• Cómo funciona la suplantación de identidad en el correo electrónico como servicio y cómo evitarla

Cómo funciona la suplantación de identidad en el correo electrónico como servicio y cómo evitarla

Blog

Descubre cómo funcionan las plataformas de suplantación de correo electrónico como servicio, cuáles son sus riesgos (phishing, fraude BEC) y cómo los protocolos DMARC, SPF y DKIM pueden proteger tu dominio.

por Ahona Rudra

Última actualización:
Tiempo de lectura: 7 minutos
Cómo funciona la suplantación de identidad en el correo electrónico como servicio y cómo evitarla

Infórmate sobre la suplantación de identidad en el correo electrónico como servicio, sus riesgos y cómo puedes protegerte contra ella. Mitiga las amenazas mediante una autenticación adecuada, gracias a PowerDMARC.

Puntos clave

  1. La suplantación de identidad en el correo electrónico consiste en enviar mensajes con una dirección de remitente falsificada, lo que facilita el phishing y la distribución de malware.
  2. El servicio de suplantación de identidad en el correo electrónico permite a los usuarios enviar correos electrónicos falsificados de forma fácil y anónima a cambio de una cuota.
  3. Esto plantea riesgos importantes, ya que permite a los atacantes suplantar la identidad de entidades de confianza, lo que puede dar lugar a posibles filtraciones de datos y pérdidas económicas.
  4. Los ataques BEC perpetrados mediante la suplantación de identidad en el correo electrónico suponen a las empresas pérdidas de miles de millones de dólares al año, y el servicio de suplantación de identidad «como servicio» reduce drásticamente las barreras para lanzar estos ataques.
  5. Las medidas técnicas como DMARC, SPF y DKIM pueden ayudar a las organizaciones a verificar la autenticidad de los correos electrónicos y a reducir el riesgo de suplantación de identidad.
  6. La educación de los usuarios y la aplicación de políticas estrictas de correo electrónico son esenciales para combatir la suplantación de identidad y mejorar la seguridad general.
  7. La implementación de DMARC con una política «p=reject» es la defensa técnica más eficaz contra los ataques de suplantación de identidad por correo electrónico como servicio dirigidos a tu dominio.

El correo electrónico cuenta con más de 4.000 millones de usuarios en todo el mundo, y es una herramienta esencial para las empresas. Esta popularidad conlleva sus propios retos. El auge de la suplantación de identidad por correo electrónico como servicio pone de relieve una creciente preocupación por la seguridad y la integridad de la comunicación por correo electrónico.

La suplantación de identidad en el correo electrónico es una práctica que lleva décadas existiendo. Los atacantes envían un correo electrónico con una dirección falsificada, haciendo que parezca que lo ha enviado alguien en quien confías. Esta suplantación de identidad constituye la base de estafas de phishing, las fugas de datos o la distribución de malware. 

El «spoofing como servicio» lleva esto a un nivel superior. Cualquiera puede enviar correos electrónicos falsificados, tenga o no conocimientos técnicos, con facilidad y de forma anónima.

Las consecuencias se reflejan en las cifras. Según las estadísticas de PowerDMARC sobre phishing por correo electrónico y DMARC, alrededor del 50 % de las organizaciones de la mayoría de los sectores siguen careciendo de los controles de autenticación necesarios para evitar la suplantación de dominios. Esto convierte a las plataformas de «suplantación como servicio» en una amenaza inmediata para las empresas desprotegidas.

Cómo funciona el servicio de suplantación de identidad por correo electrónico

La mayoría de los proveedores de servicios de suplantación de correo electrónico operan a través de una interfaz web o una API. Para enviar un correo electrónico suplantado, los atacantes introducen el dominio del que quieren suplantar la identidad, la dirección de correo electrónico del destinatario y el mensaje. A continuación, la plataforma falsifica el campo «De» de la cabecera, genera el correo electrónico y lo envía a través de su infraestructura en nombre del usuario del servicio a cambio de una tarifa simbólica.

El objetivo es que parezca legítimo, lo cual ocurre cuando no se verifica. El destinatario acaba viendo el correo electrónico del remitente suplantado en su bandeja de entrada, creyendo que lo ha enviado un cliente, un proveedor o un contacto de confianza.

¿Por qué es peligroso?

El concepto de un servicio de suplantación de identidad por correo electrónico es sencillo y accesible para muchos. Solo hay que pagar una pequeña cuota para acceder a una herramienta que permite enviar correos electrónicos suplantando la identidad de otra persona. El proveedor del servicio se encarga de los detalles técnicos, mientras que lo único que hay que hacer es introducir la dirección de correo electrónico del destinatario.

Es casi como enviar un correo electrónico desde Gmail o Outlook, pero en lugar de utilizar su cuenta personal y su dirección IP, utilizan las de otra persona. Los mensajes aparecen entonces en tu bandeja de entrada como si procedieran de un contacto de confianza.

Los riesgos del «spoofing» de correo electrónico como servicio

La suplantación de identidad en el correo electrónico como servicio fue el delito cibernético más frecuente en EE. UU. en 2024. Los atacantes se hacían pasar por personas u organizaciones de confianza para engañar a los destinatarios y que hicieran clic en enlaces maliciosos o facilitaran información confidencial, lo que provocaba filtraciones masivas de datos, pérdidas económicas y daños a la reputación.

También se utiliza para llevar a cabo ataques sofisticados, como las estafas de suplantación de correo electrónico empresarial (BEC). Se trata de una forma de fraude por correo electrónico dirigida a las empresas, que suele consistir en suplantar la identidad de altos ejecutivos, proveedores o socios. A lo largo de los años, esto ha supuesto por sí solo un coste de miles de millones de dólares para las empresas.

Las dos estafas por correo electrónico de tipo BEC más habituales que se llevan a cabo mediante el servicio de suplantación de identidad son:

  • Fraude del director general: Un atacante suplantó la dirección de correo electrónico del director general y ordenó al equipo financiero que realizara una transferencia urgente a la cuenta de un nuevo proveedor. El correo electrónico parecía auténtico, llegó en el momento adecuado y eludió los controles manuales.
  • Fraude en las facturas: Correos electrónicos falsos procedentes del dominio de un proveedor indican al equipo de contabilidad que actualice los datos de la cuenta bancaria antes de realizar un pago de gran cuantía, lo que permite desviar los fondos a la cuenta del atacante.

Más allá de las pérdidas económicas directas, un ataque de suplantación de identidad socava la confianza de los clientes y hace que tus correos electrónicos legítimos acaben en la lista negra de spam.

¿Cómo reconocer un correo electrónico falsificado?

Los correos electrónicos falsos no siempre son fáciles de detectar. Saber en qué fijarse es fundamental a la hora de crear un sistema de seguridad de correo electrónico sólido, sobre todo antes de que los controles técnicos estén plenamente implantados. 

  • Discrepancia en la dirección del remitente: El nombre que aparece en pantalla corresponde a un contacto conocido, pero al pasar el cursor por encima se ve que el dominio es diferente. Lo que en tu correo electrónico puede aparecer como «John Smith, director general» puede ser, en realidad, un dominio aleatorio o muy similar.
  • Urgencias o peticiones inusuales: Los correos electrónicos falsos suelen presionar a los destinatarios para que realicen acciones urgentes, como realizar transferencias bancarias, facilitar credenciales o abrir archivos adjuntos, con el fin de eludir los pasos habituales de verificación.
  • La dirección «Responder a» difiere de la dirección «De»: Los atacantes establecen una dirección de respuesta diferente para que las respuestas les lleguen a ellos, y no al correo electrónico falsificado.
  • Encabezados de autenticación fallidos: Al examinar el encabezado completo del correo electrónico se puede comprobar si el mensaje ha superado las comprobaciones de SPF, DKIM y DMARC. El fallo en cualquiera de ellas es un claro indicio de suplantación de identidad.
  • Dominios similares: Los atacantes registran dominios que se parecen mucho a los auténticos (por ejemplo, paypa1.com en lugar de paypal.com). Utiliza el comprobador de dominios similares de PowerDMARC para identificar los dominios que se hacen pasar por tu marca.

PowerDMARC’s Analizador de encabezados de correo electrónico analiza directamente los resultados de autenticación de SPF, DKIM y DMARC para realizar una inspección técnica más exhaustiva.

Prevención del suplantación de identidad en el correo electrónico como servicio

La solución para los ataques de suplantación de identidad en el correo electrónico pasa por una combinación de medidas técnicas y no técnicas. En el ámbito técnico, se da prioridad al uso de DMARC (Autenticación, Notificación y Conformidad de Mensajes Basados en Dominio), SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). 

Ellos evitan la suplantación de identidad en el correo electrónico al verificar que la dirección de correo electrónico del remitente coincide con el dominio del que afirma proceder. Para ver una comparación detallada, consulta la guía de PowerDMARC sobre SPF, DKIM y DMARC.

La implementación también debería seguir un enfoque secuencial:

  • Comprueba tu configuración actual: Utiliza el verificador de registros DMARC de PowerDMARC para comprobar si tu dominio ya tiene una política publicada y si está configurada correctamente.
  • Publica un registro SPF: Enumera todas las direcciones IP y los servicios autorizados para enviar correo electrónico en nombre de tu dominio en un registro TXT de tu DNS.
  • Activar la firma DKIM: Configura tu plataforma de correo electrónico para que firme los mensajes salientes con una clave privada DKIM, de modo que los servidores receptores puedan verificar la firma.
  • Implementa primero DMARC con p=none: Empieza por recopilar informes agregados de DMARC para identificar todas las fuentes de envío legítimas antes de pasar a la aplicación de la política.
  • Cambiar a p=reject: Una vez que todos los remitentes legítimos estén alineados, configura tu política DMARC en p=reject. Esto indica a los servidores receptores que descarten cualquier correo electrónico que no supere la autenticación, bloqueando por completo los correos electrónicos falsificados enviados desde tu dominio.

El objetivo de la capa no técnica es reducir las posibilidades de que se produzcan errores humanos. Formar a los empleados sobre los riesgos de la suplantación de identidad por correo electrónico y cómo reconocer los correos electrónicos de phishing ayuda a prevenir que los ataques tengan éxito. Además, hay que establecer y hacer cumplir políticas de correo electrónico que exijan autenticación multifactorial y contraseñas seguras.

El creciente temor a los ataques «como servicio»

En los ataques «as-a-service», un pirata informático recurre a un servicio estandarizado para llevar a cabo actividades maliciosas a gran escala. Los ataques más habituales relacionados con la seguridad del correo electrónico se clasifican en dos categorías: los ataques a la cadena de suministro y los ataques a software como servicio (SaaS).

  • En el primer caso, un atacante utiliza a un proveedor o a un tercero cuya seguridad se ha visto comprometida para acceder a la red de la empresa objetivo.
  • En los ataques de tipo SaaS, el atacante utiliza aplicaciones SaaS legítimas proporcionadas por la empresa objetivo para acceder a su red.

Los ciberataques «como servicio» se llevan a cabo de diversas formas. Al infectar un sistema con malware, los piratas informáticos consiguen acceso a datos y credenciales. También aprovechan las vulnerabilidades de aplicaciones de terceros, incluidos clientes de correo electrónico como Microsoft Outlook. Muchos atacantes envían correos electrónicos masivos falsos y muy bien elaborados desde direcciones suplantadas para obtener credenciales o autorizar transacciones fraudulentas.

El uso de herramientas de phishing basadas en inteligencia artificial es otra variante especialmente preocupante. Los atacantes recurren cada vez más a los modelos de lenguaje a gran escala (LLM) para crear a gran escala correos electrónicos falsos muy personalizados y convincentes. Las defensas tradicionales de ingeniería social resultan ineficaces frente a medidas diseñadas específicamente para eludirlas.

Lectura obligatoria: Para obtener más información sobre estas amenazas emergentes, consulta esta entrada del blog sobre Seguridad de los agentes de IA: riesgos, buenas prácticas y autenticación del correo electrónico de PowerDMARC.

El servicio de suplantación de identidad por correo electrónico es actualmente uno de los puntos de entrada más accesibles a este panorama más amplio de amenazas «como servicio». Estos servicios reducen drásticamente el nivel de conocimientos necesarios para lanzar un ataque de suplantación de identidad convincente, ya que se encargan de toda la complejidad técnica por sus clientes.

Conclusión

La suplantación de identidad en el correo electrónico como servicio se ha convertido en una amenaza generalizada para las empresas. Los atacantes utilizan estas plataformas para hacerse pasar por personas u organizaciones de confianza, lo que provoca pérdidas de datos, dinero y reputación.

Para cerrar esa puerta es necesario adoptar medidas tanto técnicas como no técnicas. Esto implica invertir en protocolos de autenticación, en la formación y sensibilización de los usuarios, y en políticas de correo electrónico seguro. 

Los servicios gestionados de DMARC de PowerDMARC facilitan el paso de la supervisión pasiva a la aplicación activa de medidas de protección del correo electrónico. Gracias a los informes DMARC automatizados, la simplificación de SPF, el DKIM alojado y la asistencia las 24 horas del día, ayudan a mantener tu dominio protegido incluso a medida que evolucionan amenazas como la suplantación de identidad en el correo electrónico.

Preguntas frecuentes

1. ¿Qué es el «spoofing de correo electrónico como servicio»?

La suplantación de identidad en el correo electrónico como servicio es un tipo de plataforma de ciberdelincuencia que proporciona a los usuarios herramientas para enviar correos electrónicos desde direcciones de remitente falsificadas a cambio de una pequeña cuota. Estos servicios se encargan de la complejidad técnica que supone la suplantación de identidad, lo que permite incluso a atacantes sin conocimientos técnicos suplantar a organizaciones o personas de confianza a gran escala.

2. ¿Cómo funciona el servicio de suplantación de identidad en el correo electrónico?

El usuario introduce la dirección de correo electrónico que desea que aparezca como remitente (la dirección «De»), la dirección del destinatario y el contenido del correo electrónico. A continuación, la plataforma falsifica la cabecera y envía el correo electrónico a través de su propia infraestructura, lo que evita que el atacante tenga que controlar el servidor de correo del dominio suplantado.

3. ¿Cómo puedo evitar que alguien suplantara mi dirección de correo electrónico?

La medida de defensa técnica más eficaz consiste en publicar un registro DMARC configurado con p=reject, respaldado por registros SPF y DKIM correctamente configurados. De este modo, se indica a los servidores de correo receptores que rechacen cualquier correo electrónico que no supere la autenticación.

4. ¿Cuál es la diferencia entre la suplantación de identidad en el correo electrónico y el phishing?

La suplantación de correo electrónico se refiere específicamente a la falsificación de la dirección de correo electrónico del remitente. El phishing es una estrategia de ataque más amplia que utiliza correos electrónicos engañosos para inducir a los destinatarios a revelar sus credenciales o a realizar acciones perjudiciales. A menudo recurre a la suplantación como técnica. Todos los correos electrónicos de phishing que se hacen pasar por una marca o persona conocida se basan en algún tipo de suplantación, pero no todos los correos electrónicos suplantados son ataques de phishing.

5. ¿Puede DMARC impedir la suplantación de identidad en el correo electrónico como servicio?

Sí. DMARC está diseñado específicamente para evitar la suplantación de dominios. Cuando tu política DMARC está configurada en p=reject, los servidores de correo receptores descartarán cualquier correo electrónico que afirme proceder de tu dominio pero que no supere las comprobaciones de autenticación SPF o DKIM. Esto significa que las plataformas de «suplantación como servicio» no pueden entregar con éxito correos electrónicos que se hagan pasar por tu dominio en las bandejas de entrada protegidas.

6. ¿Son ilegales las plataformas de suplantación de identidad por correo electrónico como servicio?

El uso de servicios de suplantación de identidad por correo electrónico para enviar mensajes fraudulentos o engañosos es ilegal en la mayoría de las jurisdicciones, en virtud de las leyes sobre fraude informático, lucha contra el spam y fraude electrónico. Sin embargo, estas plataformas suelen operar a nivel transfronterizo, lo que dificulta su control. La protección más fiable para tu organización consiste en implementar los protocolos DMARC, SPF y DKIM para impedir que los correos electrónicos suplantados lleguen a los destinatarios.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
Cómo vender servicios de seguridad del correo electrónico: una guía para los MSPCómo vender servicios de seguridad para el correo electrónico: una guía para los MSP