¿Qué es la suplantación de identidad por correo electrónico? Definición y cómo funciona

Recibes un correo electrónico de tu banco pidiéndote que verifiques urgentemente los datos de tu cuenta. El remitente parece correcto. La dirección de correo electrónico te resulta familiar. Haces clic en el enlace, introduces tu contraseña y solo después te das cuenta de que la página no era el sitio web de tu banco.

La suplantación de correo electrónico lo hace posible. Es una de las técnicas más comunes detrás de los ataques de phishing, el fraude y la distribución de malware, y funciona porque las personas confían instintivamente en los correos electrónicos que parecen provenir de fuentes conocidas. Lo que hace que la suplantación de correo electrónico sea especialmente peligrosa es que los atacantes no necesitan piratear la cuenta real de nadie. Manipulan los campos técnicos que controlan cómo aparece la información del remitente en la bandeja de entrada, haciendo que un mensaje parezca legítimo sin acceder al sistema real que dice representar.

Comprender cómo funciona la suplantación de correo electrónico permite detectar señales de alerta de forma temprana y tomar medidas prácticas para proteger el correo electrónico personal y comercial contra la explotación.

¿Qué es la suplantación de correo electrónico?

La suplantación de identidad (spoofing) de correo electrónico consiste en falsificar deliberadamente la información del remitente para que un mensaje parezca provenir de alguien o de un lugar que no lo es. La dirección "De", el nombre del remitente o el campo de respuesta se manipulan para mostrar una identidad confiable, como un colega, un banco, una agencia gubernamental o una marca conocida, mientras que la fuente real del envío es completamente diferente.

En qué se diferencian los correos electrónicos falsificados de los correos electrónicos normales

La información técnica de envío de un correo electrónico legítimo y la información del remitente mostrada coinciden. Cuando un compañero le envía un correo electrónico, la dirección que aparece en su bandeja de entrada coincide con la dirección que realmente transmitió el mensaje a través de los servidores de correo.

En un correo electrónico falsificado, estos datos no coinciden. El nombre o la dirección que se muestra en el campo "De" es falso, mientras que la transmisión real se realiza desde un servidor diferente, a menudo no relacionado, controlado por el atacante. Los destinatarios solo ven la información mostrada, no los detalles técnicos de enrutamiento ocultos en los encabezados del correo electrónico.

¿Por qué los atacantes falsifican correos electrónicos?

La suplantación de identidad tiene varios objetivos según el ataque:

• Robo de credenciales: Dirigir a los destinatarios a páginas de inicio de sesión falsas que capturan nombres de usuario y contraseñas
• Fraude financiero: Suplantar la identidad de ejecutivos o proveedores para autorizar pagos fraudulentos
• Entrega de malware: Hacer que los destinatarios abran archivos adjuntos o hagan clic en enlaces que instalan software malicioso
• Daños a la marca: Enviar spam o contenido dañino bajo la identidad de una organización legítima

Los datos muestran que El phishing todavía representa más del 90% de los incidentes de ingeniería social denunciados, y la suplantación de correo electrónico es una técnica fundamental que permite la mayoría de esos ataques.

¿Cómo funciona la falsificación de correo electrónico?

La suplantación de identidad (spoofing) de correo electrónico se aprovecha de una vulnerabilidad del Protocolo Simple de Transferencia de Correo (SMTP), la tecnología responsable del envío de correos electrónicos. Cuando se diseñó inicialmente, SMTP no incluía requisitos integrados para verificar la identidad del remitente.

Cada correo electrónico contiene encabezados: campos de metadatos técnicos que registran detalles de la transmisión, como el servidor de envío, las marcas de tiempo y la información del remitente. Los encabezados clave que atacan a los atacantes son:

• Desde: La dirección que se muestra a los destinatarios en su bandeja de entrada
• Responder a: A dónde se dirigen las respuestas cuando los destinatarios responden
• Return-Path: A dónde van las notificaciones de rebote (a menudo revelando la dirección de envío real)

SMTP permite a los remitentes configurar estos campos con cualquier valor que deseen. Cuando un cliente de correo electrónico muestra un mensaje, muestra el valor del campo "De", no los detalles de la transmisión. Esta discrepancia entre lo que ven los usuarios y lo que realmente se transmite es la vulnerabilidad que explota la suplantación de identidad.

Los atacantes utilizan servidores SMTP (propios, servidores comprometidos o relés abiertos) para enviar mensajes con encabezados manipulados. Configuran el campo "De" con una dirección de confianza (su banco, su director ejecutivo, un proveedor conocido), mientras que el servidor remitente no tiene relación con esa organización. La mayoría de los destinatarios no ven más allá del nombre y la dirección mostrados, lo que hace que la falsificación a nivel de pantalla sea muy efectiva.

El papel de las brechas de autenticación

Los protocolos de autenticación correctamente configurados (SPF, DKIM, DMARC) están diseñados para detectar la suplantación de identidad verificando que los servidores emisores estén autorizados a enviar en nombre de los dominios declarados. Sin embargo, Microsoft Research En 2025 se descubrió que las infraestructuras de correo electrónico compartidas amplifican significativamente las vulnerabilidades de suplantación de identidad y que las técnicas de contrabando de SMTP permiten a los atacantes eludir las protecciones SPF y DMARC en ciertas configuraciones, lo que destaca por qué la autenticación por sí sola no es una solución completa.

La función correo electrónico de ruta de retorno El campo a menudo revela la dirección de envío real, pero la mayoría de los destinatarios e incluso muchas herramientas de seguridad no la examinan con suficiente atención durante la evaluación de entrega inicial.

Tipos comunes de ataques de suplantación de correo electrónico

La suplantación de identidad adopta varias formas y cada una explota diferentes aspectos de cómo se muestra y procesa la información del remitente del correo electrónico.

Falsificación de nombre para mostrar

La suplantación de nombre para mostrar solo cambia el nombre visible del remitente, pero usa una dirección de correo electrónico completamente diferente, a menudo obviamente no relacionada. Su bandeja de entrada muestra "Sarah Chen, CEO", pero la dirección de envío real es algo así como sales@costex.com o un dominio claramente no relacionado.

Esta técnica funciona porque muchos clientes de correo electrónico muestran el nombre del remitente de forma destacada, mientras que la dirección se muestra con un texto más pequeño o se oculta por completo en dispositivos móviles. Los atacantes se basan en que los destinatarios se centren en el nombre en lugar de revisar la dirección completa. Entre los objetivos comunes se incluyen ejecutivos, personal de soporte informático e instituciones financieras cuyos nombres los destinatarios reconocen y en los que confían.

Suplantación de dominio

La suplantación de dominios utiliza dominios falsos o similares para que las direcciones de envío parezcan legítimas a primera vista. En lugar de enviar desde company.com, los atacantes registran company-inc.com, cornpany.com o c0mpany.com, a menudo pasando una inspección visual superficial.

Este enfoque es especialmente perjudicial para las empresas, ya que los atacantes pueden suplantar la identidad de organizaciones enteras, no solo de personas. Los clientes que reciben correos electrónicos de un dominio falsificado pueden realizar pagos, revelar información de su cuenta o descargar malware, creyendo que interactúan con una empresa legítima.

Monitoring múltiples registros SPF Además, garantizar que la autenticación esté configurada correctamente evita que su propio dominio se utilice de esta manera contra sus clientes y socios.

Suplantación de dirección directa

La suplantación de dirección directa falsifica el campo "De" para mostrar una dirección de correo electrónico real y legítima que el atacante no controla. Esta es técnicamente la forma más convincente, ya que los destinatarios ven una dirección real y reconocible (no una similar) en su bandeja de entrada.

Esto se basa en la ausencia de una aplicación estricta de DMARC en el dominio falsificado. Cuando las organizaciones no han configurado DMARC para rechazar o poner en cuarentena los mensajes no autenticados, los atacantes pueden usar sus direcciones reales en el campo "De" con la suficiente confianza de que los mensajes llegarán a los destinatarios. La suplantación de direcciones directas se utiliza comúnmente en ataques de vulneración de correo electrónico empresarial y suplantación de identidad ejecutiva.

Señales de un correo electrónico falsificado

Los mensajes falsificados están diseñados para parecer legítimos, pero una inspección cuidadosa revela inconsistencias.

Problemas con la dirección del remitente:

• El nombre mostrado y la dirección de correo electrónico real no coinciden
• El dominio contiene errores ortográficos sutiles (paypa1.com, arnazon.com, company-support.com)
• La dirección utiliza un proveedor gratuito (Gmail, Yahoo) para lo que debería ser una comunicación corporativa.
• La dirección de respuesta difiere de la dirección de remitente y redirige las respuestas a cuentas controladas por el atacante.

Urgencia inesperada y solicitudes inusuales:

• Tácticas de presión de “acción inmediata requerida” o “responder antes del final del día”
• Solicitudes para transferir fondos, cambiar detalles de pago o compartir credenciales inesperadamente
• Instrucciones para evitar los procedimientos normales (“No pasar por el proceso de aprobación habitual”)
• Solicitudes de tarjetas de regalo, transferencias bancarias a nuevas cuentas o información confidencial

Inconsistencias de idioma y formato:

• Tono o estilo de escritura que no coincide con la comunicación normal del supuesto remitente
• Saludos genéricos (“Estimado cliente”, “Estimado usuario”) en lugar de su nombre real
• Errores gramaticales u ortográficos incompatibles con una organización profesional
• Formato que difiere ligeramente de los mensajes legítimos que has recibido antes

Riesgos de enlaces y archivos adjuntos:

• Pase el cursor sobre los enlaces antes de hacer clic; el texto de la URL que se muestra indica un dominio, la URL de destino real muestra otro
• Archivos adjuntos que no esperabas, especialmente archivos ejecutables o documentos de Office que solicitan habilitar macros
• Enlaces que dirigen a páginas HTTP (no HTTPS) o dominios con extensiones sospechosas

Limpiar el correo electrónico Los hábitos, que incluyen hacer una pausa antes de responder a solicitudes urgentes y verificar a través de canales separados, reducen el riesgo de caer en mensajes falsificados bien elaborados.

Suplantación de identidad de correo electrónico frente a phishing

La suplantación de correo electrónico y el phishing son conceptos estrechamente relacionados pero distintos que a menudo se confunden. Phishing Es una estrategia de ataque cuyo objetivo es engañar a los destinatarios para que revelen información confidencial, hagan clic en enlaces dañinos o descarguen software malicioso. El phishing es el objetivo, la estafa en sí.

Correo electrónico spoofingPor otro lado, es una técnica utilizada para hacer que los ataques de phishing sean más convincentes. La suplantación de identidad hace que el mensaje parezca provenir de una fuente confiable, lo que aumenta la probabilidad de que los destinatarios confíen en el contenido de phishing y actúen en consecuencia.

No todo el phishing utiliza suplantación de identidad: algunos correos electrónicos de phishing provienen de direcciones reales controladas por el atacante. Y no todo el spoofing es phishing: algunos se utilizan simplemente para enviar spam ocultando al verdadero remitente. Pero la combinación de spoofing y phishing es particularmente efectiva y representa la mayoría de los fraudes por correo electrónico.

Entender ambos conceptos ayuda a aclarar por qué las defensas deben funcionar en dos niveles: controles técnicos que detectan los mensajes falsificados antes de su entrega, y concientización del usuario que detecta el contenido engañoso que se filtra.

Cómo protegerse de la suplantación de identidad por correo electrónico

Una protección eficaz requiere hábitos diferentes a nivel individual y controles técnicos más fuertes a nivel organizacional.

Para las personas a título individual

Mantenerse seguro suele implicar reducir la velocidad y verificar antes de responder a mensajes inesperados. Los pasos a continuación reducen el riesgo de actuar ante un correo electrónico falso.

• Verificar antes de actuar: Cualquier solicitud inesperada que involucre credenciales, pagos o datos confidenciales debe confirmarse por otro canal. Llame al supuesto remitente usando un número que encuentre por su cuenta, no el que aparece en el mensaje.
• Inspeccione cuidadosamente las direcciones de los remitentes: No te fíes solo del nombre que se muestra. Haz clic o pasa el cursor sobre el nombre del remitente para ver la dirección de correo electrónico completa y comprobar que el dominio coincide con la organización que el mensaje afirma representar.
• Habilite la autenticación multifactor (MFA): Incluso si los atacantes obtienen credenciales a través de un intento de suplantación de identidad o phishing, MFA bloquea el acceso a menos que también tengan el segundo factor de verificación.
• Reportar mensajes sospechosos: Utilice la función "Reportar phishing" o "Reportar spam" de su cliente de correo electrónico. Reportar correos mejora el filtrado de su bandeja de entrada y refuerza los sistemas de detección para otros usuarios.
• Mantenga el software actualizado: Los parches de seguridad en los clientes de correo electrónico y los sistemas operativos cierran vulnerabilidades que los atacantes explotan, incluidas aquellas vinculadas a contenido malicioso distribuido a través de correos electrónicos falsificados.

Para empresas

Las organizaciones deben combinar la autenticación, la supervisión y la concientización de los empleados para reducir el riesgo técnico y humano.

• Configurar protocolos de autenticación de correo electrónico: Configurar flujos de trabajo de SPF, DKIM y DMARC Registros de todos los dominios de envío, incluyendo subdominios y servicios de terceros. Una política de cumplimiento de DMARC, como p=reject o p=quarantine, impide que los mensajes no autenticados que afirman provenir de su dominio lleguen a los destinatarios. La configuración incorrecta sigue siendo una de las principales razones por las que la suplantación de identidad (spoofing) sigue teniendo éxito.
• Monitorizar el abuso del dominio: Realice un seguimiento para determinar si su dominio se está utilizando en campañas de suplantación de identidad a través de los informes DMARC, que muestran todos los correos electrónicos que afirman originarse en su dominio, incluidos los intentos no autorizados.
• Capacitar a los empleados periódicamente: Las sesiones de concienciación sobre seguridad deben incluir escenarios específicos de suplantación de identidad. Los empleados deben reconocer la suplantación de nombres para mostrar, dominios similares, solicitudes de pago inusuales e intentos de eludir procesos.
• Validar y mantener listas de correo electrónico: Las organizaciones con datos de correo electrónico limpios y validados presentan una menor superficie de ataque para el reconocimiento. Los atacantes recopilan información de contacto de bases de datos comprometidas o con un mantenimiento deficiente para diseñar campañas de suplantación de identidad dirigidas y convincentes. IA para marketing por correo electrónico y mantener listas verificadas reduce los datos disponibles para la investigación de atacantes.
• Implementar controles técnicos adicionales: Las funciones anti-spoofing en las plataformas de seguridad de correo electrónico, los servicios de monitoreo de protección de marca y las herramientas de informes DMARC brindan visibilidad de los intentos de suplantación de identidad contra su dominio antes de que lleguen a los clientes y socios.

Resumen

La suplantación de correo electrónico falsifica la información del remitente para que los mensajes maliciosos parezcan fiables, aprovechando la brecha fundamental entre lo que se muestra en el correo electrónico y lo que técnicamente ocurre en la realidad. Los atacantes utilizan la suplantación de nombres para mostrar, dominios similares y la falsificación de direcciones directas para engañar a los destinatarios y conseguir que revelen sus credenciales, aprueben pagos o descarguen malware.

Ninguna medida elimina por completo la suplantación de identidad, pero las organizaciones y las personas que combinan controles técnicos con procedimientos de concientización y verificación reducen significativamente el riesgo de sufrir ataques de suplantación de identidad exitosos.

Compruebe si el dominio de su organización tiene DMARC configurado y con qué nivel de cumplimiento. Si no tiene DMARC configurado o está configurado en p=none (solo monitorización), cambiar a p=quarantine o p=reject es la medida más eficaz para evitar que los atacantes suplanten su dominio en ataques de suplantación de identidad dirigidos a sus clientes y socios.

Mantener listas de correo electrónico limpias y validadas forma parte de una seguridad de correo electrónico responsable. DeBounce elimina las direcciones no válidas, descartables y de riesgo de su base de datos de contactos, lo que garantiza que su infraestructura de correo electrónico se mantenga en buen estado, su reputación de remitente se mantenga sólida y los datos de su organización no se conviertan en materia prima para los atacantes que diseñen la próxima campaña de suplantación de identidad.

Empieza a verificar tus listas hoy mismo para reducir tanto la capacidad de entrega como el riesgo de seguridad en todas sus comunicaciones por correo electrónico.