Cloudflare publicó su Informe de Inteligencia de Amenazas 2026 en marzo, y el capítulo sobre seguridad del correo electrónico merece más atención de la que recibió en la cobertura general del informe. El hallazgo principal, que los actores de estados nación y los cibercriminales están pasando de irrumpir en sistemas a simplemente iniciar sesión con credenciales robadas, es real y está bien documentado. Lo que recibió menos cobertura es cómo se roban esas credenciales en primer lugar, y qué revelan los datos de autenticación detrás de 450 millones de correos analizados sobre el estado de la seguridad del correo en internet.
Lo que Parecen 450 Millones de Correos Cuando Realmente los Verificas
El equipo de investigación de seguridad de Cloudflare analizó 450 millones de correos y verificó cada uno contra los tres protocolos principales de autenticación de correo. Los resultados son una medición directa de cuánta parte del ecosistema de correo está funcionando sin protecciones básicas.
El cuarenta y seis por ciento de esos correos falló la autenticación DMARC. El cuarenta y tres por ciento falló las verificaciones SPF. El cuarenta y cuatro por ciento carecía de firmas DKIM válidas. Estos no son casos marginales ni ruido de carpetas de spam. Son correos que atraviesan infraestructura de producción, llegan a bandejas de entrada reales y son leídos por destinatarios reales.
Por separado, Cloudflare encontró que el 18,11% de todo el correo entrante en buzones protegidos por Cloudflare en el primer trimestre de 2026 fue clasificado como intento de suplantación, aproximadamente uno de cada cinco correos y medio. La gran mayoría de esos intentos de suplantación fallan cuando la aplicación de DMARC está en vigor. El problema es la aplicación: como encontró el Informe de Adopción 2026 de EasyDMARC, más de la mitad de los dominios con registros DMARC siguen en p=none, una política que monitorea pero no bloquea nada.
La matemática es incómoda. Si el 18% del correo son intentos de suplantación, y más de la mitad de los dominios con DMARC habilitado no están bloqueando nada, el número de mensajes suplantados que realmente llegan a las bandejas de entrada es muy grande.
La Economía de Credenciales Detrás de los Números
El informe de Cloudflare enmarca el panorama general de amenazas en torno a lo que llama el cambio de “irrumpir” a “iniciar sesión”. Los datos son llamativos: el 63% de todos los inicios de sesión observados por Cloudflare involucraron credenciales que ya estaban comprometidas y disponibles en conjuntos de datos de brechas anteriores. El noventa y cuatro por ciento de todos los intentos de inicio de sesión se originan en bots que operan a escala.
Esto no es una coincidencia. El robo de credenciales y el phishing por correo están directamente vinculados. Las campañas de phishing detectadas en el correo son casi siempre la causa principal del robo de credenciales medido en los intentos de inicio de sesión. Alguien recibe un correo convincente, ingresa su nombre de usuario y contraseña en una página de inicio de sesión falsa, y esas credenciales se suman a una base de datos que se usará en intentos de inicio de sesión automatizados contra cada servicio importante que esa cuenta pueda tocar.
La aplicación de DMARC interrumpe la ruta de suplantación de dominio hacia el robo de credenciales: cuando un atacante no puede hacerse pasar de manera convincente por tu dominio, el correo de phishing se vuelve menos efectivo. Pero el informe de Cloudflare también documenta una técnica que elude completamente a DMARC, y está creciendo rápidamente.
El Problema de la Infraestructura de Confianza
Amazon Simple Email Service está diseñado para enviar correo autenticado a escala. Publica registros SPF, firma mensajes con DKIM y opera bajo políticas DMARC que superan la verificación en cada proveedor importante de buzones. Ese es el objetivo completo del servicio: entrega de correo confiable y autenticada.
El equipo de inteligencia de amenazas de Cloudflare, junto con investigadores de Securelist, documentó un aumento significativo en campañas de phishing a principios de 2026 que enrutan sus mensajes a través de Amazon SES. Los atacantes no están explotando una vulnerabilidad. Están usando el servicio tal como fue diseñado, habiendo adquirido acceso a través de cuentas de AWS comprometidas, acceso comprado en mercados clandestinos, o creando cuentas usando identidades robadas.
El resultado: los correos de phishing llegan a los destinatarios con registros SPF válidos, firmas DKIM válidas y resultados DMARC que muestran pass. Cada verificación técnica de autenticación confirma que el mensaje provino de exactamente donde dice que provino: un endpoint de envío de Amazon SES. El dominio de envío puede ser un dominio similar registrado recientemente, un dominio antiguo comprado hace poco, o incluso un dominio legítimo comprometido con su configuración de envío redirigida. La autenticación toda es correcta.
SendGrid, la otra plataforma principal de entrega de correo en la nube, ha sido objeto de abuso similar. Investigadores de Ironscales documentaron una campaña en 2025 donde los atacantes usaron cuentas comprometidas de clientes de SendGrid para enviar phishing a escala, con cada mensaje llevando los encabezados de autenticación legítimos que SendGrid genera para sus clientes. El phishing superó las verificaciones de SPF, DKIM y DMARC porque genuinamente provenía de SendGrid.
El señuelo más común observado en el abuso de Amazon SES a principios de 2026 involucraba notificaciones falsas de firma electrónica: correos que se hacían pasar por DocuSign, Adobe Sign y servicios similares, pidiendo a los destinatarios que hicieran clic en un enlace para revisar y firmar un documento. Los departamentos de finanzas eran objetivo con hilos de facturas fabricados, completos con archivos PDF adjuntos que contenían detalles de pago falsificados. Sin URLs maliciosas en el cuerpo, sin archivos adjuntos que activaran firmas de antivirus. Solo un correo autenticado y un PDF.
Compromiso de Correo Empresarial y el Impacto Financiero
Los números de Compromiso de Correo Empresarial en el informe de Cloudflare ponen cifras en dólares a lo que estas campañas cuestan a las organizaciones. Cloudflare interceptó más de 123 millones de dólares en intentos de robo financiero mediante BEC en 2025. El intento individual promedio de BEC fue de aproximadamente 49.225 dólares.
Ese promedio no es accidental. Los investigadores de Cloudflare señalan que refleja una calibración deliberada por parte de los estafadores que operan estas campañas. Las transferencias bancarias por debajo de 50.000 dólares frecuentemente caen por debajo del umbral que activa la aprobación a nivel ejecutivo o requisitos de verificación adicionales. Los atacantes han estudiado los flujos de aprobación de sus objetivos y han ajustado sus solicitudes para deslizarse por debajo de la capa de revisión manual.
Las campañas de BEC que se ejecutan a través de infraestructura de correo en la nube legítima son particularmente efectivas precisamente porque llegan autenticadas. Un empleado de finanzas que verifica si un correo “parece legítimo” y ve el estado válido de SPF, DKIM y DMARC está recibiendo una señal falsa positiva: la autenticación confirma que el mensaje provino de donde afirma, no que la afirmación en sí sea honesta.
Lo que DMARC Detiene y lo que No
Los datos del informe de Cloudflare ilustran ambos lados de lo que proporciona la aplicación de DMARC.
Contra el 18% del correo que son intentos de suplantación dirigidos a dominios con registros DMARC en p=quarantine o p=reject, la aplicación de DMARC funciona: esos mensajes son bloqueados o enviados al spam antes de llegar a la bandeja de entrada. Esa protección es sustancial. La suplantación de dominio es barata, escalable y un componente principal del volumen de phishing. Eliminarla de la superficie de amenaza que enfrentan tus destinatarios es una protección significativa.
Contra el abuso de Amazon SES y SendGrid documentado en el informe de Cloudflare, la aplicación de DMARC en el dominio receptor no tiene ningún efecto sobre si el mensaje es entregado. El mensaje supera DMARC porque fue enviado a través de infraestructura que se autentica correctamente. El protocolo de autenticación identifica correctamente el mensaje como proveniente de donde dice que provino. El problema es que de donde dice que provino es una operación de phishing que usa infraestructura legítima.
Esta distinción es importante de entender porque a veces se usa como argumento en contra de DMARC. No debería serlo. La conclusión apropiada es que DMARC es una capa necesaria de defensa que elimina la suplantación de dominio, y que necesita combinarse con capas que aborden amenazas para las cuales no fue diseñado para detener.
La Lista de Objetivos de Suplantación
El informe de Cloudflare identificó las marcas más frecuentemente suplantadas en campañas de phishing observadas en su red: Windows, SANS, Microsoft, Stripe y Facebook encabezaron la lista. El patrón refleja dónde los atacantes esperan que sus objetivos tengan cuentas y dónde el robo de credenciales rinde el mayor valor posterior.
Las credenciales de Microsoft dan acceso al correo, SharePoint, Teams y todo el entorno de Microsoft 365. Las credenciales de Stripe pueden dar acceso al procesamiento de pagos. Los señuelos de marca Windows típicamente apuntan a empleados, con la implicación de urgencia relacionada con IT impulsando los clics. La sofisticación del señuelo varía según el objetivo, pero el objetivo es consistente: adquirir un nombre de usuario y contraseña que funcione en algún lugar que importe.
Construyendo Defensas que Consideren el Abuso de Infraestructura de Confianza
La aparición del phishing de infraestructura de confianza no hace que DMARC sea menos importante. Hace que el stack de seguridad completo sea más importante.
Aplica DMARC en p=reject en tu propio dominio. Esto elimina completamente la ruta de ataque de suplantación de dominio. Cualquier campaña de phishing que intente hacerse pasar por tu dominio es bloqueada en cada servidor de correo receptor que ejecuta validación DMARC. Eso cubre la mayoría de las campañas de suplantación basadas en volumen.
Usa activamente los informes agregados de DMARC. Los informes agregados generados por tu registro DMARC son un feed continuo de quién está enviando correo en nombre de tu dominio. Si un atacante ha registrado un dominio similar y está suplantando desde él, la actividad frecuentemente aparece en los datos de informes agregados antes de que se detecte en cualquier otro lugar. Esto requiere leer realmente los informes, que es donde la mayoría de las organizaciones fallan.
Reconoce que autenticación del remitente e identidad del remitente son cosas diferentes. La autenticación verifica que un mensaje provino de donde afirma. No verifica que el remitente deba ser confiable. Un correo de phishing enviado a través de Amazon SES proviene de Amazon SES. Eso es preciso. No proviene de DocuSign. Estas son declaraciones diferentes, y la segunda es donde vive el engaño.
Aplica escrutinio adicional a mensajes de infraestructura de correo en la nube. Algunas plataformas avanzadas de seguridad de correo ahora marcan mensajes enviados a través de servicios de entrega en la nube de alto volumen cuando el dominio de envío es nuevo, no tiene historial de reputación o no coincide con la marca invocada en el cuerpo del mensaje. Esta capa de análisis apunta exactamente al patrón de abuso de infraestructura de confianza.
BIMI proporciona a los destinatarios un ancla de verificación visual. Una bandeja de entrada habilitada para BIMI muestra el logotipo verificado de un remitente que ha completado la aplicación de DMARC y la verificación VMC de terceros. Los destinatarios pueden ver de un vistazo que un mensaje de tu dominio provino de ti. Las campañas de phishing que suplantan tu marca usando un dominio diferente o un relay de correo en la nube no llevan tu logotipo verificado, lo que da a los destinatarios una señal visual concreta de que algo está mal.
Capacita a los destinatarios sobre la mecánica específica del phishing de infraestructura de confianza. La defensa principal contra un ataque que supera cada filtro técnico es un destinatario que hace una pausa antes de hacer clic. La capacitación que se enfoca específicamente en cómo funciona el phishing autenticado, explicando que un resultado de autenticación válido no significa que el correo sea legítimo, aborda la brecha que dejan abierta los controles técnicos.
El Patrón Más Amplio
El informe de 2026 de Cloudflare documenta 230 mil millones de amenazas bloqueadas por día en su red. El correo electrónico es uno de los vectores entre muchos. Pero sigue siendo el principal vector de acceso inicial para campañas de robo de credenciales que luego alimentan los patrones de ataque basados en inicio de sesión que enfatiza el informe.
El análisis de 450 millones de correos que publicó Cloudflare es una instantánea de un ecosistema de correo donde casi la mitad de todos los mensajes están fallando la autenticación o portando autenticación que sirve como cobertura para contenido malicioso. Mejorar ese panorama requiere ambos lados de la respuesta: más dominios aplicando DMARC para eliminar el tráfico de suplantación, y más capacidad de detección en capas para atrapar el phishing autenticado que DMARC no fue diseñado para detener.
Ninguna capacidad por sí sola es suficiente. Juntas, abordan las dos categorías más grandes de amenaza basada en correo que documentan los datos de Cloudflare.
Excello Mail monitorea tu postura de autenticación DMARC de forma continua — análisis de informes agregados, descubrimiento de fuentes, orientación de aplicación de políticas y alertas cuando aparecen fuentes de envío inusuales en nombre de tu dominio. Regístrate gratis en excello.email →