El email spoofing o suplantación de identidad por correo electrónico es cuando los atacantes falsifican la dirección del remitente para que parezca que el correo viene de alguien de confianza. Antes, estos correos falsos solían delatarse porque tenían errores gramaticales o de formato evidentes. Hoy en día, la IA generativa lo ha cambiado todo. Los correos electrónicos falsos pueden parecer profesionales, precisos y personalizados de forma convincente, lo que elimina las señales de alerta en las que la gente solía confiar.
Índice:
Por eso, ahora detectar un intento de spoofing requiere algo más que echar un vistazo rápido al tono o a la ortografía. Entender cómo funciona el email spoofing es esencial para proteger la información confidencial y prevenir los ataques de phishing.
¿Qué es el email spoofing?
El email spoofing consiste en falsificar la dirección del remitente en los mensajes de correo electrónico para que parezca que provienen de alguien legítimo. En lugar de hackear una cuenta, el atacante manipula campos técnicos del encabezado del correo electrónico —concretamente, la información que usa el protocolo simple de transferencia de correo (SMTP)— para ocultar la identidad del remitente.
En la práctica, el email spoofing puede adoptar formas concretas:
Un correo electrónico falso que parece provenir de tu banco, en el que te piden que confirmes tus credenciales de inicio de sesión.
Un mensaje que parece que ha enviado tu director general solicitando datos de pago urgentes: una situación habitual en los ataques de suplantación de identidad en el correo electrónico empresarial.
Una factura de un proveedor enviada desde un dominio algo modificado, diseñada para redirigir los datos financieros a la cuenta de un atacante.
Correos electrónicos internos de phishing que imitan el formato y los bloques de firma de tu empresa.
El email spoofing se utiliza a menudo para facilitar los ataques de phishing, cuyo objetivo es obtener información confidencial, como contraseñas, datos financieros o acceso a cuentas.
Cómo funciona el email spoofing
El email spoofing aprovecha la forma en que el protocolo simple de transferencia de correo (SMTP) gestiona la información del remitente. El protocolo SMTP se diseñó para enrutar mensajes entre servidores de correo, no para autenticar la identidad del remitente. Como consecuencia, el protocolo permite que un servidor emisor especifique la dirección del remitente en los encabezados del mensaje sin ninguna verificación integrada.
Cuando se envía un correo electrónico, el servidor SMTP de origen incluye varios campos clave en el encabezado del correo, como el campo «De» (visible para el usuario) y el remitente del sobre que se usa en la comunicación entre servidores. Estos campos se pueden manipular. Si los servidores de correo que reciben el mensaje no lo comparan con los registros de autenticación, puede pasar y parecer legítimo.
Esto es lo que ocurre técnicamente durante un intento de spoofing:
Un atacante se conecta a un servidor SMTP, ya sea uno que controla él mismo, uno comprometido o uno que forma parte de una red de bots.
Elabora un mensaje de correo electrónico y define manualmente el campo de la dirección del remitente.
El mensaje se envía a los servidores de correo de destino.
Si no se aplican controles de autenticación (como SPF, DKIM o DMARC), se acepta la dirección del remitente falsificada.
El destinatario ve lo que parece ser la dirección de correo electrónico de un remitente legítimo, pero las direcciones IP subyacentes y los datos de enrutamiento que hay en el encabezado del correo electrónico pueden indicar que el mensaje se ha originado en otro lugar.
Esta debilidad estructural es la razón por la que más tarde se introdujeron los estándares de autenticación de correo electrónico: para verificar que el servidor remitente está autorizado a enviar mensajes en nombre de un dominio.
Phishing vs. spoofing: ¿cuál es la diferencia?
El phishing y el email spoofing son conceptos relacionados en el ámbito de la ciberdelincuencia, pero desempeñan papeles diferentes en la forma en que los atacantes engañan a los usuarios. Como ya hemos comentado, el email spoofing se refiere específicamente a falsificar la dirección del remitente para que un mensaje parezca legítimo. El phishing, por otro lado, es una táctica de ingeniería social más amplia que utiliza mensajes engañosos (en los que muchas veces se suplanta la identidad del remitente) para engañar a la gente y que revele información confidencial o lleve a cabo acciones perjudiciales.
En otras palabras, el spoofing consiste en suplantar la identidad con respecto al protocolo, mientras que el phishing consiste en manipular psicológicamente al usuario. Muchos ataques de phishing utilizan direcciones de remitente suplantadas para parecer creíbles, pero no todos los correos electrónicos con suplantación de identidad se utilizan en campañas de phishing.
Aquí tienes una comparación entre el email spoofing y el phishing:
| Suplantación de correo electrónico | Phishing | |
|---|---|---|
| Objetivo principal | Manipular la identidad del remitente en un correo electrónico | Engañar al destinatario para que realice una acción |
| Técnica principal | Dirección del remitente falsificada en el encabezado del correo electrónico | Ingeniería social y tácticas psicológicas |
| Aspecto técnico | Aprovecha las suposiciones de confianza en los protocolos de correo electrónico | Aprovecha la confianza y el comportamiento de las personas |
| Puede incluir | Dominios falsos, trucos con el nombre que se muestra | Enlaces maliciosos, recolección de credenciales |
| Resultado típico | La información parece proceder de una fuente de confianza | El Usuario hace clic en un enlace, comparte datos o instala malware |
| Dependencia | Puede producirse sin phishing | A menudo, usa correos electrónicos suplantados para aumentar la credibilidad |
Si aún no tienes claro en qué se diferencia el phishing del spoofing, consulta nuestra guía ¿Qué es el phishing? y obtén más información sobre cómo funcionan estos ataques.
Cómo prevenir ataques de email spoofing
Aunque el email spoofing no siempre es ilegal, se usa sobre todo en estafas de phishing y ataques para comprometer correos electrónicos empresariales. Acabar con la práctica de email spoofing es bastante difícil, pues no es un delito en sí mismo.
Por suerte, la mayoría de los proveedores de correo electrónico son muy buenos a la hora de identificar estafas y las suelen mandar a la carpeta de spam o correo no deseado. Pero es inevitable que algunos se cuelen y lleguen a la bandeja de entrada. A continuación te indicamos algunas medidas que puedes tomar para evitar que el email spoofing cause daños reales:
Comprueba siempre la dirección del remitente. No te fíes solo del nombre que se ve. Los estafadores suelen usar direcciones que se parecen mucho a las legítimas; por ejemplo, con un pequeño error ortográfico en el nombre del dominio o caracteres sustituidos (por ejemplo, un cero en lugar de la letra «O»).
Contacta con el remitente por otro canal. Llama a esa persona, envíale un mensaje o reúnete con ella antes de divulgar ninguna información.
Nunca hagas clic en ningún enlace que contenga dicho correo. Si te piden que accedas a tu cuenta bancaria, hazlo escribiendo la dirección de tu plataforma bancaria en el navegador. Si tienes que hacer clic en un botón o enlace, al menos pasa el ratón por encima para ver la URL de destino. Si la dirección web te resulta desconocida, tiene errores ortográficos o no coincide con el dominio oficial de la empresa, no hagas clic en ella.
Mantén tu antivirus actualizado. Asegúrate de analizar el ordenador con frecuencia.
Si parece demasiado bueno para ser verdad, es que lo es. Si alguien te ofrece una forma de ganar dinero rápido, probablemente sea una estafa.
¿Cómo pueden protegerse las empresas contra el email spoofing?
Las empresas se protegen contra el email spoofing implementando controles de autenticación de correo electrónico estrictos con respecto al DNS y exigiendo la verificación en todos sus servidores de correo electrónico. Sin una configuración adecuada, los atacantes pueden enviar correos electrónicos suplantados que parezcan provenir de tu dominio, lo que daña la confianza y permite que se comprometa el correo electrónico empresarial.
La base para prevenir la suplantación de identidad por dominio son tres estándares de autenticación: SPF, DKIM y DMARC.
Convenio de remitentes (SPF)
El convenio de remitentes es un registro DNS que define qué direcciones IP están autorizadas a enviar correos electrónicos en nombre de tu dominio.
Cuando un servidor de correo receptor procesa los mensajes entrantes, compara las direcciones IP del remitente con el registro SPF del dominio. Si el servidor remitente no aparece en la lista de autorizados, la comprobación SPF falla.
Así se evita que los atacantes usen servidores SMTP no autorizados para suplantar tu dirección de remitente. Sin embargo, el SPF por sí solo no es suficiente, ya que verifica el origen del envío, pero no la integridad del mensaje.
Acciones clave para los propietarios de dominios:
Publica un registro SPF válido en el DNS.
Limita las direcciones IP autorizadas solo a servidores de correo electrónico legítimos.
Evita configuraciones demasiado amplias del tipo «+all».
Monitoriza los límites de las consultas SPF para evitar fallos.
Correo identificado por DomainKeys (DKIM)
DKIM añade verificación criptográfica a los mensajes salientes.
Cuando tu servidor SMTP envía un correo electrónico, adjunta una firma digital generada mediante claves criptográficas privadas. La clave pública correspondiente se publica en el DNS. Los servidores de correo receptores usan esa clave pública para verificar que el mensaje no se haya alterado durante el tránsito.
Si un atacante modifica el contenido o los campos del encabezado, la firma DKIM falla.
Para que la implementación sea eficaz:
Genera claves criptográficas seguras.
Cambia las claves periódicamente.
Asegúrate de que todos los mensajes salientes legítimos estén firmados.
Autenticación, informes y conformidad de mensajes basados en dominio (DMARC)
La autenticación de mensajes basada en dominios se fundamenta en SPF y DKIM. DMARC permite a los propietarios de dominios especificar cómo los proveedores de correo electrónico receptores deben gestionar los mensajes que no superan las comprobaciones de autenticación.
El protocolo DMARC te permite:
Indicar a los proveedores que monitoricen, pongan en cuarentena o rechacen los mensajes fallidos.
Recibir informes detallados sobre los intentos de spoofing.
Tener visibilidad sobre el uso no autorizado de tu dominio.
Sin la aplicación de DMARC, los mensajes falsificados que no superen las verificaciones de SPF o DKIM podrían seguir llegando a las bandejas de entrada.
Reflexiones finales
El email spoofing o suplantación de identidad por correo electrónico aprovecha una debilidad estructural de la forma en que se creó el correo electrónico. Los protocolos de autenticación reducen ese riesgo. Los procesos de verificación internos lo reducen aún más. Sin embargo, ningún sistema elimina por completo el error humano.
El verdadero objetivo no es solo bloquear los mensajes falsificados, sino limitar las consecuencias si alguien interactúa con uno de ellos.
Si un atacante logra hacerse con las credenciales de inicio de sesión, las contraseñas reutilizadas convierten un solo error en varias cuentas comprometidas. Ahí es donde la gestión de contraseñas pasa a formar parte de tu estrategia de seguridad del correo electrónico.
NordPass Premium te ayuda a generar contraseñas seguras y únicas, y a guardarlas de forma segura en diferentes dispositivos. Si un intento de spoofing lleva a una página de phishing, las credenciales únicas impiden que los atacantes vayan más allá de esa única cuenta.
La seguridad del correo electrónico empieza por la autenticación. Y termina con la higiene de la cuenta.