Cómo identificar y prevenir el spoofing de correo electrónico en tu dominio

El spoofing de correo electrónico sigue siendo uno de los vectores de ataque más efectivos y peligrosos para las organizaciones hoy en día. En 2024, los ataques de Business Email Compromise costaron a las organizaciones 2.7 mil millones de dólares solamente en EE. UU. [1], con más del 57% de los ataques de phishing enviados desde cuentas de correo comprometidas [2]. Para profesionales de IT y seguridad, proteger tu dominio frente a ataques de spoofing nunca ha sido más urgente.

Aquí te mostramos cómo identificar cuándo los atacantes están suplantando tu dominio e implementar medidas de prevención robustas que realmente funcionan.

Requerido:

• Acceso administrativo a los registros DNS de tu dominio
• Acceso a la infraestructura de correo electrónico (servidores, servicios de terceros)
• Conocimientos básicos de gestión de registros DNS

Útil:

• Herramientas de monitoreo de seguridad de correo o una plataforma de reportes DMARC
• Lista de todos los servicios autorizados para enviar correo en tu dominio
• Acceso a la información de cabeceras de correo desde tu sistema de correo

Tiempo requerido: La configuración inicial requiere varias horas. El monitoreo continuo exige atención semanal regular Nivel de habilidad: Intermedio (requisitos básicos de DNS)

Esta guía te acompaña en un enfoque sistemático para identificar intentos de spoofing dirigidos a tu dominio e implementar protocolos de autenticación de correo que bloqueen remitentes no autorizados. Nos centraremos en pasos prácticos y accionables que brindan una protección medible.

El proceso en 5 pasos:

1. Audita el estado actual de autenticación de correo en tu dominio
2. Identifica intentos de spoofing y remitentes no autorizados
3. Configura la autenticación SPF y DKIM
4. Implementa DMARC con un monitoreo adecuado
5. Logra la aplicación y mantén la protección continua

Resultado esperado: Visibilidad completa sobre quién envía correos usando tu dominio, con la capacidad de bloquear remitentes no autorizados y prevenir ataques de spoofing.

Qué harás: Verificar si tu dominio ya cuenta con protocolos de autenticación de correo y detectar brechas en la configuración actual.

Cómo hacerlo:

1. Usa una herramienta online de comprobación DMARC para analizar los registros DNS de tu dominio en busca de entradas SPF, DKIM y DMARC
2. Documenta qué protocolos ya están configurados y sus políticas actuales
3. Identifica todos los servicios legítimos que envían correo en nombre de la organización (plataformas de marketing, CRM, servicios de notificaciones, etc.)
4. Comprueba que cada servicio de envío esté autenticado correctamente con registros SPF y DKIM
5. Revisa la reputación actual de tu dominio usando herramientas de monitoreo de listas negras

Consejo profesional: Muchas organizaciones descubren “shadow IT” durante esta auditoría: servicios que envían correos y que los equipos utilizan sin conocimiento del equipo de seguridad. Esta es exactamente la visibilidad que necesitas antes de implementar controles más estrictos.

Resultado de éxito: Tienes un inventario completo de todas las fuentes autorizadas de envío y comprendes qué protocolos de autenticación están vigentes (si existen).

Solución de problemas: Si no logras identificar todos los servicios que envían correo, consulta a responsables de departamento sobre herramientas de terceros. Marketing, RRHH y atención al cliente suelen usar plataformas dedicadas que envían correo en nombre de tu dominio.

Qué harás: Aprender a detectar cuándo atacantes suplantan tu dominio y reconocer las señales de advertencia de ataques de spoofing.

Cómo hacerlo:

1. Analiza las cabeceras de correos sospechosos que afirman provenir de tu dominio. Busca campos “Return-Path” y “From” que no coincidan
2. Revisa las líneas “Received” en las cabeceras para identificar direcciones IP de origen que no correspondan con tus servidores autorizados
3. Busca fallos de autenticación SPF, DKIM o DMARC en las cabeceras (normalmente aparecen como resultados “fail” o “softfail”)
4. Monitorea reportes de clientes o socios que reciban correos sospechosos aparentando ser de tu dominio
5. Revisa reportes DMARC existentes (si tienes el monitoreo configurado) sobre intentos fallidos de autenticación

Consejo profesional: El spoofing de correo tiende a aumentar durante temporadas de impuestos, épocas de compras navideñas o grandes anuncios de la compañía, cuando los atacantes saben que la gente espera correos legítimos de las marcas. Monitorea más de cerca en estos periodos de alto riesgo.

Resultado de éxito: Puedes identificar con seguridad si un correo realmente proviene de tu dominio o es un mensaje falsificado, y entiendes el volumen y las fuentes de intentos no autorizados.

Solución de problemas: Si aún no recibes reportes DMARC, no tendrás datos históricos sobre intentos de spoofing. Empezarás a recolectar esta información cuando configures DMARC en los próximos pasos.

Qué harás: Configurar los protocolos básicos de autenticación que verifican tus fuentes legítimas de envío.

Cómo hacerlo:

1. Crea o actualiza tu registro SPF en DNS incluyendo todas las direcciones IP y dominios autorizados para enviar (formato: v=spf1 include:_spf.example.com ~all)
2. Asegúrate de que tu registro SPF no supere el límite de 10 consultas DNS (es un inconveniente frecuente que afecta la entregabilidad), o colabora con un proveedor DMARC que pueda solucionar esta limitación
3. Configura la firma DKIM en tus servidores y servicios de envío (cada servicio suele proporcionar instrucciones precisas para la configuración DKIM)
4. Añade las claves públicas DKIM a tus registros DNS como entradas TXT (formato: selector._domainkey.tudominio.com)
5. Prueba que SPF y DKIM funcionen correctamente enviando correos de prueba y verificando los resultados de autenticación en las cabeceras

Consejo profesional: Es sorprendentemente fácil romper un registro SPF. Las organizaciones frecuentemente superan el límite de 10 búsquedas DNS al agregar más servicios de envío. La función Dynamic SPF de Red Sift OnDMARC resuelve esto consolidando todos los servicios autorizados en un solo include dinámico que nunca supera el límite.

Resultado de éxito: Los correos de prueba enviados desde todas tus fuentes autorizadas pasan las comprobaciones de autenticación SPF y DKIM. Puedes verificar esto en las cabeceras o usando herramientas de testeo de autenticación.

Solución de problemas: Si correos legítimos empiezan a fallar después de cambios en SPF, probablemente tengas un error de sintaxis o hayas superado el límite de búsquedas. Usa una herramienta de validación SPF para identificar el problema. Si tu infraestructura de correo es compleja, considera una solución automatizada de gestión de SPF.

Qué harás: Desplegar DMARC para indicar a los servidores receptores cómo gestionar correos que fallen la autenticación, mientras recopilas información valiosa sobre el tráfico de correo.

Cómo hacerlo:

1. Crea un registro DMARC en DNS empezando con una política solo de monitoreo (formato: v=DMARC1; p=none; rua=mailto:dmarc-reports@tudominio.com)
2. Establece una dirección de correo dedicada o una plataforma de reportes para recibir los informes agregados de DMARC (estos archivos XML muestran los resultados de autenticación de todo el correo que usa tu dominio)
3. Monitorea los reportes DMARC durante un periodo de observación inicial para identificar fuentes legítimas que hayas pasado por alto en tu auditoría
4. Verifica que todos los remitentes autorizados pasen SPF o DKIM de manera constante en los reportes
5. Prepárate para endurecer tu política DMARC de monitoreo (p=none) a cuarentena (p=quarantine) y finalmente a rechazo (p=reject)

Consejo profesional: Los reportes DMARC son notoriamente difíciles de interpretar. Llegan como archivos XML que casi no se pueden leer sin herramientas especializadas. Red Sift OnDMARC procesa estos informes automáticamente y los traduce en información accionable, mostrando exactamente qué fuentes están pasando o fallando autenticación y brindando pasos de remediación específicos.

Resultado de éxito: Recibes informes agregados de DMARC regularmente, identificas las fuentes de envío en los reportes y confirmas que todo correo legítimo pasa autenticación de forma consistente.

Solución de problemas: Si no recibes reportes DMARC, revisa que tu dirección RUA esté bien escrita en el registro DMARC y que tu buzón no rechace los reportes. Algunas organizaciones usan servicios externos dedicados de reportes DMARC en vez de gestionarlo por correo.

La implementación manual de DMARC puede llevar meses a las organizaciones para lograr la aplicación total, con muchos quedándose atascados indefinidamente en modo de monitoreo debido a la complejidad de gestionar la autenticación entre múltiples fuentes de envío.

Red Sift OnDMARC ayuda a las organizaciones a lograr la aplicación total de DMARC significativamente más rápido que la implementación manual. Esto es lo que marca la diferencia:

• Servicios Dinámicos: Gestiona registros SPF, DKIM, DMARC y MTA-STS directamente desde la interfaz de OnDMARC sin tocar el DNS, eliminando errores de configuración y retrasos
• Análisis Inteligente de Reportes: Convierte complejos reportes XML DMARC en insights claros y accionables indicando exactamente qué fuentes necesitan atención
• Remediación Guiada: Proporciona instrucciones precisas para corregir fallos de autenticación, eliminando el ensayo y error al desplegar DMARC
• DNS Guardian: Monitorea de forma continua las configuraciones de subdominios y previene ataques de "SubdoMailing" que evaden DMARC
• Radar AI Assistant: Detecta y resuelve problemas de seguridad de correo hasta 10 veces más rápido usando análisis impulsado por IA

Cuándo considerar Red Sift OnDMARC:

1. Tu organización usa múltiples servicios de envío de correo que requieren coordinación en la autenticación
2. Necesitas alcanzar la aplicación DMARC rápidamente para cumplir requisitos regulatorios o de seguridad
3. A tu equipo le falta la experiencia especializada para una gestión DMARC compleja
4. Estás experimentando problemas con el límite de búsquedas SPF que afectan la entregabilidad
5. Quieres monitoreo continuo y alertas automáticas de amenazas de seguridad por correo

Qué harás: Endurecer progresivamente tu política DMARC para bloquear activamente correos falsificados, completando la protección de tu dominio.

Cómo hacerlo:

1. Tras confirmar que todo correo legítimo pasa la autenticación de forma consistente durante un periodo de observación suficiente, actualiza tu política DMARC a cuarentena (p=quarantine)
2. Monitorea los reportes DMARC durante la fase de cuarentena para detectar remitentes legítimos que puedan fallar de forma intermitente
3. Resuelve fallos de autenticación para los remitentes legítimos antes de avanzar
4. Una vez tengas tasas de pase del 100% para los autorizados, actualiza la política a rechazo (p=reject) para aplicación total
5. Configura monitoreo y alertas automáticas para detectar rápidamente nuevos problemas de autenticación

Consejo profesional: No te apresures a la aplicación total. Las organizaciones que saltan la fase de monitoreo suelen descubrir demasiado tarde que han bloqueado correos empresariales importantes. Eso sí, no te quedes en modo monitoreo para siempre. Pasa a la aplicación cuando hayas validado todas tus fuentes autorizadas.

Resultado de éxito: Tu política DMARC está configurada en rechazo (p=reject), los correos no autorizados usando tu dominio están siendo bloqueados por los servidores de recepción y todo el correo legítimo llega correctamente. Recibes reportes mostrando correos falsificados que han sido rechazados.

Solución de problemas: Si correos legítimos son rechazados después de aplicar el rechazo, revierte temporalmente a cuarentena mientras investigas. Consulta los reportes DMARC para identificar la fuente de envío que está fallando y colabora con ese proveedor para corregir SPF o DKIM.

• Por qué ocurre: Las organizaciones escuchan sobre el requerimiento de DMARC y agregan el registro sin asegurarse de que SPF y DKIM funcionen correctamente
• Cómo evitarlo: Siempre configura y verifica SPF y DKIM antes de añadir DMARC
• Si ocurre: Tu política DMARC no te protegerá porque todo el correo fallará autenticación. Retrocede y configura correctamente SPF y DKIM primero

• Por qué ocurre: Los equipos de seguridad buscan protección inmediata y saltan las fases de monitoreo y cuarentena
• Cómo evitarlo: Sigue el enfoque de aplicación progresiva (none → quarantine → reject) con periodo de monitoreo suficiente en cada etapa
• Si ocurre: Correos legítimos pueden ser bloqueados. Vuelve inmediatamente a política de monitoreo y audita adecuadamente todas las fuentes de envío

• Por qué ocurre: Los equipos añaden “include” al SPF sin contar las búsquedas DNS
• Cómo evitarlo: Usa un validador SPF para comprobar el número de búsquedas antes de publicar cambios o usa soluciones Dynamic SPF
• Si ocurre: La entregabilidad del correo puede romperse totalmente. Tendrás que consolidar tu registro SPF, usar aplanamiento SPF o implementar una solución gestionada

• Por qué ocurre: Los equipos tratan DMARC como “configurar y olvidar” tras lograr la aplicación
• Cómo evitarlo: Configura monitoreo y alertas automáticas para fallos de autenticación
• Si ocurre: No te enterarás cuando se implementen nuevos servicios de envío sin autenticación, lo que puede provocar fallos en correos legítimos

Indicadores clave:

• El 100% de los correos legítimos desde tu dominio pasan autenticación SPF o DKIM
• Tu política DMARC está configurada en rechazo (p=reject), bloqueando activamente correos falsificados
• Los reportes DMARC muestran significativamente menos o ningún intento de envío no autorizado
• Cero problemas de entregabilidad con correos legítimos
• Mejor reputación de dominio y tasas de entrada a la bandeja de entrada

Una vez que tengas DMARC en aplicación, considera las siguientes protecciones adicionales:

Protección de subdominios: Muchos atacantes pasan a usar subdominios cuando se bloquea el spoofing del dominio principal. Configura registros DMARC para subdominios clave y usa herramientas de monitoreo DNS para detectar registros mal configurados u órfanos.

Implementación de BIMI: Una vez tengas enforcement en p=reject, implementa BIMI (Brand Indicators for Message Identification) para mostrar tu logo de marca verificado en clientes de correo compatibles. Los estudios muestran que BIMI puede mejorar la tasa de apertura ayudando a que tus correos destaquen y generando confianza visual.

Implementación de MTA-STS: Agrega Strict Transport Security para el agente de transferencia de correo para asegurar la entrega cifrada y prevenir ataques "man-in-the-middle" en tu tráfico de correo.

Monitoreo continuo de amenazas: Usa plataformas de seguridad de correo que brinden alertas en tiempo real sobre intentos de spoofing, registros de dominios similares y anomalías de autenticación.

Acciones inmediatas:

• Realiza una comprobación DMARC en tu dominio para conocer tu estado actual de autenticación
• Empieza a catalogar todos los servicios de envío de correo que utiliza tu organización
• Prepara un plan para implementar SPF, DKIM y DMARC siguiendo los pasos anteriores

Mantenimiento continuo:

• Revisa los reportes DMARC cada semana para monitorear la salud de la autenticación
• Actualiza los registros SPF y DKIM cada vez que se añadan nuevos servicios de envío
• Monitorea mensualmente la reputación de dominio y las métricas de entregabilidad
• Realiza auditorías periódicas para asegurar que la autenticación se mantenga bien configurada

El spoofing de correo representa una amenaza crítica para la seguridad y la reputación de tu organización. La buena noticia es que, con los protocolos de autenticación adecuados, puedes bloquear de forma efectiva remitentes no autorizados y proteger tu dominio de ataques de suplantación. Ya sea mediante implementación manual o con una plataforma automatizada como Red Sift OnDMARC, lo más importante es comenzar hoy mismo.

[1] Federal Bureau of Investigation. "Internet Crime Report 2024: Business Email Compromise Losses." DeepStrike. https://deepstrike.io/blog/Phishing-Statistics-2025

[2] KnowBe4. "Phishing Threat Trends Report 2025: Compromised Account Statistics." KnowBe4 Research, marzo de 2025. https://www.knowbe4.com/hubfs/Phishing-Threat-Trends-2025_Report.pdf

[3] Fanelli, Bill P. "DMARC: The Frontline Defense Against Phishing and Domain Spoofing." Homeland Security Today, octubre de 2025. https://www.hstoday.us/subject-matter-areas/cybersecurity/dmarc-the-frontline-defense-against-phishing-and-domain-spoofing/