Un análisis de 3.100 millones de correos electrónicos en un solo mes. Uno de cada tres mensajes marcado como malicioso o spam no deseado. Casi la mitad de toda la actividad maliciosa proveniente del phishing. Estas son las cifras principales del Informe de Amenazas de Email 2026 de Barracuda, publicado el 12 de mayo, y pintan un panorama de amenazas que ha cambiado fundamentalmente en los últimos tres años.
Lo que impulsa el aumento no es solo el volumen. Es la industrialización. Las plataformas de Phishing-como-Servicio (PhaaS) ahora impulsan el 90% de las campañas de phishing de alto volumen, suministrando a los atacantes kits de captura de credenciales listos para usar, dominios rotativos, lógica de evasión preconstruida e incluso soporte al cliente. La barrera para lanzar una operación de phishing sofisticada y de múltiples pasos se ha derrumbado.
Lo que PhaaS Cambia sobre la Amenaza de Email
El phishing tradicional requería tiempo, habilidades técnicas e infraestructura. Un atacante tenía que registrar un dominio similar, configurar servidores de correo, redactar textos convincentes y superar de alguna manera los filtros de spam. Los kits PhaaS hacen la mayor parte de ese trabajo a demanda.
El resultado, según los datos de Barracuda, es un cambio dramático en la composición de los ataques. Los atacantes se están alejando del malware basado en archivos hacia URLs, códigos QR y HTML, mecanismos de entrega más difíciles de detectar para los filtros tradicionales y más fáciles de renovar cuando una variante es bloqueada. Más del 10% de los archivos adjuntos HTML analizados eran maliciosos. Y el 70% de los PDF maliciosos ahora contienen códigos QR incrustados que redirigen a las víctimas a páginas de phishing fuera del alcance de los escáneres de enlaces estándar.
La toma de control de cuentas es la consecuencia posterior. El 34% de las organizaciones del estudio experimentaron al menos un incidente de toma de control de cuenta cada mes. Cuando una credencial robada lleva a un atacante a una bandeja de entrada corporativa, ya no necesita suplantar el dominio. Lo posee.
El Caso SPF de Microsoft: Cuando la Autenticación Pasa Pero No Debería
El informe de Barracuda llegó junto a una ilustración vívida de cómo funcionan las superficies de ataque basadas en confianza. A mediados de mayo, investigadores y periodistas descubrieron que los estafadores estaban usando una dirección de correo electrónico interna de Microsoft, [email protected], para enviar spam de phishing a escala.
Los correos electrónicos superaron las verificaciones SPF y DMARC debido a una falla sutil en la propia configuración SPF de Microsoft. El registro incluye spf.protection.outlook.com, que efectivamente autoriza a cualquier usuario de Outlook.com a enviar correo que se autentica como microsoftonline.com. Los estafadores simplemente crearon nuevas cuentas de Microsoft y usaron ese acceso para enviar mensajes que lucían, ante cualquier sistema de autenticación, como alertas de seguridad oficiales de Microsoft.
La lección es clara: la aplicación de DMARC es esencial, pero los registros SPF de los que depende deben auditarse con igual cuidado. Un registro SPF demasiado permisivo no es un detalle de configuración. Es una puerta abierta.
Lo que DMARC Detiene y Dónde Aún Existen Brechas
DMARC en cumplimiento (p=quarantine o p=reject) sigue siendo el control único más efectivo para detener la suplantación de dominio. Cuando un atacante intenta hacerse pasar por tu dominio sin autorización, una política DMARC estricta significa que ese correo electrónico nunca llega a la bandeja de entrada.
Los kits PhaaS lo saben. Por eso dependen cada vez más de dominios similares, variantes de typosquat y homógrafos que son visualmente cercanos a tu dominio pero técnicamente distintos. DMARC no protege contra un dominio que no posees. Esa es la brecha que PhaaS explota.
El panorama completo de lo que las organizaciones necesitan:
- DMARC en p=reject: La línea base no negociable. Detiene la suplantación directa de tu dominio.
- Higiene del registro SPF: Audita cada
include:en tu cadena SPF. Los includes demasiado amplios pueden autorizar remitentes que nunca quisiste. - Alineación DKIM: Las firmas DKIM sobreviven al reenvío de maneras que SPF no puede. La alineación DKIM adecuada da a tu política DMARC un ancla de autenticación estable.
- Monitoreo de dominios similares: Detecta dominios recién registrados que se parezcan al tuyo antes de que los atacantes los armen.
- Monitoreo de participación: El 34% de tomas de control mensuales significa que los atacantes operan dentro de bandejas de entrada legítimas. La autenticación no puede detectarlo. Las señales de comportamiento sí.
Los Tres Pasos para Reforzar Ahora
Dada la información que revelan los datos de Barracuda, tres acciones son urgentes para cualquier organización con dominios de envío de correo:
1. Avanza hacia la aplicación. Si tu política DMARC aún es p=none, estás recopilando datos pero sin proporcionar protección alguna. Comienza con p=quarantine y avanza hacia p=reject a medida que identificas y autorizas a cada remitente legítimo.
2. Audita tu SPF. Realiza un análisis completo de aplanamiento SPF. Busca includes demasiado permisivos, especialmente en infraestructura compartida como protection.outlook.com, _spf.google.com, o registros de proveedores de servicios de correo de terceros que autorizan rangos de IP amplios. Lo que incluyes en tu SPF es lo que DMARC tratará como autorizado.
3. Mapea cada fuente de envío. La razón más común por la que las organizaciones se detienen en p=none son los remitentes no descubiertos: plataformas de marketing, CRM, servicios de correo transaccional y herramientas SaaS que envían en nombre de tu dominio sin la alineación adecuada. Un inventario completo de remitentes, actualizado continuamente, es el prerrequisito para una aplicación segura.
La Escala del Problema Exige una Respuesta Sistemática
Que uno de cada tres correos sea malicioso o spam no es un problema que la vigilancia individual resuelva. La formación en concienciación sobre seguridad ayuda marginalmente. SPF, DKIM y DMARC aplicados conjuntamente, con monitoreo continuo y un inventario completo de remitentes, abordan la vulnerabilidad estructural que PhaaS ahora explota a escala.
La industrialización del phishing significa que los defensores necesitan igualar esa escala con controles sistemáticos. La aplicación de DMARC, correctamente mantenida, es la capa de infraestructura que hace que la economía de los ataques basados en correo electrónico sea desfavorable para los atacantes.
¿Listo para llevar tu DMARC de la monitorización a la aplicación completa? Crea tu cuenta gratuita en Excello →