En 2020, un empleado de finanzas en una empresa mediana recibió un correo del CEO solicitando una transferencia bancaria urgente. El correo venía de la dirección exacta del CEO. El estilo de escritura coincidía. La solicitud, aunque inusual, no era inverosímil—ya habían realizado transferencias de emergencia antes. El empleado envió $200,000 a una cuenta que resultó pertenecer a criminales en Europa del Este.
El CEO nunca envió ese correo. Alguien lo había suplantado.
El email spoofing es uno de esos ataques que parece que no deberían funcionar en 2024. ¿Seguro que ya sabemos verificar quién envió un correo? Pero la realidad incómoda es que el correo electrónico se diseñó en una era de confianza implícita, y ese diseño aún nos persigue. Sin contramedidas explícitas, cualquiera puede enviar un correo afirmando ser otra persona.
Por qué el spoofing es tan fácil
Para entender por qué el spoofing funciona, necesitas entender cómo funciona realmente el correo—y lo diferente que es de lo que la mayoría supone.
Cuando envías una carta física, la dirección de remitente es solo algo que escribes en el sobre. El servicio postal no la verifica. Podrías escribir la Casa Blanca como tu remitente, y la carta se entregaría sin preguntas. El correo funciona igual.
La dirección 'From' que ves en tu bandeja de entrada es solo un encabezado en el mensaje. El servidor de envío la establece a lo que quiera. No hay verificación integrada de que el servidor esté autorizado a enviar para ese dominio, ni de que la persona que envía realmente controle esa dirección.
Esto no fue un descuido—fue una decisión de diseño. Las primeras redes de correo eran comunidades pequeñas y de confianza. Todos se conocían. La idea de que alguien mentiría sobre su identidad no era una gran preocupación. Para cuando Internet creció lo suficiente como para que esto fuera un problema, el protocolo estaba demasiado arraigado para cambiar.
El resultado es que suplantar un correo no requiere herramientas ni habilidades especiales. Puedes hacerlo con unas pocas líneas de código, con software disponible gratuitamente, o incluso con configuraciones avanzadas de algunos clientes de correo. La barrera de entrada es esencialmente cero.
La anatomía de un correo suplantado
Un correo suplantado se ve exactamente como uno legítimo porque, estructuralmente, es un correo legítimo—solo que con información falsa en los encabezados.
El atacante establece el encabezado 'From' a la dirección que quiere impersonar. También podría establecer el encabezado 'Reply-To' a su propia dirección, para que las respuestas le lleguen a él en lugar del remitente suplantado. El 'envelope from' (usado para mensajes de rebote) podría ser distinto nuevamente.
Los atacantes sofisticados van más allá. Estudian el estilo de escritura del objetivo y lo imitan. Investigan la organización para que las solicitudes sean verosímiles. Cronometran sus ataques para cuando la persona suplantada está viajando o no disponible, de modo que no pueda negar rápidamente haber enviado el correo.
El correo viaja desde el servidor del atacante al servidor del destinatario. Sin comprobaciones de autenticación, el servidor receptor no tiene forma de saber que el correo es fraudulento. Lo entrega a la bandeja de entrada como cualquier otro.
Desde la perspectiva del destinatario, el correo parece completamente legítimo. La dirección 'From' es correcta. No hay señales evidentes de falsificación. Las únicas pistas pueden ser sutiles—un tono ligeramente diferente, una solicitud inusual, una dirección de reply-to que no coincide con la from. Es fácil pasarlas por alto, especialmente cuando estás ocupado.
Impacto en el negocio
El spoofing habilita varias categorías de ataque, cada una con diferentes objetivos e impactos.
El Compromiso de correo electrónico empresarial (BEC) apunta a empleados con acceso a dinero o datos sensibles. El atacante se hace pasar por un ejecutivo o socio de confianza y solicita transferencias, formularios W-2 o información confidencial. El FBI estima que el BEC causó $2.7 mil millones en pérdidas solo en 2022—más que cualquier otro tipo de ciberdelito.
Las campañas de phishing usan correos suplantados para robar credenciales a escala. Un correo que parece venir de IT pide a los empleados que 'verifiquen' sus contraseñas. Un correo de 'HR' enlaza a un portal de beneficios falso. El dominio del remitente suplantado hace que estos ataques sean mucho más convincentes que el spam evidente.
Los ataques de reputación usan tu dominio para enviar spam o malware. Incluso si los destinatarios no caen en el ataque, asocian el correo malicioso con tu marca. Tu dominio termina en listas negras. La entregabilidad de tu correo legítimo sufre. Limpiar el desastre lleva meses.
Los ataques a la cadena de suministro apuntan a tus clientes o socios. Los atacantes envían facturas desde tu dominio suplantado con detalles de pago modificados. O envían malware disfrazado como documentos que tu empresa compartiría de forma verosímil. Tus relaciones se resienten aunque no hayas hecho nada malo.
Detener el spoofing con autenticación
La buena noticia es que el email spoofing es un problema resuelto—técnicamente. La solución es la trifecta de autenticación: SPF, DKIM y DMARC.
SPF te permite publicar una lista de servidores autorizados para enviar correo por tu dominio. Cuando llega un correo afirmando ser de tu dominio, el servidor receptor puede comprobar si el servidor remitente está en tu lista. Si no, el correo es sospechoso.
DKIM añade una firma criptográfica a tus correos. La firma prueba que el correo vino de alguien con tu clave privada y que no ha sido modificado en tránsito. Los atacantes no pueden falsificar esta firma sin acceso a tu clave.
DMARC lo unifica indicando a los servidores receptores qué hacer cuando SPF o DKIM fallan, y exigiendo que el dominio autenticado coincida con la dirección visible 'From'. Con DMARC en política 'reject', los correos suplantados se bloquean antes de llegar a la bandeja de entrada.
El detalle es que los tres deben estar correctamente configurados, y DMARC debe estar en nivel de enforcement (quarantine o reject). Muchas organizaciones tienen SPF y DKIM pero dejan DMARC en 'none'—lo que proporciona monitoreo pero no protección. Es como tener una cámara de seguridad pero sin cerraduras.
El otro detalle es que la autenticación solo protege tu propio dominio. No impide que los atacantes registren dominios lookalike (yourcompany-secure.com) o usen display name spoofing ('Your Company CEO <[email protected]>'). La defensa en profundidad requiere educación de usuarios junto con controles técnicos.
Qué hacer si están suplantando tu dominio
Si descubres que están suplantando tu dominio, la respuesta depende de si tienes autenticación implementada.
Si tienes DMARC en enforcement, los correos suplantados ya están siendo bloqueados por la mayoría de los grandes proveedores de correo. Tus reportes de DMARC mostrarán el ataque—verás autenticaciones fallidas desde IPs que no reconoces. Monitorea los reportes, pero la amenaza inmediata está contenida.
Si no tienes DMARC en enforcement, estás en modo de control de daños. Implementa autenticación lo más rápido posible, pero reconoce que pasar a enforcement lleva tiempo si quieres evitar bloquear correo legítimo. Mientras tanto, comunica a tus clientes y socios sobre el ataque. Dales pautas específicas para identificar correos legítimos tuyos.
En cualquier caso, denuncia el ataque. Si es un intento de BEC, reporta al IC3 del FBI. Si es una campaña de phishing, reporta al Anti-Phishing Working Group. Si los correos suplantados se están enviando a través de un proveedor específico, reporta a su equipo de abuso. Nada de esto detendrá el ataque inmediato, pero contribuye a esfuerzos más amplios contra estas amenazas.
Por último, usa el incidente para justificar inversión en seguridad del correo. Los ataques de spoofing son viscerales y fáciles de entender. Hacen un caso convincente para los recursos necesarios para implementar una autenticación adecuada.
Frequently asked questions
¿Puede prevenirse por completo el spoofing?
El domain spoofing (suplantación exacta de tu dominio) puede prevenirse con SPF, DKIM y DMARC correctamente configurados. Los dominios lookalike y el display name spoofing requieren medidas adicionales como monitoreo de dominios y capacitación de usuarios.
¿Por qué algunos correos suplantados siguen pasando?
O bien el dominio objetivo no tiene DMARC en enforcement, o el servidor receptor no verifica DMARC. Proveedores grandes como Gmail y Outlook aplican DMARC, pero proveedores más pequeños podrían no hacerlo.
¿Cómo sé si están suplantando mi dominio?
Los reportes de DMARC muestran todo el correo que afirma ser de tu dominio, incluidos los mensajes suplantados. Sin DMARC, puede que solo te enteres cuando los destinatarios se quejan o cuando terminas en listas negras.
¿Es ilegal el spoofing?
El spoofing en sí existe en una zona gris legal, pero los ataques que habilita—fraude, phishing, suplantación—son ilegales en la mayoría de las jurisdicciones. Procesarlos es difícil cuando los atacantes están en el extranjero.