Abres tu bandeja de entrada y encuentras algo perturbador: un correo enviado desde tu propia dirección. Tú no lo escribiste. No reconoces el contenido. Pero ahí está, con tu nombre, tu dominio, tu dirección exacta como remitente. Tu primera reacción es pensar que te hackearon la cuenta. Cambias la contraseña. Activas la verificación en dos pasos. Revisas los dispositivos conectados. Todo parece normal. Nadie entró a tu cuenta. Entonces, ¿cómo es posible que alguien envíe correos desde tu dirección sin tener acceso a ella? La respuesta es más simple y aterradora de lo que imaginas: nunca necesitaron tu contraseña. El protocolo de correo electrónico que usamos desde hace 40 años simplemente no verifica quién dice ser el remitente.
La Amenaza Invisible en Tu Bandeja de Entrada
El email spoofing es una técnica de suplantación de identidad donde un atacante falsifica la dirección del remitente para hacer que un correo electrónico parezca provenir de alguien más. El término viene del inglés “spoof”, que significa falsificar o engañar. Lo que hace particularmente peligrosa esta técnica es que el protocolo SMTP, el estándar principal para el envío de correos electrónicos desde los años 80, no incorpora mecanismos de autenticación del remitente. Esto significa que cualquier persona con conocimientos técnicos básicos puede manipular las cabeceras de un correo para que aparezca como enviado desde cualquier dirección.
Los ataques de Business Email Compromise aumentaron un 15% en 2025 comparado con el año anterior, según datos de LevelBlue SpiderLabs. El FBI recibió 193,407 reportes de phishing y spoofing en 2024, mientras que el Anti-Phishing Working Group registró más de un millón de ataques de phishing solo en el primer trimestre de 2025, la cifra trimestral más alta desde 2023.
Cómo Funciona el Ataque
El email spoofing puede presentarse de varias formas. En el escenario más común, los usuarios reciben correos de contactos conocidos en quienes confían. El mensaje puede incluir solicitudes urgentes de transferencias, cambios en datos bancarios de proveedores, o enlaces a sitios maliciosos. Debido a que el remitente aparenta ser legítimo, las víctimas bajan la guardia.
Otra variante ocurre cuando los usuarios reciben correos fraudulentos enviados aparentemente desde su propia dirección. Estos suelen contener amenazas de extorsión, alegando que el atacante tiene acceso a su cuenta o información comprometedora. Un tercer escenario afecta a empresas cuyas direcciones son utilizadas para atacar a terceros, dañando su reputación sin siquiera saberlo.
El proceso técnico es sorprendentemente simple. El atacante modifica los campos de la cabecera del correo, específicamente el campo “From”, para mostrar cualquier dirección de su elección. El servidor receptor, sin mecanismos de validación configurados, acepta el mensaje como legítimo. El 40% de los correos BEC en el segundo trimestre de 2025 fueron generados con inteligencia artificial, lo que ha reducido los errores gramaticales que tradicionalmente delataban estos fraudes.
El Costo Real Para Las Organizaciones
Las cifras son contundentes. El costo promedio de una brecha de datos relacionada con phishing alcanza los $4.88 millones de dólares. El FBI estima que las pérdidas por BEC en los últimos tres años superan los $8.5 mil millones de dólares. Un caso documentado involucró a una empresa de construcción en Nueva York que perdió $50 millones de dólares en un solo incidente BEC. En otro caso, un despacho inmobiliario transfirió $4.9 millones a una cuenta en Hong Kong controlada por atacantes, después de recibir una factura fraudulenta desde la cuenta comprometida de un proveedor.
El 79% de las empresas han enfrentado al menos un ataque BEC en el último año. Las pequeñas y medianas empresas son particularmente vulnerables, representando el 41% de todos los ataques BEC. Los sectores más afectados incluyen finanzas, salud, manufactura y bienes raíces.
Cómo Identificar un Correo Falsificado
Verificar la autenticidad de un correo requiere examinar sus cabeceras, algo que la mayoría de los usuarios nunca hace. En Gmail, abre el correo, haz clic en los tres puntos verticales en la esquina superior derecha y selecciona “Mostrar original”. Busca las líneas que comienzan con “Received:” para rastrear la ruta real del mensaje. En Outlook, haz clic derecho en el mensaje, selecciona “Opciones de mensaje” y revisa el campo “Cabecera de Internet”.
Las señales de alerta incluyen solicitudes urgentes que generan presión para actuar sin verificar, cambios inesperados en datos bancarios o instrucciones de pago, direcciones de respuesta diferentes a la dirección del remitente, y discrepancias sutiles en el dominio del correo. Los atacantes frecuentemente usan dominios similares como “empresa-mx.com” en lugar de “empresa.mx”, o sustituyen caracteres como la letra “l” por el número “1”.
La Defensa Técnica: SPF, DKIM y DMARC
La protección contra email spoofing requiere implementar tres protocolos de autenticación que trabajan en conjunto. SPF (Sender Policy Framework) permite a los propietarios de dominios especificar qué servidores están autorizados para enviar correos en su nombre. Esta información se publica como un registro TXT en el DNS del dominio. Cuando un servidor recibe un correo, puede verificar si el servidor de origen está en la lista autorizada.
DKIM (DomainKeys Identified Mail) añade una firma digital criptográfica a cada correo enviado. El servidor receptor puede verificar esta firma contra una clave pública publicada en el DNS del dominio, confirmando que el mensaje no fue alterado en tránsito y que fue autorizado por el dominio remitente.
DMARC (Domain-based Message Authentication, Reporting and Conformance) une ambos protocolos y añade políticas de acción. Permite al propietario del dominio especificar qué hacer con correos que fallen las verificaciones SPF o DKIM: entregarlos normalmente, enviarlos a spam, o rechazarlos completamente. DMARC también genera reportes que permiten monitorear intentos de suplantación.
A partir de 2024-2025, proveedores como Google y Yahoo han hecho obligatorio DMARC para remitentes de correo masivo. Sin embargo, muchas organizaciones aún no lo han implementado o lo tienen configurado en modo de monitoreo sin aplicar políticas de rechazo.
Medidas de Protección Inmediatas
Para usuarios individuales, la primera línea de defensa es la verificación directa. Ante cualquier solicitud inusual de transferencias o cambios en datos de pago, contacta directamente a la persona por otro medio, nunca respondiendo al mismo correo. Evita hacer clic en enlaces o abrir archivos adjuntos de correos sospechosos, incluso si parecen venir de contactos conocidos. Mantén actualizado tu software y utiliza autenticación multifactor en todas tus cuentas de correo.
Para organizaciones, implementar SPF, DKIM y DMARC es fundamental. Establece procesos de verificación para cualquier solicitud de transferencia que incluyan confirmación por un segundo canal. Capacita regularmente a tu personal para reconocer señales de phishing y BEC. Configura filtros de correo para marcar mensajes externos que intenten suplantar direcciones internas. Y considera implementar soluciones de seguridad de correo que utilicen análisis de comportamiento e inteligencia artificial para detectar anomalías.
¿Tu Organización Está Protegida?
En ONESEC realizamos evaluaciones de seguridad de correo electrónico que incluyen pruebas de spoofing, verificación de configuración SPF/DKIM/DMARC, y simulaciones de phishing para medir la resiliencia de tu equipo ante estos ataques. Si quieres saber qué tan vulnerable está tu organización al email spoofing y BEC, contáctanos en onesec.mx.
Referencias
INCIBE – Email spoofing: cuando el correo parece haber sido enviado por mí o alguien conocido. Recuperado el 18 de febrero de 2026 de https://www.incibe.es/ciudadania/blog/email-spoofing-cuando-el-correo-parece-haber-sido-enviado-por-mi-o-alguien-conocido
FBI Internet Crime Complaint Center (IC3) – 2024 Annual Report. Recuperado el 18 de febrero de 2026 de https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years
LevelBlue SpiderLabs – BEC Email Trends: Attacks up 15% in 2025. Recuperado el 18 de febrero de 2026 de https://www.levelblue.com/blogs/spiderlabs-blog/bec-email-trends-attacks-up-15-in-2025/
Cloudflare – What are DMARC, DKIM, and SPF? Recuperado el 18 de febrero de 2026 de https://www.cloudflare.com/learning/email-security/dmarc-dkim-spf/
Hoxhunt – Business Email Compromise Statistics 2026. Recuperado el 18 de febrero de 2026 de https://hoxhunt.com/blog/business-email-compromise-statistics