El Centro de Denuncias de Delitos en Internet del FBI recibió 21.442 denuncias de Compromiso de Correo Electrónico Empresarial (BEC) en 2024. Las pérdidas totales en esos incidentes ascendieron a 2.770 millones de dólares. Eso equivale a una pérdida media de aproximadamente 129.000 dólares por incidente, y esas son solo las casos donde las víctimas presentaron una denuncia. La cifra real es casi con certeza más alta.
Las pérdidas acumuladas por BEC registradas por el FBI en la última década superan los 55.500 millones de dólares. Ninguna otra categoría de ciberdelito genera pérdidas económicas de esa magnitud con esa consistencia, año tras año.
La característica definitoria del BEC es que explota la confianza, no la tecnología. Los atacantes no necesitan atravesar cortafuegos ni desplegar malware. Necesitan hacer que un objetivo crea que se está comunicando con una parte conocida y de confianza, y luego dirigir a ese objetivo para que transfiera fondos, comparta credenciales o cambie los datos de la cuenta de pago. El mecanismo para establecer esa falsa confianza es casi siempre el correo electrónico.
Tres formas en que los atacantes de BEC llegan a tu bandeja de entrada
Los investigadores que estudian los ataques de BEC generalmente identifican tres vectores principales de suplantación de identidad.
Suplantación de dominio. El atacante envía un correo electrónico que parece, en el encabezado De:, provenir de un dominio legítimo: el dominio de tu director ejecutivo, el dominio de un proveedor, el dominio de una institución financiera. Sin la aplicación de DMARC en el dominio objetivo, los servidores de correo receptores no tienen instrucción para rechazar o poner en cuarentena ese tráfico falsificado. Simplemente llega.
Dominios similares. El atacante registra un dominio que se asemeja al objetivo: reemplazando una letra, añadiendo un guion o intercambiando un carácter. Estos ataques son más difíciles de detener con DMARC porque el dominio emisor es técnicamente legítimo, aunque engañoso.
Compromiso de cuentas. El atacante compromete una cuenta de correo legítima, a menudo mediante phishing de credenciales, y envía mensajes fraudulentos desde una cuenta real en un dominio real. DMARC no proporciona protección directa aquí porque el dominio emisor se autentica correctamente.
De estos tres vectores, DMARC en modo de aplicación con p=reject elimina el primero por completo y reduce el tercero al hacer que los correos de phishing de credenciales sean más difíciles de entregar a escala. No aborda los dominios similares, pero ese es un problema separado que requiere un control separado.
La brecha de autenticación que encontró Cloudflare
El Informe de Amenazas de Cloudflare 2026 analizó 450 millones de correos electrónicos y publicó hallazgos que ayudan a explicar por qué la suplantación de dominios sigue siendo viable a escala industrial.
Según los datos de Cloudflare, el 46% de esos correos electrónicos fallaron la validación DMARC. Más del 43% fallaron las verificaciones de SPF. Más del 44% carecían de firmas DKIM válidas.
El informe también documentó el auge de las plataformas de Phishing como Servicio (PhaaS) que explotan activamente estas brechas. Estas plataformas permiten a los actores de amenazas con mínimas habilidades técnicas lanzar campañas falsificadas dirigidas a cualquier dominio que no haya aplicado DMARC. El dominio no necesita ser famoso ni de alto valor. Cualquier marca, proveedor o institución reconocible se convierte en un objetivo de suplantación viable si su registro DMARC se encuentra en p=none.
Los investigadores de Cloudflare interceptaron más de 123 millones de dólares en intentos de robo financiero por BEC en 2025 a través de sus herramientas de seguridad de correo electrónico. Esa cifra representa intentos detectados y bloqueados, no pérdidas. Da una idea del volumen de fraude que se intenta activamente contra las organizaciones en cualquier año determinado.
La IA ha cambiado lo que los filtros de contenido pueden detectar
Durante años, el consejo estándar para identificar intentos de BEC implicaba buscar indicadores sospechosos en el propio correo electrónico: frases extrañas, urgencia inusual, información del remitente que no coincidía a simple vista. Los filtros de spam y las herramientas de análisis de contenido estaban entrenados para detectar estas señales.
La IA generativa ha degradado sistemáticamente ese enfoque. Las investigaciones publicadas a principios de 2026 encontraron que aproximadamente el 40% de los correos de BEC son ahora generados por IA, con una calidad de prosa indistinguible de la comunicación empresarial legítima. Estos correos usan títulos de trabajo precisos, hacen referencia a proyectos o relaciones reales y aplican el tono apropiado para el ejecutivo o proveedor suplantado.
Cuando el contenido de un correo fraudulento es indistinguible de la comunicación legítima, la única señal fiable que queda es si el dominio emisor es quien dice ser. Eso es exactamente lo que responde DMARC.
Un registro DMARC con p=reject en un dominio indica a todos los servidores de correo receptores del mundo: si un mensaje afirma provenir de este dominio pero no pasa la alineación SPF o DKIM, no lo entregues. La instrucción es universal, automática y no depende de que ningún ser humano lea el correo y note algo incorrecto.
La brecha entre las grandes empresas y los demás
El Informe de Adopción y Aplicación de DMARC 2026 de EasyDMARC, que analizó 1,8 millones de dominios incluyendo la lista Fortune 500 y Inc. 5000, documentó una brecha marcada en la aplicación de DMARC entre las grandes empresas y las organizaciones más pequeñas.
Entre las empresas del Fortune 500, el 95% tiene DMARC configurado, con más del 80% en políticas de nivel de aplicación. Entre las empresas del Inc. 5000, la adopción es menor y la aplicación es mucho menor: solo el 15,2% ha alcanzado p=reject, en comparación con el 62,7% de las empresas del Fortune 500.
Esta brecha no es solo una estadística de cumplimiento. Es un mapa de objetivos. Los atacantes que construyen campañas de BEC seleccionan objetivos en parte en función de qué suplantación es posible. Un dominio en p=none o sin ningún registro DMARC es una invitación abierta. El proveedor que te factura, el bufete de abogados que gestiona tu transacción, la empresa de logística que gestiona tus envíos: si alguna de esas organizaciones no ha aplicado DMARC, su dominio puede ser suplantado en correos electrónicos dirigidos a ti.
El FBI ha documentado específicamente que los atacantes de BEC frecuentemente suplantan dominios de proveedores o terceros en lugar del dominio propio de la organización objetivo. Las organizaciones receptoras con autenticación sólida en su propio dominio siguen expuestas si sus proveedores y socios no han aplicado DMARC.
Lo que realmente requiere la aplicación de DMARC
Pasar de p=none a p=reject es un proceso de varios pasos, pero los pasos están bien definidos y son alcanzables para organizaciones de cualquier tamaño.
La fase de monitoreo viene primero. Publicar un registro DMARC en p=none con direcciones de informes agregados (rua= y ruf=) permite a una organización ver cada fuente que envía correo electrónico que afirma usar su dominio. Esta fase normalmente se ejecuta durante dos a cuatro semanas.
La fase de descubrimiento sigue. Los informes agregados revelarán tu proveedor de servicios de correo electrónico, tu plataforma de CRM, tu servicio de correo transaccional, tu sistema de help desk, cualquier aplicación de terceros que envíe correo en tu nombre. Cada uno necesita pasar la alineación SPF o la firma DKIM antes de que sea seguro habilitar la aplicación.
Una vez que todas las fuentes legítimas se autentican correctamente, la política puede pasar a p=quarantine y luego a p=reject. La transición debe ser gradual, con monitoreo cercano de los informes agregados en cada etapa para detectar las fuentes que se pasaron por alto durante el descubrimiento.
El proceso es metódico más que técnicamente complejo. La razón por la que la mayoría de las organizaciones no lo han completado no es que sea difícil. Es que requiere atención, herramientas para interpretar los informes y alguien responsable de llevarlo a cabo hasta el final.
El caso de negocio para terminar el trabajo
El incidente de BEC promedio cuesta 129.000 dólares. El costo de implementar y gestionar la aplicación de DMARC durante un año es una pequeña fracción de esa cifra. Incluso un solo ataque interceptado paga años de infraestructura de autenticación.
La formulación más directa es esta: cada día que un dominio opera en p=none o sin DMARC, está haciendo una oferta gratuita a cada actor de amenazas con acceso a una plataforma PhaaS. La oferta es el uso ilimitado de la identidad de ese dominio para atacar a cualquier persona en el mundo. La aplicación retira la oferta.
Excello Mail gestiona el camino completo desde el monitoreo hasta la aplicación de p=reject – análisis de informes agregados, descubrimiento de fuentes de envío, identificación de brechas de autenticación y escalada guiada de políticas. Regístrate gratis en excello.email →