El Peligro de la Suplantación Exacta de Correo: Cómo Proteger tu Negocio
Email spoofing y suplantación: técnicas, riesgos reales y cómo implementar defensas que funcionan.
D. Laura Fuentes Osorio
Fundadora · Felindra
Recibiste un correo de tu banco. El logo está perfecto, el tono es el de siempre, el número de referencia existe. Te pide que confirmes tus datos bancarios porque hay 'actividad sospechosa'. Tu pulso se acelera. Haces clic en el enlace. Ingresas tus credenciales.
Pero ese correo no vino de tu banco. Vino de alguien que sabe exactamente cómo imitar el formato, la voz y el contexto de tu banco. Es un arte. Se llama email spoofing o suplantación de correo, y es una de las técnicas más simples y más efectivas para robar información, dinero o credenciales.
Lo más aterrador es que muchas personas y empresas creen que están protegidas solo porque reconocen el dominio. No. La protección real es técnica, y requiere trabajo. Vamos a entender cómo funciona el ataque y, más importante, cómo defenderlo.
Cómo funciona la suplantación de correo (email spoofing)
Cuando envías un correo, tu servidor de correo incluye información sobre quién lo envía: el servidor SMTP, el remitente, la autenticación. Pero muchos servidores de correo antiguos o mal configurados no validan esta información correctamente. Un atacante puede decir 'soy contacto@tuempresa.com' sin tener acceso real a esa cuenta.
El resultado es que recibes un correo que parece venir de tu jefe, de tu banco, de un cliente importante, pero que realmente fue enviado por alguien más. Si además el atacante replica el diseño del correo (logo, colores, firma) con exactitud, la víctima típica no tiene forma de saber que es falso.
Lo peor es que la mayoría de clientes de correo no muestran claramente si un correo fue autenticado o no. Ven un logo y un dominio, y asumen que es legítimo. Ese es el punto débil que los atacantes explotan.
SPF, DKIM y DMARC: Las tres defensas que importan
SPF (Sender Policy Framework) es el más básico. Le dice al servidor receptor: 'Los correos legítimos de mi dominio vienen de estos servidores IP específicos'. Si un correo viene de otra IP pero dice ser tuyo, SPF lo rechaza.
DKIM (DomainKeys Identified Mail) es más sofisticado. Tus servidores firman criptográficamente cada correo. El receptor puede verificar esa firma y confirmar que realmente vino de ti, y que no fue modificado en el camino.
DMARC (Domain-based Message Authentication, Reporting and Conformance) une los dos anteriores y agrega instrucciones: 'Si falla SPF o DKIM, rechaza el correo o cuarentena'. También te envía reportes de quién intentó suplantar tu dominio.
Si implementas los tres correctamente, has cerrado el vector de ataque más común. Un atacante aún podría intentar, pero los servidores receptores modernos lo rechazarán inmediatamente.
Casos reales de suplantación que costaron millones
En 2016, un empleado de Google recibió un correo de 'HR' pidiendo que actualizara sus datos fiscales. Se veía real. Era fake. El atacante le robó las credenciales corporativas y obtuvo acceso a sistemas internos. Costó cifras de siete dígitos en remediación.
Un negocio de exportación en México recibió un correo del 'gerente de operaciones' solicitando que transfiriera fondos a una nueva cuenta bancaria del proveedor. El correo parecía completamente legítimo. El dinero se fue. Solo cuando el proveedor real preguntó por el pago se dieron cuenta del fraude.
Una empresa de consultoría recibió correos de 'clientes' pidiendo facturas de proyectos antiguos. El atacante iba acumulando nombres reales de empleados, clientes y proveedores. Luego enviaba correos aún más convincentes. Por suerte fueron descubiertos antes de que el daño fuera mayor.
Cómo implementar defensas en tu negocio
Primero, si usas un servicio de correo corporativo (Google Workspace, Microsoft 365, etc.), ellos ya han configurado SPF, DKIM y DMARC por defecto. Pero debes verificarlo. Entra en tu consola de administración, busca la sección de autenticación y asegúrate de que todos están habilitados.
Segundo, configura políticas DMARC estrictas. No solo rechaces correos que fallen. Pídele a los receptores que te envíen reportes de intentos de suplantación. Estos reportes te ayudan a identificar a atacantes y a otros proveedores que podrían estar enviando correos 'como ti' sin autorización.
Tercero, educa a tu equipo. La mejor protección técnica falla si alguien hace clic en un enlace malicioso de todas formas. Adiestra a tus empleados a desconfiar de correos inesperados, a verificar direcciones de correo completas (no solo el nombre), y a reportar sospechosos.
Cuarto, implementa verificación de dos factores en todas las cuentas críticas. Incluso si un atacante roba credenciales vía suplantación de correo, no puede entrar sin el segundo factor.
Señales de alerta que debería conocer tu equipo
Un correo de un jefe pidiendo una transferencia urgente sin ir por los canales normales. Siempre verifica directamente con el jefe, por teléfono o mensaje directo, antes de hacer nada.
Un correo de un 'proveedor' diciendo que cambió su número de cuenta. Nunca cambies información bancaria basándote en un correo. Verifica directamente con el proveedor usando un número de contacto que ya tengas.
Un correo con pequeños errores de ortografía o gramática cuando normalmente los correos de esa fuente son perfectos. Los atacantes a veces se apresuran.
Un correo que te pide información sensible. Legítimamente, tu banco o empresa nunca te pedirá contraseñas o datos bancarios por correo. Si lo hace, es fake.
Acciones inmediatas que puedes tomar hoy
Si administras un dominio corporativo, hoy mismo: verifica que SPF, DKIM y DMARC estén configurados. Toma 30 minutos. Si no sabes cómo, pídele a tu proveedor de correo que te ayude o contrata a alguien que sepa.
Después, configura alertas. Usa servicios como MXToolbox o EasyDMARC para monitorear intentos de suplantación de tu dominio. Si alguien intenta hacerse pasar por ti, querrás saberlo.
Finalmente, en tu próxima reunión de equipo, dedica 10 minutos a explicar email spoofing. Muestra ejemplos de correos falsos. La conciencia del riesgo es la defensa más barata.
¿Por qué esto vale la pena invertir tiempo?
Porque el costo de un ataque de suplantación exitoso es alto: dinero robado, datos comprometidos, reputación dañada. El costo de implementar defensas es bajo: minutos de configuración, educación del equipo.
Es una de las pocas batallas de seguridad donde tienes todas las cartas en tu mano. No es un problema complejo o insolvible. Es técnicamente soluble. Solo necesita atención y seguimiento.
Escrito por
D. Laura Fuentes Osorio
Fundadora del estudio Felindra · Ingeniería de software, consultoría tecnológica y administración de servidores desde Orizaba, Veracruz.