Recibes un correo de tu banco, tu jefe o incluso de ti mismo, y el remitente parece legítimo al milímetro. Eso es email spoofing: la técnica que permite suplantar el remitente de un mensaje para que parezca enviado por alguien que no lo ha enviado. El correo falso aprovecha que el protocolo SMTP, diseñado en 1982, nunca verificó la identidad del emisor. Falsificar la cabecera From es trivial sin las protecciones anti spoofing email adecuadas (SPF, DKIM, DMARC). Según datos de la APWG correspondientes a 2024, el phishing basado en suplantación sigue siendo el vector inicial de la mayoría de brechas corporativas reportadas. Aquí explicamos cómo funciona la mecánica, qué señales lo delatan y qué configurar para que tu dominio no acabe en una campaña fraudulenta.
Qué es exactamente el email spoofing y por qué funciona
El spoofing de correo consiste en manipular las cabeceras de un mensaje SMTP para que el campo From muestre una dirección que el atacante no controla. El protocolo original (RFC 821, ampliado en RFC 5321) separa el sobre del mensaje (MAIL FROM) de la cabecera visible (From:). Un servidor mal configurado acepta ambos valores sin contrastarlos.
Esa es la grieta. Cualquiera con un servidor SMTP y conocimientos básicos puede enviar un mensaje firmado aparentemente por director@empresa.com. Sin SPF, DKIM ni DMARC publicados, el receptor no tiene forma técnica de descartarlo. La víctima ve el nombre, confía y hace clic.
Hay tres variantes principales que conviene distinguir:
- Display name spoofing: el atacante pone tu nombre real como remitente visible, pero el correo sale desde una dirección distinta (típico en móvil, donde el cliente oculta la dirección).
- Domain spoofing exacto: usa tu dominio real (tubanco.com) gracias a la ausencia de DMARC en modo reject.
- Cousin domain o typosquatting: registra tubanc0.com o tu-banco.com. No es spoofing puro, pero el efecto psicológico es idéntico.
La industria del fraude lleva décadas explotando estas grietas. El ataque BEC (Business Email Compromise) a Pathé en 2018, que costó aproximadamente 19 millones de euros al grupo cinematográfico, demuestra que el problema no es teórico.
Las tres barreras técnicas: SPF, DKIM y DMARC
La defensa contra el from falso se apoya en tres registros DNS que trabajan juntos. Faltan en demasiados dominios corporativos españoles, según diversas auditorías de ciberseguridad publicadas en los últimos años.
SPF (Sender Policy Framework): lista qué servidores están autorizados a enviar correo en nombre de tu dominio. Se publica como un registro TXT. Si recibes un correo supuestamente de piqture.cat pero el servidor emisor no está en el SPF, el receptor puede rechazarlo.
DKIM (DomainKeys Identified Mail): firma criptográficamente cada mensaje saliente con una clave privada. El receptor verifica la firma con la clave pública publicada en DNS. Si la firma no cuadra, el mensaje fue alterado o no proviene del emisor legítimo.
DMARC (Domain-based Message Authentication, Reporting and Conformance): la pieza que une todo. Indica al receptor qué hacer cuando SPF o DKIM fallan: none (solo reportar), quarantine (a spam) o reject (rechazar). Sin DMARC en p=reject, las dos primeras barreras pierden buena parte de su valor.
| Registro | Función | Ejemplo |
|---|---|---|
| SPF | Autoriza servidores emisores | v=spf1 include:_spf.google.com ~all |
| DKIM | Firma criptográfica del mensaje | selector._domainkey TXT con clave pública |
| DMARC | Política de actuación | v=DMARC1; p=reject; rua=mailto:dmarc@tudominio.com |
Configurar los tres correctamente requiere cierto rigor técnico. Si gestionas un dominio corporativo y no sabes por dónde empezar, conviene apoyarse en un equipo de WordPress profesional o consultoría especializada que revise también la cabecera DNS, no solo la web.
Señales de alerta: cómo detectar un correo suplantado
Aunque tu proveedor no haya aplicado las protecciones, hay indicadores manuales que delatan un correo falsificado. La mayoría requieren mirar más allá del nombre visible.
- Inspecciona la cabecera completa. En Gmail, "Mostrar original"; en Outlook, "Propiedades del mensaje". Busca los campos Authentication-Results: si pone spf=fail o dmarc=fail, sospecha.
- Compara MAIL FROM y From. Si el sobre dice noreply@servidor-raro.ru pero el From muestra banco@santander.es, tienes spoofing puro.
- Revisa el Reply-To. Una técnica habitual es mostrar From legítimo pero redirigir las respuestas a un buzón controlado por el atacante.
- Mira el Return-Path. Suele revelar el dominio real desde donde se originó el mensaje.
- Hover sobre los enlaces. Si el dominio del enlace no coincide con el supuesto remitente, es trampa.
El contenido también delata. Urgencia artificial, faltas de ortografía sutiles, peticiones de credenciales o de transferencias urgentes son banderas rojas clásicas. Si combinas estas señales con la lectura técnica de cabeceras, el porcentaje de aciertos sube considerablemente.
Para correos con adjuntos sospechosos, los riesgos se multiplican: te recomendamos revisar nuestro artículo sobre malware en adjuntos de email antes de abrir nada. Y si el adjunto activa un proceso silencioso, podrías estar ante un backdoor que abre acceso remoto sin que lo notes.
Herramientas reales para protegerte y verificar
No hace falta montar un SOC casero. Hay utilidades gratuitas y bien mantenidas que cubren la mayoría de necesidades para usuarios y administradores.
- MXToolbox: comprueba SPF, DKIM, DMARC y blacklists de cualquier dominio. Útil antes de auditar un cliente.
- DMARC Analyzer y Postmark DMARC: agregan los informes XML que envían los receptores y los traducen a paneles legibles.
- Have I Been Pwned: te avisa si tu dirección apareció en una brecha. Si tu correo está expuesto, las campañas de spoofing dirigidas son más probables.
- VirusTotal: escanea adjuntos y URLs sospechosas con más de 70 motores. Pegar la URL antes de hacer clic es un hábito barato y útil.
- Google Postmaster Tools: si gestionas un dominio que envía marketing, monitoriza tu reputación y detecta usos fraudulentos.
Para una protección real, las soluciones anti spoofing email a nivel empresarial combinan estos registros con motores de IA que analizan patrones de comportamiento. Herramientas como MataSpam trabajan justo en ese terreno: aprender qué es legítimo y qué huele a fraude.
Marco legal en España y la UE: lo que cubre la normativa
El email spoofing no es un delito tipificado de forma específica en el Código Penal español, pero las acciones derivadas sí lo son. El artículo 248 tipifica la estafa informática, y el 197 protege la intimidad y el descubrimiento de secretos. Cuando hay suplantación con perjuicio económico, también puede entrar en juego el 401 (usurpación de estado civil) según la jurisprudencia aplicable.
A nivel europeo, el Reglamento (UE) 2016/679 (RGPD) obliga a notificar brechas de datos en 72 horas. La Directiva NIS2, traspuesta en España mediante el Real Decreto-ley 7/2024, refuerza las obligaciones de ciberseguridad de empresas medianas y grandes en sectores esenciales, incluyendo controles sobre correo corporativo.
Denunciar es posible y recomendable. El canal habitual es el Grupo de Delitos Telemáticos de la Guardia Civil o la Brigada Central de Investigación Tecnológica de la Policía Nacional. INCIBE también ofrece su línea 017 para asesoramiento, especialmente útil para pymes y autónomos sin equipo técnico interno.
Preguntas frecuentes
¿Puedo saber si alguien está suplantando mi dominio ahora mismo?
Sí. Publica un registro DMARC con la opción rua apuntando a un buzón tuyo y los principales receptores (Google, Microsoft) te enviarán informes diarios en XML. Si ves envíos desde IPs que no son tuyas, alguien está usando tu dominio.
¿Por qué a veces mis propios correos llegan a spam?
Suele ser por SPF o DKIM mal configurados, o por enviar desde un servidor con mala reputación. Comprueba tu dominio en MXToolbox y revisa que todos los servicios que envían en tu nombre (CRM, newsletter, hosting) estén incluidos en el SPF.
¿DMARC en modo p=reject puede hacerme perder correos legítimos?
Puede, si no haces la transición correctamente. La práctica recomendada es empezar con p=none durante semanas, analizar los informes, ajustar SPF y DKIM, pasar a p=quarantine y solo entonces a p=reject. Saltarse pasos rompe envíos legítimos.
¿El spoofing funciona también con SMS y WhatsApp?
El concepto sí existe (SMS spoofing, smishing), pero la técnica es distinta. WhatsApp tiene cifrado extremo a extremo y verificación por número, lo que dificulta la suplantación directa. En SMS, las cabeceras de operador permiten cierto grado de falsificación que la mayoría de países está regulando.
¿Qué hago si he respondido a un correo suplantado con datos sensibles?
Cambia inmediatamente las contraseñas afectadas y activa autenticación en dos factores donde sea posible. Si compartiste datos bancarios, contacta con tu banco y bloquea la operativa. Denuncia el incidente y guarda capturas de cabeceras completas como evidencia.
El siguiente paso
Abre ahora una nueva pestaña, ve a mxtoolbox.com/dmarc.aspx y comprueba el estado de DMARC de tu dominio principal. Si el resultado es "No DMARC Record Found" o "p=none", tienes una tarea concreta para esta semana: pedir a tu proveedor de hosting que publique al menos un registro DMARC en modo monitorización. Es gratis, lleva diez minutos y empieza a generar informes desde el primer día.
