Cuando la aplicación de DMARC era débil, el camino más fácil hacia las finanzas de una organización pasaba por el correo electrónico. Un mensaje falsificado de “[email protected]” llegaba a la bandeja de entrada, el empleado realizaba la transferencia y el ataque se completaba. Google y Microsoft endurecieron esos puntos de entrada. DMARC con p=reject cerró la ventana de suplantación. Ahora, según el Aviso sobre Fraudes y Estafas de Google de junio de 2026, los atacantes han encontrado un nuevo camino – y no pasa por el correo electrónico en absoluto.
El Aviso de Google de Junio de 2026
El último aviso de fraude de Google, publicado este mes, documenta un aumento significativo en lo que sus analistas describen como fraude multimodal impulsado por inteligencia artificial. La característica definitoria de esta categoría de ataque es la combinación de múltiples canales de comunicación – correo electrónico, llamadas de voz y reuniones por video – en capas secuenciales para construir credibilidad acumulativa antes de solicitar una acción financiera.
El aviso destaca específicamente campañas de suplantación de identidad de funcionarios gubernamentales y ejecutivos que comienzan con un correo electrónico, continúan con una llamada de voz y, en ocasiones, escalan a una reunión por video donde todos los rostros en pantalla son deepfakes generados en tiempo real. Estos ataques no son experimentales. Son la forma dominante de compromiso de correo electrónico empresarial en el segundo trimestre de 2026.
La Consecuencia Directa del Éxito de DMARC
El cambio hacia la voz y el video no es casual. Es la consecuencia directa de que la aplicación de DMARC se haya vuelto significativa.
Cuando el canal de suplantación por correo electrónico estaba abierto, los atacantes lo usaban. Un mensaje de un dominio similar o una dirección interna falsificada requería infraestructura mínima y, si la organización víctima no tenía un registro DMARC en p=reject, no encontraba ninguna barrera técnica para llegar a la bandeja de entrada. El atacante solo necesitaba un señuelo convincente.
A medida que Gmail, Microsoft y Yahoo pasaron de las advertencias al rechazo por fallos de DMARC, y que las plataformas de seguridad del correo empresarial añadieron capas de aplicación, el correo falsificado como mecanismo de entrega principal se volvió poco confiable. Los atacantes se adaptaron. Registraron dominios similares para enviar correos que técnicamente pasan DMARC porque provienen de un dominio que el atacante controla. Luego añadieron la clonación de voz para establecer el segundo contacto que hace que la solicitud financiera parezca autenticada.
Cómo Funciona la Cadena de Ataque
El ataque BEC deepfake moderno se desarrolla en tres etapas.
Primero, el atacante envía un correo desde un dominio similar. El mensaje, escrito por IA para imitar de cerca el estilo de comunicación del ejecutivo objetivo, hace referencia a contexto interno real obtenido de fuentes públicas y crea urgencia en torno a una transferencia bancaria o una actualización de pago a proveedor. Como el dominio es uno que el atacante registró y configuró, pasa las verificaciones de SPF, DKIM y DMARC. La capa de autenticación cubre el dominio remitente, no si ese dominio pertenece a quien dice representar.
Segundo, en pocas horas, el empleado objetivo recibe una llamada telefónica. La voz del que llama suena exactamente igual al director financiero, al CEO o al responsable de compras – porque ha sido clonada a partir de grabaciones de presentaciones de resultados, discursos en conferencias o apariciones en podcasts disponibles en línea. Una voz puede clonarse a partir de tan solo tres segundos de audio, y las herramientas disponibles en mercados criminales pueden producir un clon por menos de 20 dólares.
Tercero, en algunas variantes documentadas por Google y CybelAngel, los atacantes escalan a una videollamada. El empleado se une a lo que parece ser una reunión de emergencia. Cada rostro es un deepfake en tiempo real. El “director financiero” confirma la solicitud de transferencia. El “asesor legal” explica la urgencia. El empleado aprueba un pago creyendo que ha sido autorizado por la dirección de su organización.
La Escala Financiera
Los datos del sector de 2026 hacen palpable el impacto. Los deepfakes de IA impulsan ahora el 40% de los ataques BEC, frente a menos del 5% en 2023. La pérdida media por incidente de un ataque BEC potenciado por IA supera los 4,1 millones de dólares, más del triple de la media de 1,3 millones del phishing tradicional. El fraude impulsado por IA aumentó un 1.210% en 2025, con pérdidas proyectadas de hasta 40.000 millones de dólares en todo el mundo para 2027.
Una red criminal documentada en informes de amenazas de 2026 robó 25 millones de dólares en varias organizaciones clonando la voz de ejecutivos para autorizar transferencias bancarias fraudulentas. Un empleado de finanzas de una multinacional se unió a lo que parecía ser una llamada de Teams con el director financiero y tres colegas. Todos los participantes eran deepfakes. El empleado aprobó una transferencia de 4 millones de dólares.
Lo Que DMARC Hace y Lo Que No Puede Hacer
Entender esta cadena de ataque es importante porque aclara qué protege DMARC y dónde termina ese alcance.
DMARC protege el dominio de la organización. Si un mensaje dice provenir de [email protected], DMARC con p=reject lo rechazará a menos que haya sido enviado realmente por un servidor de correo autorizado para suempresa.com. Esa protección es real, importante y evita la forma más simple de suplantación de dominio a escala.
Lo que DMARC no puede hacer es proteger contra un dominio diferente. Un mensaje de [email protected] no es un fallo de DMARC – es un paso de DMARC en un dominio que el atacante registró. Los ataques con dominios similares evitan DMARC por diseño. DMARC tampoco tiene autoridad sobre las llamadas telefónicas, el software de videoconferencia ni ningún canal de comunicación que no implique el envío de correos desde el dominio protegido.
La implicación no es que DMARC haya fallado. La implicación es que los atacantes se han movido a canales donde no puede seguirles, y las organizaciones necesitan entender ese límite con claridad.
La Defensa Completa en Capas
La respuesta al BEC multimodal impulsado por IA debe operar simultáneamente en múltiples capas.
La capa de correo electrónico es donde vive DMARC, y sigue siendo esencial. Aplicar p=reject, monitorizar los informes agregados para detectar fuentes de envío no autorizadas e implementar BIMI para señalar la identidad del remitente verificado en la bandeja de entrada son pasos necesarios. Un dominio sin aplicación de DMARC sigue siendo un objetivo trivialmente explotable para la suplantación. Cerrar esa puerta obliga a los atacantes a invertir más en las capas de dominio similar y voz, lo que resulta más costoso para ellos.
Más allá del correo, las organizaciones necesitan detección de deepfakes en tiempo real en la capa de voz y video. El propio despliegue de Google de detección de IA en el dispositivo para voces sintéticas en Android – anunciado como parte de su respuesta al aumento del fraude por clonación – indica que esta capacidad está pasando del laboratorio de seguridad al producto de consumo. Los equivalentes empresariales ya están disponibles.
Los protocolos de verificación importan independientemente de la tecnología de detección. Un empleado de finanzas que recibe una solicitud urgente de transferencia por correo electrónico, confirmada por una llamada telefónica, debería tener un proceso de verificación fuera de banda preestablecido: una devolución de llamada a un número conocido, una palabra clave acordada previamente, un flujo de trabajo que requiera un segundo aprobador. Estos controles detienen el BEC deepfake en la capa humana independientemente de lo convincente que sea la voz o el video sintético.
El monitoreo de dominios – vigilando los dominios similares recién registrados que podrían usarse en la fase inicial de correo del ataque – proporciona advertencia temprana antes de que la cadena de ataque esté completa. Los servicios de eliminación pueden interrumpir la infraestructura del atacante desde el momento del registro.
El aviso de Google de junio de 2026 nombra la amenaza; los datos nombran el coste. La autenticación del correo electrónico es la base esencial que obliga a los atacantes a abandonar el canal más fácil. Construir sobre esa base con protocolos de verificación y herramientas de detección es lo que los detiene en los más difíciles. Protege tu dominio con DMARC aplicado e identidad de remitente visible – regístrate gratis en Excello Mail y asegura la capa de correo electrónico hoy mismo.