La guía definitiva de Red Sift sobre seguridad del correo electrónico
- ¿Qué tan seguro es tu correo electrónico?
- ¿De verdad cualquiera puede hacerse pasar por ti por correo electrónico?
- ¿Qué es el phishing por correo electrónico?
- ¿Qué es la ingeniería social?
- ¿Qué es el Business Email Compromise (BEC) y cómo protegerse?
- El grado de sofisticación de los ataques de phishing varía
- ¿Qué tan seguro es tu correo electrónico?
- ¿De verdad cualquiera puede hacerse pasar por ti por correo electrónico?
- ¿Qué es el phishing por correo electrónico?
- ¿Qué es la ingeniería social?
- ¿Qué es el Business Email Compromise (BEC) y cómo protegerse?
- El grado de sofisticación de los ataques de phishing varía
¿Qué tan seguro es tu correo electrónico?
¿La verdad? No mucho – especialmente con el aumento de ataques de phishing y spoofing, cada vez más sofisticados gracias a la IA, que siguen evolucionando en 2026 y cuestan millones a las empresas.
Las tecnologías para la seguridad del correo electrónico se presentan en varios formatos. Al final, todas persiguen los mismos objetivos: limitar el spam, detectar amenazas y evitar que lleguen a tu bandeja de entrada.
Normalmente, estas tecnologías identifican las características más comunes de un correo malicioso – como una dirección IP en lista negra o un dominio sospechoso – y las bloquean antes de que lleguen a la bandeja de entrada. El exact-domain-spoofing significa que un atacante usa tu dominio para enviar un correo electrónico fraudulento.
Todas las medidas de seguridad para el correo electrónico (excepto DMARC – ¡hablaremos de ello más adelante!) son ineficaces para reconocer un correo malicioso que parece provenir de un dominio legítimo.
Esto ocurre debido a una vulnerabilidad del Simple Mail Transfer Protocol (SMTP), el estándar de Internet para la transmisión de mensajes electrónicos. En octubre de 2008, la Network Working Group definió oficialmente SMTP como ‘intrínsecamente inseguro’. Declaró que cualquiera puede falsificar un dominio y enviar correos fraudulentos en nombre del propietario legítimo. Esta vulnerabilidad sigue existiendo en 2026, por lo que la autenticación de dominio ahora es una necesidad y ya no solo una recomendación.
¿De verdad cualquiera puede hacerse pasar por ti por correo electrónico?
Sí. Cualquier persona con conocimientos básicos de programación puede encontrar fácilmente en internet los pasos para hacer email spoofing – basta una búsqueda en Google. El resultado es un correo que parece completamente legítimo y que no muestra las señales típicas de phishing, como una dirección sospechosa. El servidor de correo del destinatario acepta la comunicación (si no hay medidas de seguridad adecuadas activo). En ese punto, es casi imposible reconocer que se trata realmente de un ataque de phishing con dominio falsificado.
¿Qué es un dominio falsificado?
Un dominio falsificado es un sitio web o dirección de correo fraudulenta diseñada para parecerse mucho a un dominio legítimo. Existen varias técnicas de spoofing, entre ellas:
- Exact-domain-spoofing: Cuando el atacante falsifica exactamente tu dominio. Por ejemplo, yourcompany.com
- Lookalike-domain: Cuando un atacante registra un dominio tan similar al original que es casi indistinguible. Esto también se llama typosquatting. Por ejemplo, yourc0mpany.com
- Subdomain-spoofing: En este caso, el atacante crea una subcarpeta aparentemente legítima, a menudo para robar credenciales mediante un formulario falso. Por ejemplo, login.yourcompany.com
¿Qué es el phishing por correo electrónico?
El phishing por correo electrónico ocurre cuando un atacante o 'delincuente' envía correos fraudulentos haciéndose pasar por una organización fiable, instando al destinatario a entregar información sensible como datos bancarios o personales. En ocasiones, el phishing también se utiliza para propagar malware en los sistemas de las víctimas.
Los ataques de phishing siguen aumentando año tras año. Los datos más recientes de APWG muestran que en 2026 las empresas se enfrentan a ataques más sofisticados y frecuentes que nunca: los ciberdelincuentes emplean automatización e ingeniería social de forma masiva y selectiva.
¿Qué es la ingeniería social?
Un ataque de phishing clásico suele implicar el envío de un correo fraudulento a muchos destinatarios. Pero ahora los ataques son cada vez más personalizados porque la ingeniería social utiliza técnicas psicológicas para inducir a las víctimas a entregar información sensible. Hoy en día, la web ofrece muchísima información pública – lo que facilita más que nunca atacar de forma dirigida y personalizada.
¿Qué es el Business Email Compromise (BEC) y cómo protegerse?
Business Email Compromise (BEC) es un término que designa los ataques de phishing dirigidos específicamente a empresas, usando su dominio. Algunos ataques se dirigen a consumidores, pero los ciberdelincuentes suelen tener mucho más que ganar atacando a empresas. En estos casos, el atacante utiliza ingeniería social y crea un correo de phishing que parece provenir de un empleado (normalmente el CEO). El objetivo suele ser el robo de dinero o de datos sensibles.
En 2026, los ataques BEC siguen siendo de las amenazas más costosas para las empresas. Según un análisis de la industria reciente, los ataques BEC (una forma de ingeniería social) siguen siendo muy eficaces y rentables para los ciberdelincuentes. Representan más del 50 % de todos los incidentes de ingeniería social.
Bajo el término 'Business Email Compromise (BEC)' se engloban diferentes tipos de ataque:
Ransomware
El ransomware es un malware que cifra archivos o bloquea el acceso a sistemas informáticos y exige un rescate para restaurar el acceso.
Fraude del CEO
En este caso, el atacante se hace pasar por el CEO (o un directivo) y ataca a empleados seleccionados.
Fraudes de facturas y proveedores
Los atacantes intentan lograr que las víctimas paguen una o varias facturas fraudulentas.
Robo de datos
Ataque dirigido a empleados con acceso a datos personales (PII), como los del área de recursos humanos.
Cuenta comprometida
Una cuenta comprometida significa el acceso no autorizado a una cuenta por parte de terceros, generalmente con el robo de datos sensibles o el uso indebido de la misma.
El grado de sofisticación de los ataques de phishing varía
No es sorprendente que muchos usuarios caigan en las trampas del phishing. Si un correo está bien hecho, es prácticamente imposible detectarlo. Las empresas víctimas de phishing no necesariamente cometen errores, ni los atacantes necesitan vulnerar sistemas internos. Sin embargo, muchos gobiernos y autoridades regulatorias consideran que la responsabilidad de proteger a los clientes de los ataques de phishing recae en las empresas. Las que no ofrecen una protección adecuada pueden ser consideradas responsables de posibles violaciones de datos – y enfrentar sanciones.
En la última década, los protagonistas del sector han introducido nuevos protocolos para mejorar la seguridad del correo. Sin embargo, el uso de identidades falsificadas por correo esquiva muchos de estos estándares. En 2026, la implementación correcta de DMARC se considera la principal defensa ante el domain spoofing, y los grandes proveedores de correo lo exigen a quienes envían grandes volúmenes de mensajes.
En la próxima sección encontrarás un resumen de estos protocolos y los riesgos que pretenden mitigar.
Preguntas frecuentes: Guía de seguridad del correo electrónico
Todas las medidas de seguridad del correo electrónico (excepto DMARC) son ineficaces para detectar un correo malicioso cuando parece proceder de un dominio legítimo. Esto se debe a una falla en el Protocolo Simple de Transferencia de Correo (SMTP). En octubre de 2008, el Network Working Group lo catalogó oficialmente como "intrínsecamente inseguro", señalando que cualquier persona podría suplantar un dominio y utilizarlo para enviar correos fraudulentos haciéndose pasar por el propietario.
Cualquier persona con conocimientos muy básicos de programación puede aprender los pasos necesarios para suplantar la identidad de correo de alguien mediante una rápida búsqueda en Google. El resultado es un correo que parece legítimo, sin los indicadores típicos de phishing. Con 3.400 millones de correos de phishing enviados cada día, los sistemas de correo electrónico siguen siendo el principal objetivo de los ciberdelincuentes.
SPF (Sender Policy Framework) verifica que un correo electrónico haya sido enviado desde una dirección IP autorizada por el registro SPF del dominio emisor, a través de un registro TXT en DNS que enumera los servidores de correo autorizados.
DKIM (DomainKeys Identified Mail) utiliza una firma criptográfica, validada mediante una clave pública en DNS, para confirmar que el contenido del correo no ha sido alterado y que proviene de un dominio autorizado. Ambos son esenciales para la seguridad del correo electrónico, pero ninguno previene la suplantación exacta.
Mientras que los protocolos informan al destinatario quién es el remitente, el destinatario no recibe ninguna instrucción sobre cómo actuar ante este conocimiento. Ahora, los principales proveedores de buzones requieren SPF y DKIM para los remitentes de correos masivos en 2026.
DMARC son las siglas de Domain-based Message Authentication, Reporting, and Conformance. Es un protocolo de seguridad de correo saliente que permite a los propietarios de dominio indicar a los buzones receptores que rechacen los correos suplantados. DMARC funciona combinando los resultados de SPF y DKIM para determinar si el correo es auténtico y autorizado.
La política DMARC (definida por la etiqueta "p=" en tu registro DNS) indica a los servidores destinatarios qué hacer con el correo. DMARC detiene la suplantación exacta de dominios instruyendo a los servidores destinatarios para que no acepten correos no autenticados. En 2026, DMARC se ha convertido en un requisito estándar para las organizaciones que envían correos masivos.
La especificación SPF limita las búsquedas DNS a 10. Si tu registro SPF excede este valor, SPF fallará. Los mecanismos de SPF que se cuentan son: a, ptr, mx, include, redirect y exists. En la práctica, 10 búsquedas no son suficientes porque la mayoría de las empresas utilizan varias herramientas para enviar correos.
G Suite por sí solo consume 4 búsquedas DNS, si agregas HubSpot para marketing, que utiliza 7 búsquedas, ya estarías por encima del límite. En cuanto superas las 10 búsquedas de SPF, tu tráfico de correo comenzará a fallar en la validación aleatoriamente. Por eso, en 2026, las organizaciones están migrando a la gestión dinámica de SPF, en lugar de mantener manualmente registros aplanados.
Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar que permite cifrar los mensajes enviados entre dos servidores de correo. Especifica que los correos solo pueden enviarse sobre una conexión cifrada por Transport Layer Security (TLS), lo que impide la interceptación por parte de ciberdelincuentes. SMTP por sí solo no proporciona seguridad, por lo que es vulnerable a ataques Man-in-the-Middle donde la comunicación es interceptada y posiblemente alterada.
Además, el cifrado en SMTP es opcional, lo que significa que los correos pueden enviarse en texto plano. Sin MTA-STS, un atacante puede interceptar la comunicación y forzar el envío del mensaje en texto plano. En 2026, MTA-STS se ha convertido en un control de seguridad estándar para organizaciones que gestionan comunicaciones sensibles.
Al implementar DMARC, obtiene el beneficio de detener intentos de phishing que aparentan provenir de su organización, mayor confianza por parte de clientes, reducción del riesgo cibernético y cumplimiento de los requisitos para remitentes masivos de Google, Yahoo y Microsoft.
DMARC refuerza el cumplimiento con PCI DSS 4.0 y mejora la resiliencia organizacional ante amenazas cibernéticas en evolución. Una vez en modo p=reject (aplicación), DMARC bloquea fraudes de proveedores, secuestros de cuentas y suplantación de correos al impedir que actores maliciosos utilicen su dominio para enviar correos de phishing y llevar a cabo fraudes de tipo Business Email Compromise (BEC). Según el Data Breach Investigations Report de Verizon 2025, los ataques BEC constituyen más del 17-22% de todos los incidentes de ingeniería social.
Red Sift OnDMARC acelera el proceso DMARC con descubrimiento automatizado de remitentes, correcciones prescriptivas, detección de anomalías y acceso basado en roles para equipos globales. Para 2026, las plataformas líderes permiten a las empresas alcanzar la aplicación en modo p=reject en 6-8 semanas, en lugar de los seis meses que antes eran habituales.
Uno de los beneficios más reportados de OnDMARC es el promedio de 6-8 semanas para alcanzar la aplicación total. La potente automatización de la plataforma analiza continuamente lo que sucede en su dominio, mostrando alertas sobre dónde y cómo realizar los cambios necesarios. En menos de 24 horas desde que agrega su registro DMARC único al DNS, OnDMARC empieza a analizar y mostrar los reportes DMARC en paneles claros.
Los principales proveedores de correo, incluidos Microsoft, Google y Yahoo, ahora exigen DMARC para los remitentes masivos (organizaciones que envían más de 5.000 correos al día) desde 2024-2025, y estos requisitos se han fortalecido en 2026.
Más allá de los requisitos de los proveedores de buzones, algunas industrias y reguladores gubernamentales avanzan hacia la obligatoriedad de DMARC. Las agencias federales de EE. UU. deben utilizar DMARC, al igual que los procesadores de pagos regulados por DORA. Además, implementar DMARC refuerza el cumplimiento de regulaciones como PCI DSS 4.0, GDPR y NIS2. Para equipos de ciberseguridad, correo electrónico y TI, garantizar que la seguridad de su correo electrónico cumpla con las mejores prácticas y requisitos internacionales es esencial.