Guías de seguridad
¿Un correo de phishing falsificó tu propio dominio? Suplantación vs intrusión, y cómo detenerla
Un correo de phishing que parece venir de tu propio dominio casi nunca es una intrusión, sino un remitente falsificado (From). Distingue intrusión de falsificación leyendo las cabeceras y detén la suplantación con SPF, DKIM y DMARC por fases.
Un día un correo sospechoso que parece venir del dominio de tu propia empresa aterriza en tu propia bandeja de entrada. Primero — respira. En la mayoría de los casos esto no es una intrusión; es un remitente falsificado. Aquí está cómo distinguirlo, y cómo detenerlo (sin pasos de ataque).
Primero, tranquilidad: suplantación ≠ toma de control
Esta es la idea equivocada clave. El «remitente» en el sobre de un correo puede escribirlo libremente quien lo envía. Así que un solo correo con el nombre de tu dominio escrito no significa que hayan entrado en tu casa.
Dicho esto, un buzón realmente comprometido no es imposible. La forma de distinguir ambos es leer las cabeceras.
Usa las cabeceras para distinguir «intrusión» de «falsificación»
Detrás del cuerpo, cada correo lleva una «cabecera» — su registro de entrega (en Gmail: «Mostrar original»). Cinco campos importan más.
| Cabecera | Qué mirar | Cómo leerla |
|---|---|---|
| Authentication-Results | los resultados spf= / dkim= / dmarc= | dmarc=fail significa «la autenticación real no pasó = probable falsificación» |
| Received (una pila) | la línea inferior = el origen verdadero | si salió de un sitio que no es tu propio host, es una falsificación externa |
| Return-Path (remitente del sobre) | ¿coincide con el From visible? | una discrepancia es una señal de falsificación |
| Reply-To (destino de respuesta) | adónde va realmente una respuesta | el From parece interno pero Reply-To es una dirección externa no relacionada → una trampa para hacerte responder |
| X-Mailer (software de envío) | ¿un nombre sensato? | galimatías aleatorio = la huella de una herramienta de spam automatizada |
Reply-To es la que la gente pasa por alto. El From puede parecer exactamente un colega, y sin embargo una respuesta vuela a una dirección externa completamente distinta — donde te harán reenviar secretos o un contacto (un código QR de chat, etc.) para secuestrar tu canal de comunicación. No confiar en el From por su apariencia es tu defensa humana más fuerte (→ qué es el phishing).
Por qué llega siquiera a tu bandeja de entrada
Un correo falsificado se cuela — ni siquiera al spam — porque el receptor no tiene base para rechazar la falsificación.
Sin política DMARC
Sin una política DMARC en tu dominio, el receptor puede detectar la falsificación del From pero no puede verse obligado a rechazarlo. Esta es la razón más grande de que llegue a la bandeja de entrada.
Un ajuste SPF «blando»
Si SPF termina en ~all (softfail = «sospechoso pero no rechazar»), el receptor carece de una razón decisiva para descartarlo.
El reenvío rompe SPF
Reenviar un mensaje recibido a otra dirección hace que SPF parezca «pass» contra el servidor que reenvía, mientras el From sigue siendo un dominio distinto. DMARC es lo que finalmente juzga esa discrepancia.
Aquí es donde DKIM se gana su sitio. SPF se rompe a través del reenvío, pero una firma DKIM lo sobrevive. Así que el salvavidas que evita que el correo legítimo se descarte por error una vez que llegas a reject es DKIM — que es exactamente por lo que configuras DKIM primero, como base.
La corrección: SPF → DKIM → DMARC, por fases
La mecánica vive en qué son SPF / DKIM / DMARC; aquí solo está el orden seguro. La regla de hierro: nunca saltes directo a reject.
Un registro SPF correcto
Activa la firma DKIM (la base)
Inicia DMARC en p=none (solo monitoreo)
p=none más recolección de informes, y vigila durante 1–2 semanas que el correo legítimo no se descarta.Sube hasta reject
p=quarantine → p=reject. Solo cuando se logra «las falsificaciones se rechazan en el receptor» un correo como este desaparece antes de llegar a la bandeja del objetivo.La «pieza que falta» es opuesta según el dominio
Comprueba varios dominios y notarás que los huecos son a menudo imágenes espejo — porque la configuración de envío difiere, también difiere la parte que el servicio rellena por ti.
Configuración con servicio de correo
- p. ej. correo transaccional enviado mediante un servicio de entrega externo
- DKIM / DMARC tienden a autoconfigurarse en el alta
- pero SPF debes añadirlo tú mismo al DNS → ese es el hueco
Configuración por defecto del hosting
- p. ej. correo enviado directamente desde un servidor de hosting
- SPF suele estar presente desde el inicio
- pero DKIM es un interruptor manual y DMARC es tuyo de publicar → esos dos son el hueco
Ambos son «no están los tres presentes» — los huecos son solo imágenes espejo. El primer paso es saber qué patrón es tu dominio.
La visión de este sitio: configurarlo no es detenerlo — solo funciona una vez que lo verificas
En este sitio tratamos la autenticación de correo como algo que solo funciona una vez que lo verificas, no «configurar y olvidar». Puedes comprobar el estado actual de tu propio dominio de un vistazo con el verificador de SPF / DKIM / DMARC o la auditoría de seguridad del sitio. Hasta un solo valor tiene trampas — por ejemplo, poner fo en un registro sin dirección de informe de fallos (ruf) lo convierte, por especificación, en una etiqueta muerta que simplemente se ignora. Esos ajustes «inofensivos pero inútiles», detectados solo en revisión, son comunes. Y el objetivo real son dos capas: hacer que el receptor rechace la falsificación (DMARC) y hacer que la gente no responda a la trampa. Antes de la detección o los ajustes, pon primero el diseño que lo detiene por mecanismo.
Leer a continuación
- Glosario: qué son SPF / DKIM / DMARC (la mecánica)
- Glosario: qué es el phishing
- Herramientas: verificador de SPF / DKIM / DMARC / auditoría de seguridad del sitio
- Relacionado: guía de autenticación multifactor (MFA)
FAQ
QLlegó un correo usando mi propio dominio — ¿significa que hackearon mi servidor?
Normalmente no. El transporte de correo (SMTP) permite al remitente escribir la línea From libremente. Como escribir la dirección de otra persona en el reverso de un sobre, cualquiera puede enviar correo «como tu dominio» sin tocar jamás tu servidor. Así que recibir uno de esos correos no significa una intrusión. Si de verdad te comprometieron o solo te suplantaron es algo que puedes distinguir leyendo las cabeceras del mensaje.
Q¿Por qué un correo falsificado llega a la bandeja de entrada sin marcarse siquiera como spam?
Porque el receptor no tiene base para rechazar la falsificación. Si tu dominio no tiene política DMARC, el receptor puede detectar la falsificación del From pero no puede verse obligado a rechazarlo. El reenvío enturbia aún más el resultado. La corrección es configurar SPF, DKIM y DMARC y subir DMARC por fases hasta p=reject.
Q¿Por dónde empiezo?
Primero comprueba el estado actual de tu dominio (un verificador de SPF/DKIM/DMARC lo muestra de un vistazo). Luego, sin saltar a reject, inicia DMARC en p=none (solo monitoreo), confirma con los informes que el correo legítimo no se descarta, y solo entonces pasa a p=quarantine → p=reject. Activa DKIM primero, porque una firma DKIM es el salvavidas que mantiene el correo legítimo pasando a través del reenvío una vez que llegas a reject.