de APWG muestran que en 2026 las empresas se enfrentan a ataques más sofisticados y frecuentes que nunca: los ciberdelincuentes emplean automatización e ingeniería social de forma masiva y selectiva.

¿Qué es la ingeniería social?

Un ataque de phishing clásico suele implicar el envío de un correo fraudulento a muchos destinatarios. Pero ahora los ataques son cada vez más personalizados porque la ingeniería social utiliza técnicas psicológicas para inducir a las víctimas a entregar información sensible. Hoy en día, la web ofrece muchísima información pública – lo que facilita más que nunca atacar de forma dirigida y personalizada.

BEC attacks gartner quoteBEC attacks gartner quote

¿Qué es el Business Email Compromise (BEC) y cómo protegerse?

Business Email Compromise (BEC) es un término que designa los ataques de phishing dirigidos específicamente a empresas, usando su dominio. Algunos ataques se dirigen a consumidores, pero los ciberdelincuentes suelen tener mucho más que ganar atacando a empresas. En estos casos, el atacante utiliza ingeniería social y crea un correo de phishing que parece provenir de un empleado (normalmente el CEO). El objetivo suele ser el robo de dinero o de datos sensibles.

icon

En 2026, los ataques BEC siguen siendo de las amenazas más costosas para las empresas. Según un análisis de la industria reciente, los ataques BEC (una forma de ingeniería social) siguen siendo muy eficaces y rentables para los ciberdelincuentes. Representan más del 50 % de todos los incidentes de ingeniería social.

Bajo el término 'Business Email Compromise (BEC)' se engloban diferentes tipos de ataque:

Ransomware

El ransomware es un malware que cifra archivos o bloquea el acceso a sistemas informáticos y exige un rescate para restaurar el acceso.

Fraude del CEO

En este caso, el atacante se hace pasar por el CEO (o un directivo) y ataca a empleados seleccionados.

Fraudes de facturas y proveedores

Los atacantes intentan lograr que las víctimas paguen una o varias facturas fraudulentas.

Robo de datos

Ataque dirigido a empleados con acceso a datos personales (PII), como los del área de recursos humanos.

Cuenta comprometida

Una cuenta comprometida significa el acceso no autorizado a una cuenta por parte de terceros, generalmente con el robo de datos sensibles o el uso indebido de la misma.

El grado de sofisticación de los ataques de phishing varía

No es sorprendente que muchos usuarios caigan en las trampas del phishing. Si un correo está bien hecho, es prácticamente imposible detectarlo. Las empresas víctimas de phishing no necesariamente cometen errores, ni los atacantes necesitan vulnerar sistemas internos. Sin embargo, muchos gobiernos y autoridades regulatorias consideran que la responsabilidad de proteger a los clientes de los ataques de phishing recae en las empresas. Las que no ofrecen una protección adecuada pueden ser consideradas responsables de posibles violaciones de datos – y enfrentar sanciones.

En la última década, los protagonistas del sector han introducido nuevos protocolos para mejorar la seguridad del correo. Sin embargo, el uso de identidades falsificadas por correo esquiva muchos de estos estándares. En 2026, la implementación correcta de DMARC se considera la principal defensa ante el domain spoofing, y los grandes proveedores de correo lo exigen a quienes envían grandes volúmenes de mensajes.

En la próxima sección encontrarás un resumen de estos protocolos y los riesgos que pretenden mitigar.

free trial imagefree trial image
¿Quieres comprobar la seguridad de tus correos en menos de un minuto?

Preguntas frecuentes: Guía sobre la seguridad del correo electrónico

¿Por qué el correo electrónico es fundamentalmente inseguro y cómo explotan esta vulnerabilidad los atacantes?

Todas las medidas de seguridad para el correo electrónico (excepto DMARC) resultan ineficaces si un correo malicioso parece provenir de un dominio legítimo. El motivo es un defecto en el Simple Mail Transfer Protocol (SMTP). En octubre de 2008, Network Working Group lo clasificó oficialmente como "fundamentalmente inseguro" y señaló que cualquiera puede suplantar un dominio y enviar correos fraudulentos en nombre del propietario del dominio.

Cualquier persona con conocimientos básicos de programación puede, con una búsqueda rápida en Google, adquirir lo necesario para suplantar la identidad de correo electrónico de otro. El resultado es un correo que parece legítimo y no presenta señales típicas de phishing. Con 3.400 millones de correos de phishing diarios, los sistemas de correo siguen siendo el principal objetivo de los ciberdelincuentes.

¿Qué son SPF y DKIM y por qué no bastan por sí solos para proteger el correo electrónico?

SPF (Sender Policy Framework) verifica si un correo electrónico fue enviado desde una dirección IP autorizada por el registro SPF del dominio remitente. Esto se realiza a través de un registro DNS TXT que enumera los servidores de correo autorizados.

DKIM (DomainKeys Identified Mail) utiliza una firma criptográfica, validada con una clave pública en el DNS, para confirmar que el contenido del correo no ha sido modificado y proviene de un dominio autorizado. Ambas son esenciales para la seguridad del correo electrónico, pero no impiden la suplantación exacta del dominio.

Aunque estos protocolos muestran al destinatario quién envió el correo, no proporcionan instrucciones sobre cómo se debe actuar. Los principales proveedores de correo requerirán a partir de 2026 SPF y DKIM para el envío de comunicaciones masivas.

¿Qué es DMARC y cómo funciona junto a SPF y DKIM para prevenir la suplantación del dominio?

DMARC significa Domain-based Message Authentication, Reporting and Conformance. Es un protocolo de seguridad de correo saliente que permite a los propietarios de dominios informar a los buzones de destino que rechacen correos falsificados. DMARC combina los resultados de SPF y DKIM para determinar si tu correo es legítimo y está autorizado.

La política DMARC (definida por el tag “p=” en el registro DNS) indica a los servidores de destino qué hacer con estos correos electrónicos. DMARC previene imitaciones exactas del dominio al instruir a los servidores receptores para que no admitan correos no autenticados. Desde 2026, DMARC se ha convertido en el estándar para las organizaciones que envían comunicaciones masivas.

¿Qué significa el límite de 10 búsquedas SPF y cómo lo resuelven las organizaciones en 2026?

La especificación SPF limita las búsquedas DNS a 10. Si tu registro SPF supera este umbral, la verificación SPF falla. Los mecanismos contados son: a, ptr, mx, include, redirect y exists. En la práctica, 10 búsquedas suelen no ser suficientes: muchas empresas usan varias herramientas de envío de correo.

G Suite por sí solo ocupa 4 búsquedas DNS, y pueden sumarse otras 7, por ejemplo, con actividades de marketing en HubSpot, con lo que el límite se supera. Con más de 10 búsquedas SPF, la validación del correo causa errores aleatorios. En 2026, las empresas optan por una gestión SPF dinámica en lugar de tratar de mantener manualmente las configuraciones “aplanadas”.

¿Qué es MTA-STS y por qué es importante la seguridad a nivel de transporte para la protección del correo?

Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar que garantiza el cifrado de los correos enviados entre dos servidores de correo. Establece que los correos se deben enviar solo a través de una conexión cifrada con Transport Layer Security (TLS), previniendo así las interceptaciones por parte de ciberdelincuentes. El protocolo SMTP, por sí solo, no es seguro y es susceptible a ataques “man-in-the-middle”, que permiten interceptar y modificar la comunicación.

Además, el cifrado en SMTP es opcional; esto significa que los correos pueden transmitirse en claro. Sin MTA-STS, un atacante puede interceptar la comunicación y forzar la transmisión sin cifrar del mensaje. En 2026, MTA-STS representa una medida estándar de seguridad para las organizaciones que manejan comunicaciones sensibles.

¿Qué ventajas empresariales aporta la implementación de DMARC?

Implementar DMARC te permitirá bloquear intentos de phishing que aparentan provenir de tu dominio, aumentar la confianza de los clientes, reducir el riesgo cibernético y cumplir los requisitos de envíos masivos de Google, Yahoo y Microsoft.

DMARC también contribuye al cumplimiento de PCI DSS 4.0 y aumenta la resiliencia organizativa en relación con la evolución de las amenazas informáticas. Con una política configurada en p=reject (aplicación), DMARC bloquea fraudes a proveedores, el robo de cuentas y la suplantación de correos, impidiendo que terceros usen tu dominio para phishing o Business Email Compromise (BEC). Según el Data Breach Investigations Report de Verizon 2025, más del 17–22% de todos los incidentes de ingeniería social corresponden a ataques BEC.

¿Cuánto tiempo suele requerir una implementación de DMARC y qué distingue a Red Sift OnDMARC?

Red Sift OnDMARC acelera la adopción de DMARC gracias a la búsqueda automatizada de remitentes, sugerencias prácticas, detección de anomalías y acceso basado en roles para equipos globales. En 2026, las plataformas líderes permiten que las empresas alcancen la plena aplicación p=reject en 6–8 semanas en lugar de los seis meses tradicionales.

Una de las ventajas más citadas de OnDMARC es el tiempo medio de 6–8 semanas hasta lograr la plena enforcement. La robusta automatización de la plataforma analiza constantemente todos los eventos en tu dominio y proporciona recomendaciones y sugerencias sobre las acciones necesarias. Ya 24 horas después de agregar tu registro DMARC personalizado en DNS, OnDMARC empieza a analizar los informes DMARC y a presentarlos en paneles claros.

¿Qué requisitos e indicaciones globales existen desde 2026 para DMARC?

Los mayores proveedores de correo como Microsoft, Google y Yahoo exigen desde 2024–2025 DMARC para quienes realicen envíos masivos (es decir, organizaciones que superan los 5.000 correos diarios), y estos requisitos ya son estándar en 2026.

Además de las exigencias de los proveedores de correo, sectores y normativas regulatorias enteras adoptan cada vez más DMARC. Las agencias federales de EE. UU. deben usar DMARC, al igual que los proveedores de servicios de pago regulados por DORA. Además, implementar DMARC refuerza el cumplimiento de normativas como PCI DSS 4.0, GDPR y NIS2. Para los equipos de ciberseguridad, seguridad del correo y TI, es esencial alinear la protección del correo electrónico organizacional con las mejores prácticas y requisitos internacionales.