Comprobador de direcciones de correo electrónico falsas

Comprueba al instante si una dirección de correo electrónico es real, temporal o falsa. Detecta dominios falsificados, cuentas desechables, dominios no válidos y patrones sospechosos.

Búsqueda de DNS y MX en tiempo real Detección de direcciones de correo electrónico desechables Comprobación de SPF y DMARC 100 % gratis

Dirección de correo electrónico para verificar

Introduce una dirección de correo electrónico válida (por ejemplo, [email protected])

Índice de confianza

Cómo funciona nuestro verificador de direcciones de correo electrónico falsas

Realizamos ocho comprobaciones independientes que abarcan la sintaxis, las consultas de DNS en tiempo real, los registros de autenticación de correo electrónico y los patrones de amenazas conocidos, con el fin de ofrecerte un veredicto de fiabilidad preciso.

Introduce la dirección de correo electrónico

Introduce cualquier dirección de correo electrónico que quieras verificar, ya sea de un formulario de contacto, de un registro o de un mensaje sospechoso que hayas recibido.

8 comprobaciones realizadas al instante

Verificamos la sintaxis, consultamos el DNS en tiempo real para obtener los registros de dominio y MX, comprobamos SPF y DMARC, y buscamos proveedores de direcciones desechables y patrones de suplantación de identidad.

Consigue una valoración y una puntuación de confianza

Consulta el desglose de aprobados/suspendidos por comprobación, una puntuación de confianza del 0 al 100 y un veredicto claro: «Legítimo», «Sospechoso» o «Falso».

8 comprobaciones para detectar una dirección de correo electrónico falsa

Cada comprobación se centra en un indicador diferente. Las comprobaciones críticas —falta de dominio, ausencia de registros MX, proveedor de un solo uso— son señales de alerta inmediatas. Las comprobaciones de advertencia aportan contexto a la puntuación global de riesgo.

Validación sintáctica

Comprueba que la dirección siga el formato RFC 5322: estructura correcta, caracteres válidos, sin dos puntos dobles y dominio de nivel superior (TLD) adecuado. Una sintaxis incorrecta supone un fallo inmediato.

Búsqueda de DNS de un dominio

Consulta DNS en tiempo real para comprobar que el dominio de correo electrónico existe realmente y se resuelve. Un dominio sin registros DNS no puede ser una dirección de correo electrónico válida.

Comprobación del registro MX

Consulta el DNS en tiempo real para buscar un registro MX (Mail Exchanger). La ausencia de un registro MX significa que el dominio no puede recibir correo electrónico, lo que es un claro indicio de que la dirección es falsa o no está en uso.

Comprobación del registro SPF

Busca el registro TXT de SPF del dominio. Los dominios que carecen de SPF no cuentan con protección contra la suplantación de identidad, lo que supone una señal de alerta para las direcciones que afirman proceder de un remitente de confianza.

Comprobación del registro DMARC

Consulta _dmarc.domain para obtener una política DMARC. La ausencia de DMARC significa que el dominio no está protegido y que los atacantes pueden suplantar su identidad libremente.

Detección de direcciones de correo electrónico desechables

Comprueba si el dominio figura en una lista de más de 500 proveedores de correo electrónico temporal y desechable conocidos, como Mailinator, Guerrilla Mail, 10minutemail y otros.

Detección de typosquatting

Identifica dominios diseñados para parecer proveedores de confianza —como gooogle.com o gmial.com—, una técnica habitual en los ataques de phishing y de suplantación de identidad en el correo electrónico empresarial.

Proveedor gratuito y basado en roles

Detecta las direcciones de correo genéricas (info@, noreply@, admin@) e identifica a los proveedores de correo gratuitos. Ninguna de las dos es falsa, pero ambas conllevan un mayor riesgo y una menor capacidad de entrega.

Qué hacer si has recibido un correo electrónico falso o suplantado

Recibir un correo electrónico falso —especialmente uno que se haga pasar por una marca o un compañero de trabajo— constituye un incidente de seguridad. A continuación te indicamos qué hacer de inmediato y cómo protegerte en el futuro.

No hagas clic en ningún enlace ni descargues archivos adjuntos

Los correos electrónicos falsos suelen contener enlaces maliciosos que redirigen a páginas diseñadas para robar credenciales o archivos adjuntos que instalan malware. Pasa el cursor por encima de los enlaces para comprobar la URL antes de hacer clic, o mejor no hagas clic en absoluto.

No respondas ni facilites ninguna información

Responder a un correo electrónico falso o de phishing confirma que tu dirección está activa y es supervisada. Nunca facilites contraseñas, códigos, datos financieros ni información personal en respuesta a un correo electrónico no solicitado.

Verifícalo a través de un canal independiente y de confianza

Si el correo electrónico parece proceder de un remitente conocido (tu banco, un proveedor o un compañero de trabajo), compruébalo llamándoles directamente o iniciando sesión por tu cuenta. No utilices los datos de contacto que figuran en el correo electrónico sospechoso.

Denuncia el correo electrónico como phishing o spam

Utiliza la función «Denunciar phishing» o «Marcar como spam» de tu cliente de correo electrónico. Esto ayuda a entrenar los filtros antispam y protege a otros usuarios. También puedes informar a tu agencia nacional de ciberseguridad (por ejemplo, la CISA en EE. UU. o el NCSC en el Reino Unido).

Comprueba los encabezados del correo electrónico en busca de pistas sobre el origen

Los encabezados de los correos electrónicos revelan el servidor de envío real, la dirección IP y los resultados de la autenticación (SPF, DKIM, DMARC). Utiliza un analizador de encabezados de correo electrónico para comprobar si el mensaje procede del dominio que dice representar.

Si has hecho clic en un enlace, actúa con rapidez

Cambia las contraseñas de todas las cuentas a las que hayas accedido tras hacer clic. Activa la autenticación de dos factores. Realiza un análisis en busca de malware. Si has introducido información financiera, ponte en contacto con tu banco de inmediato y supervisa tus cuentas.

Informa a tu equipo de TI o de seguridad

Si has recibido un correo electrónico falso en tu dirección de trabajo, avisa inmediatamente a tu equipo de TI o de seguridad, aunque no hayas interactuado con él. Los ataques de BEC suelen comenzar con correos electrónicos de reconocimiento, y tu aviso podría evitar un ataque de mayor envergadura.

Si tu dominio está siendo objeto de suplantación de identidad, implementa DMARC

Si los atacantes envían correos electrónicos falsos que parecen proceder de tu dominio, implementa DMARC con una política de rechazo. DMARC indica a los servidores receptores que bloqueen los correos electrónicos no autenticados que afirmen proceder de tu dominio, protegiendo así tu marca y a tus clientes.

¿Qué es una dirección de correo electrónico falsa?

Una dirección de correo electrónico falsa es aquella que no pertenece a una persona real e identificable, que no puede recibir correos electrónicos o que está diseñada para engañar. Estas direcciones aparecen en ataques de phishing, campañas de spam, registros fraudulentos y estafas de suplantación de identidad en el correo electrónico empresarial (BEC), y suponen un coste de miles de millones para las empresas cada año.

Tipos habituales de direcciones de correo electrónico falsas

Las direcciones de correo electrónico desechables o temporales son direcciones reales creadas en servicios de un solo uso, como Mailinator o 10minutemail. Pueden recibir correos electrónicos durante un breve periodo de tiempo, pero son anónimas por naturaleza; se suelen utilizar para eludir los procesos de verificación de registro sin tener que revelar una bandeja de entrada real.

Las direcciones falsificadas suplantan la identidad del remitente para hacerse pasar por una marca o persona de confianza. El nombre que aparece puede ser «Soporte de PayPal», mientras que la dirección real es [email protected]. DMARC, SPF y DKIM están diseñados específicamente para impedirlo.

Las direcciones inexistentes utilizan dominios sin registros DNS o sin registros MX, lo que significa que los correos electrónicos que se les envíen serán devueltos. A menudo se crean de forma artificial para el envío de formularios o son generadas automáticamente por bots.

Los dominios «typosquatted» registran nombres de dominio muy similares a los de marcas de confianza —como amaz0n.com o micosoft.com— con el fin de engañar tanto a los usuarios como a los filtros automáticos. Constituyen un vector clave en las campañas de phishing dirigidas a los clientes de las principales marcas.

Por qué los correos electrónicos falsos son peligrosos

Las direcciones de correo electrónico falsas son la puerta de entrada a la mayoría de los ataques de phishing, BEC y fraude. En el caso de las empresas, provocan rebotes definitivos que dañan la reputación del remitente, distorsionan los datos analíticos, desperdician recursos de ventas en clientes potenciales inexistentes y exponen los sistemas a abusos a través de los formularios de registro.

Si hay atacantes que envían correos electrónicos falsos que parecen proceder de tu dominio, esto daña directamente la reputación de tu marca y pone en riesgo a tus clientes. Implementar DMARC con una política de rechazo es la forma definitiva de evitarlo: indica a los servidores de correo receptores que bloqueen cualquier correo electrónico que afirme proceder de tu dominio y que no haya sido autenticado mediante SPF y DKIM.

Preguntas frecuentes

¿Esta herramienta puede detectar todas las direcciones de correo electrónico falsas?

Nuestra herramienta detecta los tipos más comunes: sintaxis incorrecta, dominios inexistentes, registros MX ausentes, proveedores de correo temporal, dominios con errores ortográficos y direcciones sin SPF ni DMARC. Sin embargo, un atacante sofisticado que registre un dominio de apariencia legítima con registros MX válidos podría superar la verificación. Utiliza esto como una capa de verificación adicional junto con los protocolos de autenticación de correo electrónico.

¿Qué significa «sin registro MX» en una dirección de correo electrónico?

Un registro MX (Mail Exchanger) es el registro DNS que indica a Internet qué servidor de correo gestiona el correo electrónico de un dominio. Si un dominio no tiene registro MX, no puede recibir correo electrónico; cualquier dirección de ese dominio queda, en la práctica, inoperativa. Este es uno de los indicios más claros de que una dirección de correo electrónico es falsa o de que el dominio ha sido abandonado.

¿Qué es la suplantación de identidad en el correo electrónico y cómo funciona?

La suplantación de identidad en el correo electrónico consiste en falsificar el campo «De» de un mensaje para que parezca que procede de un remitente de confianza. Sin la autenticación DMARC, SPF y DKIM, cualquiera puede enviar un correo electrónico haciéndose pasar por cualquier dominio. Los correos electrónicos falsificados son el principal medio utilizado en los ataques de phishing, el fraude del director general y las campañas de suplantación de marca.

¿El hecho de tener una dirección de Gmail o Yahoo significa que el correo electrónico es falso?

No. Las direcciones de proveedores gratuitos como Gmail y Yahoo se utilizan ampliamente de forma legítima. Nuestra herramienta las clasifica como «informativas» porque presentan un mayor riesgo de uso indebido: cualquiera puede crear un número ilimitado de cuentas gratuitas a gran escala. La decisión final depende de la combinación de todas las señales, no de un único criterio.

¿Cómo puedo evitar que la gente envíe correos electrónicos falsos desde mi dominio?

Implementa DMARC, SPF y DKIM en tu dominio. SPF enumera los servidores autorizados para enviar correos electrónicos en nombre de tu dominio. DKIM añade una firma criptográfica a los correos electrónicos salientes. DMARC integra ambos y ordena a los servidores receptores que rechacen o pongan en cuarentena los mensajes no autenticados. Si no se implementan las tres medidas, tu dominio puede ser objeto de suplantación de identidad con total libertad.

Prueba más herramientas de autenticación de correo electrónico

Refuerza la seguridad de tu dominio con nuestras herramientas de búsqueda gratuitas:

Generador
SPF

Comprobador de
Registro SPF

Comprobador de
DKIM

Comprobador
de BIMI

Comprobador de
Registros DMARC

Acaba con la suplantación de identidad en el correo electrónico mediante la aplicación de DMARC

Si hay atacantes que envían correos electrónicos falsos desde tu dominio, DMARC los detiene. PowerDMARC facilita la implementación, la supervisión y la aplicación de DMARC, SPF y DKIM, y protege tu marca.

Reservar una demostración 15 días de prueba