Email spoofing: falsificar el remitente de un correo (la cabecera From) para que parezca enviado por un directivo, un compañero o un proveedor. Es la variante de mayor impacto económico en empresas y la puerta de entrada habitual del fraude del CEO.
Qué es el spoofing
El spoofing es la suplantación técnica de una identidad: hacer que un email, una llamada, un paquete de red o un dominio parezcan proceder de una fuente legítima cuando no es así. A diferencia del engaño puramente humano de la ingeniería social, el spoofing manipula los propios protocolos: falsifica el remitente de un correo, el identificador de una llamada, la dirección IP de origen o la respuesta de un servidor DNS. Es la capa técnica sobre la que se construyen muchos ataques de phishing y fraude: el mensaje engaña porque el canal dice que viene de quien no viene. Para una empresa, la variante más relevante con diferencia es el email spoofing, porque el correo sigue siendo el canal donde se ordenan pagos y se intercambian facturas.
Por qué importa
Porque la confianza en el remitente es la base de casi todos los procesos de negocio que pasan por el correo: aprobaciones, facturas, cambios de nómina, órdenes de pago. El protocolo SMTP original no verifica quién envía, de modo que sin controles adicionales cualquiera puede enviar un correo "desde" el dominio de tu empresa —a tus empleados, a tus clientes o a tus proveedores— sin haber comprometido ninguna cuenta. Esa asimetría explica que el fraude por correo cause más pérdidas económicas directas que el ransomware en muchos informes anuales: no requiere malware, ni exploit, ni intrusión; solo un mensaje creíble en el momento oportuno. Las defensas existen y están estandarizadas: SPF declara qué servidores pueden enviar por tu dominio, DKIM firma criptográficamente los mensajes y DMARC indica a los servidores receptores qué hacer cuando algo no cuadra, además de generar informes de quién está intentando usar tu dominio. Publicarlas mal —o dejarlas en modo monitor indefinidamente— da una falsa sensación de protección: el dominio parece cubierto en el papel, pero los mensajes falsificados siguen llegando a las bandejas de entrada de tus clientes.
Puntos clave
Spoofing de dominio y dominios parecidos: además de falsificar el dominio exacto, el atacante puede registrar variantes visualmente similares (typosquatting, homoglifos, otro TLD) que superan los filtros porque técnicamente son dominios legítimos, solo que suyos.
Caller ID y SMS spoofing: falsificar el número que aparece en una llamada o el remitente de un SMS. Es la base del vishing y el smishing: el banco "que te llama" desde su número real, o el SMS que se inserta en el hilo legítimo de tu operador o mensajería.
Spoofing de red: falsificar la IP de origen (habitual en ataques DDoS por reflexión), envenenar tablas ARP para interceptar tráfico en la red local o manipular respuestas DNS para redirigir a la víctima hacia servidores del atacante. El cifrado y los certificados digitales son la contramedida clave frente a la interceptación.
SPF, DKIM y DMARC: el trío de autenticación del correo. SPF lista los servidores autorizados a enviar por tu dominio, DKIM añade una firma criptográfica verificable y DMARC define la política ante fallos (none, quarantine, reject) y genera informes de uso del dominio.
GPS y otros spoofing físicos: falsificar señales de posicionamiento o de sensores afecta a logística, marítimo y drones. Menos frecuente en la pyme, pero recuerda el principio general: todo canal que no autentica su origen puede ser suplantado.
Ejemplo: la factura del proveedor con el IBAN cambiado
El departamento de administración de una empresa de construcción recibe un correo de su proveedor habitual de materiales: mismo nombre comercial, misma firma corporativa, mismo hilo de asunto de la factura pendiente. El mensaje avisa de que han cambiado de banco y adjunta la factura de siempre con un IBAN nuevo. El correo no viene del proveedor: el dominio del remitente está falsificado porque el proveedor no tiene DMARC, y el atacante conocía la relación comercial por un buzón comprometido semanas atrás. Administración actualiza el IBAN y paga 68.000 euros. El fraude se descubre tres semanas después, cuando el proveedor real reclama el pago.
Las defensas que rompen este escenario son concretas: DMARC en modo reject en el dominio propio (y exigirlo a proveedores críticos) para que el correo falsificado ni siquiera llegue; un procedimiento administrativo que obligue a verificar todo cambio de cuenta bancaria por un canal distinto al correo —una llamada al número de siempre, no al que figura en el email—; y banners visibles en los mensajes que llegan de fuera de la organización. Un ejercicio de phishing controlado permite comprobar si el equipo de administración detectaría el engaño antes de que lo intente alguien de verdad, y una revisión de la configuración del correo corporativo cierra los huecos de SPF, DKIM y DMARC que hacen posible la suplantación.
Errores habituales
- Creer que con publicar SPF ya está resuelto. SPF solo valida un aspecto del envío, se rompe con los reenvíos y no protege lo que el usuario ve en el campo From. Sin DKIM y sin una política DMARC efectiva, el dominio sigue siendo falsificable en la práctica.
- Dejar DMARC en p=none indefinidamente. El modo monitor es un punto de partida para no romper el correo legítimo, no un destino: si nunca se pasa a quarantine o reject, los mensajes falsificados siguen entregándose y la política solo genera informes que nadie lee.
- Olvidar los dominios secundarios y aparcados. Los dominios registrados para campañas o defensa de marca que no envían correo también necesitan SPF y DMARC restrictivos; si no, son el vehículo perfecto para suplantar a la empresa sin tocar el dominio principal.
- Confundir spoofing con cuenta comprometida. Si el atacante controla el buzón real, SPF, DKIM y DMARC validarán sus mensajes sin objeción, porque salen del servidor legítimo. Ese escenario exige otras defensas: MFA, acceso condicional y monitorización de buzones.
- Fiarlo todo al control técnico y nada al proceso. Ninguna política DMARC impide que un pago se apruebe por un correo de un dominio parecido registrado ayer. La verificación fuera de banda de pagos y cambios de cuenta es el control que sigue funcionando cuando el técnico falla.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre spoofing y phishing?
El spoofing es la técnica de suplantación: falsificar el remitente, el número o la dirección de origen. El phishing es el ataque completo que busca engañar a la víctima para robarle credenciales o dinero, y a menudo usa spoofing para resultar creíble. Puede haber spoofing sin phishing (falsificar una IP en un DDoS) y phishing sin spoofing (un dominio parecido registrado por el atacante).
¿DMARC detiene todo el spoofing de correo?
Detiene la falsificación exacta de tu dominio cuando la política es quarantine o reject y los receptores la aplican. No protege frente a dominios parecidos registrados por el atacante, ni frente a buzones legítimos comprometidos, ni frente a remitentes con nombre visible engañoso sobre un dominio cualquiera. Es un control imprescindible, pero funciona junto a la formación y a los procedimientos de verificación de pagos, no en su lugar.
¿Cómo puedo saber si están suplantando el dominio de mi empresa?
Activando los informes de DMARC: los servidores receptores envían agregados diarios con qué direcciones IP están enviando correo en nombre de tu dominio y si pasa o falla la autenticación. Con una herramienta de análisis de esos informes se distingue el envío legítimo (tu servidor, tu plataforma de marketing) del abuso. La monitorización de registros de dominios parecidos completa la vigilancia frente al typosquatting.
¿Debe preocupar el ARP o DNS spoofing a una pyme?
Menos que el email spoofing, pero no es teórico. El ARP spoofing requiere que el atacante esté dentro de la red local —o en la misma wifi—, algo plausible en oficinas con wifi de invitados mal segmentada. El DNS spoofing se mitiga usando resolvers confiables y DNSSEC donde sea posible. El cifrado TLS extremo a extremo hace que, incluso interceptado, el tráfico no se pueda leer ni alterar sin generar alertas.