Reconocimiento para el phishing: cómo los atacantes identifican y eligen como objetivo los dominios vulnerables

La mayoría de la gente piensa que el phishing es una cuestión de cantidades: enviar millones de correos electrónicos y esperar a que alguien haga clic. Algunas campañas siguen funcionando así. Pero los ataques que causan un daño real, aquellos que llegan a las bandejas de entrada de las empresas y engañan incluso a empleados con experiencia, casi nunca empiezan con el envío de un mensaje. Empiezan con una investigación.

El reconocimiento para el phishing es el proceso estructurado que utilizan los atacantes para analizar un dominio objetivo antes incluso de redactar un solo correo electrónico. Examinan los registros de autenticación, la configuración del DNS, la huella de los subdominios y la complejidad del entorno de envío. El objetivo es claro: encontrar los dominios en los que un mensaje falsificado tenga más posibilidades de eludir los filtros y llegar a una bandeja de entrada real.

Según el APWG, solo en el primer trimestre de 2025 se registraron más de un millón de ataques de phishing, y el informe IC3 de 2024 del FBI señala el phishing y el spoofing como la principal categoría de denuncias. Lo que hace posible este volumen es que la fase de reconocimiento no requiere ningún acceso especial, ni vulnerabilidades, ni herramientas privilegiadas. Se basa casi por completo en información disponible públicamente. Comprender qué pueden ver los atacantes sobre tu dominio —utilizando las mismas herramientas que ellos— es la forma más directa de cerrar las brechas de las que se aprovechan.

¿Qué es el reconocimiento de phishing?

El reconocimiento de phishing es la fase previa al ataque en la que un actor malicioso recopila información de dominio público sobre un objetivo para maximizar las probabilidades de que su campaña tenga éxito. Se trata de una forma de OSINT (inteligencia de fuentes abiertas), es decir, la recopilación de datos a partir de fuentes que ya son de acceso público, sin necesidad de realizar ningún ataque directo ni acceso no autorizado.

En el contexto del phishing por correo electrónico, el reconocimiento se centra en tres aspectos: comprender el nivel de autenticación del dominio objetivo, trazar un mapa completo de su infraestructura de envío y subdominios, e identificar el punto más débil desde el que un correo electrónico suplantado tenga más probabilidades de burlar los filtros y llegar a la bandeja de entrada. Un dominio con controles de autenticación débiles o inexistentes, con subdominios sin supervisar y un entorno de remitentes complejo y no documentado, es el objetivo ideal.

Las herramientas utilizadas en esta fase —herramientas de búsqueda de DNS, registros de transparencia de certificados, enumeradores de subdominios, registros WHOIS y servicios de verificación de correo electrónico— son todas gratuitas, están documentadas públicamente y no requieren conocimientos técnicos para su uso. El umbral para llevar a cabo un reconocimiento de phishing contra cualquier dominio es bajo. El umbral para defenderse de ello también es bajo si sabes en qué fijarte.

Fase 1: Comprobación del estado de autenticación del dominio

Lo primero que comprueba un operador de phishing es el registro DMARC del dominio. Esto se hace en cuestión de segundos con cualquier herramienta gratuita de consulta de DNS y revela de inmediato el nivel de aplicación vigente.

Consulta de la política DMARC

Lo que los atacantes esperan encontrar es «p=none», es decir, que no haya ningún registro DMARC. Un dominio con p=none ha publicado un registro DMARC —lo que significa que existe algún tipo de supervisión—, pero ha indicado a todos los servidores de correo receptores que no tomen ninguna medida cuando un correo electrónico no supere la autenticación. En la práctica, un atacante puede enviar un correo electrónico falsificado desde ese dominio; el servidor receptor puede detectar que no está autenticado y, aun así, entregarlo porque la propia política del dominio indica que no se bloquee.

Los dominios que carecen por completo de un registro DMARC están aún más expuestos. No hay instrucciones de política, ni informes agregados, ni visibilidad forense. Los atacantes buscan activamente estos dominios y los consideran objetivos prioritarios para la suplantación de identidad, precisamente porque el propietario del dominio no dispone de ningún mecanismo para detectar o bloquear los intentos de suplantación.

El valor «p=none» suele ser el punto de partida habitual para las organizaciones que están configurando el sistema de autenticación; es un punto razonable desde el que comenzar a supervisar antes de pasar a la aplicación de las normas. El problema es que muchas organizaciones empiezan ahí y nunca avanzan. Los dominios que llevan meses o años activos con el valor «p=none» constituyen un tipo de objetivo bien documentado y frecuentemente atacado en las campañas de phishing.

Inspección de registros SPF

Tras el DMARC, los atacantes comprueban el registro SPF. Un registro SPF bien configurado enumera todos los servidores autorizados para enviar en nombre del dominio y termina con «-all», lo que indica a los servidores receptores que rechacen cualquier mensaje que no figure en esa lista. Lo que buscan los atacantes es un registro SPF permisivo que termine en ~all (fallo suave, que aún así entrega el mensaje) o +all (que autoriza a cualquier remitente), o un registro SPF que haya superado el límite de diez consultas DNS, lo que provoca que falle por completo.

Un registro SPF que termina en ~all en lugar de -all supone una diferencia sutil pero significativa: los servidores receptores consideran sospechosos los fallos leves, pero suelen entregar el mensaje de todos modos, sobre todo cuando DMARC no está en modo de aplicación. Los atacantes que detectan esta combinación —SPF con ~all y DMARC en p=none— saben que los correos electrónicos falsificados procedentes de ese dominio llegarán, en la mayoría de los casos, a la bandeja de entrada.

Comprobación de la configuración de DKIM

El DKIM es un poco más difícil de inspeccionar directamente, ya que para consultar una clave pública DKIM es necesario conocer el selector que se está utilizando. Sin embargo, los atacantes pueden deducir la configuración del DKIM a partir de los informes agregados de DMARC y de los encabezados de correo electrónico observados en cualquier mensaje enviado legítimamente por el dominio objetivo. Las cabeceras capturadas de notificaciones de LinkedIn, suscripciones a comunicados de prensa o correos electrónicos de marketing revelan el selector DKIM y el dominio de firma que se están utilizando. Una vez que el atacante conoce el selector, puede consultar la clave pública y confirmar si la firma DKIM está activa y es coherente.

Los dominios que firman de forma inconsistente —es decir, aquellos en los que algunas fuentes de envío se autentican mediante DKIM y otras no— resultan especialmente atractivos. La alineación DMARC requiere que al menos uno de los dos, SPF o DKIM, supere la comprobación con alineación de identificadores. Un dominio en el que parte del tráfico se autentica y otra parte no es precisamente el tipo de entorno en el que el tráfico falsificado se mezcla con los fallos legítimos.

Fase 2: Análisis de la presencia de los subdominios y dominios

Las comprobaciones de autenticación de dominios se centran en el dominio principal. Sin embargo, la mayoría de las organizaciones tienen una presencia de dominios mucho más amplia de lo que se supervisa activamente, y el reconocimiento de phishing está diseñado para detectarla.

Enumeración de registros de transparencia de certificados

Todos los certificados SSL/TLS emitidos para un dominio se registran públicamente en los registros de transparencia de certificados (CT), que son abiertos y pueden ser consultados por cualquier persona. Herramientas como crt.sh permiten a un atacante consultar el historial completo de certificados de un dominio en cuestión de segundos, revelando todos los subdominios para los que se haya emitido algún certificado, incluidos entornos de desarrollo, servidores de prueba, micrositios regionales y páginas de campañas ya olvidadas.

Se trata de una de las técnicas de reconocimiento pasivo más potentes que existen, ya que es exhaustiva y tiene carácter histórico. Los subdominios que ya han sido desactivados, pero a los que en su momento se les expidieron certificados, siguen apareciendo en los registros de CT. Un atacante puede obtener una visión histórica completa de la huella de subdominios de una organización sin enviar ni un solo paquete al objetivo.

Enumeración de subdominios

Más allá de los registros de CT, las bases de datos de DNS pasivas y las herramientas de fuerza bruta para subdominios pueden revelar subdominios adicionales. El secuestro de subdominios —en el que el registro DNS de un subdominio olvidado sigue apuntando a un servicio fuera de servicio que un atacante puede apropiarse— es un patrón de ataque documentado que se busca específicamente durante el reconocimiento. Un subdominio con un registro CNAME «colgante» que apunte a un servicio de terceros caducado puede ser secuestrado y utilizado para enviar correos electrónicos de phishing que parezcan proceder de la organización legítima.

Los subdominios resultan especialmente valiosos para el phishing, ya que suelen quedar fuera del ámbito de autenticación que han configurado los equipos de seguridad. Un dominio en el que el dominio de envío principal tiene activada la aplicación de DMARC, pero cuyos subdominios no están cubiertos por la etiqueta «sp» de DMARC, deja todos los subdominios expuestos a la suplantación de identidad, independientemente de lo que establezca la política principal.

WHOIS e historial de registro del dominio

Los registros WHOIS revelan las fechas de registro, la información del registrador y, en algunos casos, los datos del titular. La antigüedad del dominio es un indicador que utilizan los atacantes para evaluar si un dominio cuenta con el tipo de historial de envío consolidado que dificulta el filtrado del tráfico falsificado. También utilizan el WHOIS para identificar dominios relacionados registrados por la misma organización —dominios de adquisición, registros para la protección de marcas, variantes regionales— que quizá no estén siendo supervisados de forma activa.

Fase 3: Análisis del entorno del remitente

El entorno de remitentes de un dominio —el conjunto completo de servicios y plataformas autorizadas para enviar correo electrónico en su nombre— es visible a través de los informes agregados de DMARC y puede deducirse parcialmente a partir de las cabeceras de correo electrónico observables públicamente. Para los autores de ataques de phishing, un entorno de remitentes complejo o mal documentado constituye una vulnerabilidad que pueden aprovechar.

Complejidad de los remitentes externos

Las organizaciones modernas suelen enviar correos electrónicos desde numerosas fuentes: un servidor de correo principal, una plataforma de marketing, un CRM como HubSpot, un sistema de gestión de incidencias, un proveedor de facturación o una herramienta de calendario. Cada una de ellas requiere una autorización explícita en el registro SPF y en la configuración de DKIM. Además, cada una genera entradas en los informes agregados de DMARC. En el caso de las grandes organizaciones, esos informes pueden contener miles de filas al día procedentes de docenas de fuentes de envío.

Este volumen genera ruido, y los autores de ataques de phishing lo aprovechan deliberadamente. Cuando los datos agregados de DMARC de una organización muestran cuarenta remitentes autorizados, la relación señal-ruido para detectar una fuente anómala se reduce significativamente. El tráfico de suplantación de identidad de bajo volumen —unos pocos cientos de mensajes al día procedentes de una fuente maliciosa— puede pasar desapercibido entre los datos de los informes de un entorno de envío empresarial muy activo sin activar alertas automáticas.

Encabezados de correo electrónico visibles

Los correos electrónicos legítimos enviados desde el dominio objetivo constituyen una de las fuentes más útiles de información sobre el entorno del remitente a disposición de un operador de phishing. Los boletines de marketing, las suscripciones a comunicados de prensa, las confirmaciones de solicitudes de empleo y las notificaciones a los clientes incluyen encabezados de correo electrónico que revelan la infraestructura de envío utilizada: el agente de transferencia de correo, el selector DKIM y el dominio de firma, el dominio «Return-Path» y los resultados de autenticación registrados por el servidor receptor.

Un atacante que se suscribe a la lista de marketing de una organización objetivo obtiene una visión detallada de su configuración de autenticación sin coste alguno y sin que se detecte ninguna actividad. Esta información influye directamente en la forma en que se diseña la campaña de phishing: qué remitente suplantar, qué encabezados falsificar y qué fallos de autenticación es probable que permitan el paso del mensaje.

Fase 4: Validación de los objetivos previos al lanzamiento

Una vez que se ha analizado un dominio, los autores de los ataques de phishing realizan comprobaciones adicionales antes de lanzar una campaña, con el fin de maximizar el éxito y minimizar el desperdicio de recursos.

Verificación de la dirección de correo electrónico

Los operadores comprueban que las direcciones de correo electrónico de destino estén activas y pertenezcan a personas de alto valor: ejecutivos, miembros del equipo financiero o cualquier persona con acceso a sistemas confidenciales o con autorización para aprobar pagos. El envío a direcciones inactivas genera altas tasas de rebote, lo que puede provocar una puntuación de spam en la infraestructura de envío y aumentar el riesgo de detección antes de que la campaña llegue a sus destinatarios reales.

Las direcciones de correo electrónico suelen obtenerse de LinkedIn, sitios web de empresas, bases de datos filtradas y campañas anteriores. Herramientas como theHarvester automatizan este proceso de recopilación en un dominio objetivo, extrayendo las direcciones de correo electrónico de los empleados a partir de los resultados de los motores de búsqueda, las redes sociales y los directorios públicos.

Calentamiento de la infraestructura de envío

La mayoría de los principales proveedores de correo electrónico tienen en cuenta el historial de envíos como indicador de confianza. Un dominio recién registrado que no tenga historial de envíos tiene muchas más probabilidades de ser detectado por los filtros basados en la reputación que uno ya consolidado. Por eso, los autores de ataques de phishing suelen registrar dominios similares semanas o meses antes de una campaña y realizan envíos a pequeña escala para crear una reputación inicial antes de ampliar el volumen.

La fase de preparación está diseñada para superar los mismos controles de reputación que utilizan los remitentes legítimos al incorporar nuevos dominios. Desde fuera, la infraestructura parece una nueva empresa o servicio que empieza a enviar correos electrónicos. Para cuando se lanza la campaña, el dominio ya ha superado los filtros de reputación iniciales.

Construcción de dominios homógrafos y similares

Según el Informe sobre seguridad de dominios de CSC, el 88 % de los dominios homógrafos dirigidos a grandes marcas son propiedad de terceros. Estos dominios sustituyen o insertan caracteres casi idénticos para pasar una comprobación visual rápida —«arnazon.com» en lugar de «amazon.com»—, o bien utilizan caracteres Unicode que se muestran de forma idéntica a las letras latinas en la mayoría de los clientes de correo electrónico.

Los dominios similares también se crean para suplantar el nombre que se muestra, de modo que el encabezado «From» muestra un nombre de confianza, pero el dominio remitente real es uno similar. Esta técnica elude por completo el DMARC, ya que este solo autentifica el dominio del encabezado «From» mediante SPF y DKIM, no el nombre que se muestra. Esta es una de las razones por las que la aplicación del DMARC por sí sola, aunque esencial, no es la única medida necesaria.

Cómo convertir el reconocimiento de phishing en una ventaja defensiva

Cada indicio que busca el reconocimiento de phishing es un indicio que tu equipo de seguridad puede auditar y supervisar con las mismas herramientas disponibles públicamente. El objetivo es garantizar que, cuando un atacante analice tu dominio, no encuentre nada que merezca la pena atacar: aplicación estricta de la autenticación, un entorno de remitentes documentado y ausencia de subdominios abandonados.

Revisar la política DMARC en todos los dominios y subdominios

Empieza por consultar los registros DMARC de tu dominio principal y de todos los subdominios que puedas identificar. Cualquier dominio que siga en p=none y lleve activo más de unos meses es una prioridad. El paso de p=none a p=reject no tiene por qué producirse de la noche a la mañana, pero debe seguir un calendario definido; no debe dejarse indefinidamente en modo de supervisión.

Configura explícitamente la etiqueta «sp» de DMARC para ampliar la aplicación de la política a los subdominios. Los subdominios inactivos que no tengan tráfico de envío legítimo deben configurarse inmediatamente con «p=reject». No hay motivo para dejar la aplicación en «none» en un dominio que no envía nada.

Comprueba y ajusta tu registro SPF

Realiza una consulta del registro SPF de tu dominio y comprueba que todos los remitentes que figuran en la lista sigan utilizándose activamente y estén correctamente autorizados. Cambia cualquier calificador «~all» por «-all» siempre que tu entorno de envío sea estable y esté completamente documentado. Si tu registro se acerca al límite de diez consultas DNS o lo supera, soluciona el problema mediante el «SPF flattening »: un registro SPF que supera el límite falla por completo, lo cual es peor que no tener ningún registro en cuanto a la capacidad de entrega, y constituye una configuración errónea que los atacantes pueden detectar.

Realiza un mapeo y supervisa todo tu entorno de remitentes

Utiliza los informes agregados de DMARC para crear un inventario completo de todas las fuentes que envían correos electrónicos que afirman proceder de tu dominio. Cualquier fuente que aparezca en los informes y que no figure en tu lista de remitentes autorizados es, o bien un servicio legítimo mal configurado, o bien un remitente no autorizado. Es necesario tomar medidas en ambos casos.

En la mayoría de las organizaciones se incorporan continuamente nuevas herramientas e integraciones SaaS. Esto significa que el entorno del remitente no es estático. Un inventario que era preciso hace tres meses puede estar desactualizado hoy. Considera el mapeo del entorno del remitente como un proceso recurrente, no como una tarea puntual.

Enumera tu propia presencia en subdominios

Utiliza crt.sh y herramientas de DNS pasivo para obtener la misma visión general de la huella de tu dominio que tendría un atacante. Cualquier elemento que encuentres que no esté supervisado, no esté autenticado o tenga un registro DNS pendiente debe abordarse de inmediato. En el caso de los dominios similares y homógrafos, las herramientas de protección contra la suplantación de dominios y de supervisión de marcas pueden detectarlos antes de que se utilicen en una campaña activa. En cuanto a tus propios dominios, merece la pena revisar los riesgos de seguridad ocultos que entrañan los múltiples dominios y subdominios como punto de partida para una auditoría completa de los dominios.

Lo que descubren los atacantes cuando realizan un reconocimiento de phishing en tu dominio

El proceso completo de reconocimiento para el phishing descrito anteriormente —comprobar la configuración de autenticación, mapear la huella de los subdominios, analizar el entorno del remitente y validar los objetivos— le lleva a un atacante con experiencia menos de una hora utilizando herramientas gratuitas. Una herramienta de comprobación de DMARC, una consulta de SPF, crt.sh y una consulta WHOIS son suficientes para determinar si merece la pena atacar tu dominio.

Las organizaciones más difíciles de atacar son aquellas en las que el reconocimiento no arroja ningún resultado útil: una política DMARC con p=reject y cobertura de subdominios, un registro SPF limpio que termine en -all, firma DKIM documentada en todas las fuentes de envío y ausencia de subdominios abandonados con brechas de autenticación. Cuando el reconocimiento de un atacante encuentra un dominio que ha cerrado estas puertas, pasa a otro. Ese es el objetivo.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Reconocimiento para el phishing: cómo los atacantes identifican y eligen como objetivo los dominios vulnerables - 24 de junio de 2026
• Cómo crear un equipo de ciberseguridad de alto rendimiento para tu empresa - 23 de junio de 2026
• Seguridad del correo electrónico y de las nóminas en RR. HH.: buenas prácticas para equipos internacionales - 22 de junio de 2026