Llega un mensaje. El dominio del remitente parece legítimo. El servidor de correo receptor verifica SPF: aprobado. Verifica la firma DKIM: aprobada. Evalúa el registro DMARC contra ambos resultados: aprobado. Cada puerta de autenticación que la industria del correo electrónico ha construido durante dos décadas deja pasar el mensaje. El usuario hace clic en el enlace que contiene. Sus credenciales quedan comprometidas en cuestión de minutos.
Esto no es un escenario teórico. Los investigadores de seguridad de CyberCheck360 documentaron exactamente este patrón de ataque, rastreando campañas donde los atacantes registraban dominios nuevos por tan solo 12 dólares, alojaban réplicas pixel a pixel de páginas de inicio de sesión de Microsoft 365 para robar credenciales, y enviaban correos desde esos dominios con registros SPF válidos y firmas DKIM legítimas. Los mensajes no fallaban la autenticación. No estaban diseñados para hacerlo. La infraestructura de autenticación funcionaba exactamente como fue diseñada – y ese es precisamente el problema.
Qué prueba realmente la autenticación de correo electrónico
Los protocolos de autenticación de correo electrónico – SPF, DKIM y DMARC – fueron diseñados para resolver un problema específico: el uso no autorizado de un nombre de dominio en el encabezado From: de un mensaje de correo electrónico. SPF verifica que el servidor de envío está autorizado para enviar en nombre del dominio remitente del sobre. DKIM verifica que el contenido del mensaje no fue alterado en tránsito y fue firmado con una clave asociada a un dominio específico. DMARC vincula ambos y especifica qué hacer cuando fallan.
Lo que ninguno de estos protocolos verifica es si el dominio en el encabezado From: es el que el destinatario espera, si el contenido del mensaje es seguro, o si los enlaces dentro del mensaje llevan a algún lugar legítimo. Un dominio registrado ayer con un nombre elegido para parecerse a una marca de confianza – microsoftsecurityalert[.]com, portal-facturas-pagos[.]net, inicio-seguro-tu-banco[.]com – puede tener registros SPF y DKIM válidos publicados en minutos tras su registro. Un correo enviado desde ese dominio a cualquier destinatario pasará las tres verificaciones de autenticación con plena puntuación.
DMARC no es un filtro de contenido. Es un marco de autorización. Responde a la pregunta: “¿Vino este mensaje de un servidor autorizado por el propietario del dominio?” No responde: “¿Es confiable este propietario de dominio?” Esas son preguntas distintas, y confundirlas se ha convertido en una de las brechas más explotadas en la seguridad del correo electrónico empresarial.
El ataque de 12 dólares que la autenticación no puede detener
La investigación de CyberCheck360 trazó una metodología de ataque repetible que se ha vuelto inquietantemente rutinaria.
El primer día, el atacante registra un dominio. El costo de registro suele ser inferior a 15 dólares en cualquier registrador comercial, no requiere verificación de identidad en la mayoría de las jurisdicciones, y puede completarse de forma anónima a través de servicios de privacidad proxy. Simultáneamente, el atacante configura el alojamiento para una página de recolección de credenciales – a menudo una réplica casi perfecta de una página de inicio de sesión de Microsoft 365, Google Workspace o una VPN corporativa, construida a partir de activos HTML robados o revertidos.
El segundo día, el atacante publica un registro SPF que autoriza su infraestructura de envío y genera claves de firma DKIM, publicando la clave pública como un registro TXT de DNS bajo el nuevo dominio. Ninguna de estas acciones genera ninguna alerta. La propagación del DNS se completa en minutos o en unas pocas horas.
Para el tercer día – a veces antes – el atacante ya está enviando correos. Los mensajes afirman ser notificaciones urgentes: una factura que requiere aprobación, un documento compartido que requiere firma, una alerta de seguridad que requiere acción inmediata. El encabezado From: muestra el nuevo dominio. El cuerpo del mensaje contiene un único enlace a la página de recolección. SPF: aprobado. DKIM: aprobado. DMARC: aprobado. La entrega en la bandeja de entrada sigue.
Toda la infraestructura, desde el registro del dominio hasta la recolección de credenciales, puede estar operativa en 72 horas y cuesta menos que una cena para dos. Los protocolos de autenticación que verifican los servidores de correo receptor devuelven resultados uniformemente positivos en todo momento.
Por qué “solo verificar la autenticación” no es suficiente
La respuesta de la industria a esta investigación ha expuesto un error conceptual generalizado sobre lo que logra la aplicación de DMARC.
La aplicación de DMARC – específicamente una política p=reject – es genuinamente valiosa. Impide que los atacantes falsifiquen tu dominio en el encabezado From: de mensajes enviados a otras personas. Si un atacante quiere enviar correo afirmando que proviene de tumarca.com y tu dominio tiene una política p=reject con la alineación adecuada, los servidores de correo participantes rechazarán esos mensajes. Eso es una protección significativa contra la suplantación directa.
Lo que la aplicación de DMARC no puede hacer es impedir que un atacante registre un dominio diferente y envíe desde allí. La política p=reject en tumarca.com no dice nada sobre lo que ocurre con el correo de tumarca-facturas.com, tumarca-seguro.net, o cualquiera de los aproximadamente 300,000 nuevos dominios que se registran diariamente. Cada uno de esos dominios es un potencial vehículo de suplantación, y cada uno puede tener sus propios registros válidos de SPF, DKIM y DMARC.
El equipo de investigación documentó un aumento del 34 por ciento en dominios recién registrados utilizados para campañas de phishing entre el cuarto trimestre de 2025 y el primero de 2026. La gran mayoría de esos dominios estaban configurados con registros de autenticación válidos antes de que se enviara el primer mensaje de phishing. No necesitaban eludir la autenticación. Construyeron la propia.
La brecha de detección que esto crea para las organizaciones
Para los equipos de seguridad, la campaña de phishing que pasa la autenticación crea un problema de detección que queda fuera del conjunto de herramientas tradicional de seguridad del correo electrónico.
La mayoría de las puertas de enlace de seguridad de correo electrónico empresarial toman decisiones de filtrado basadas en una combinación de reputación del remitente, resultados de autenticación, análisis de contenido y análisis de enlaces. La reputación del remitente es ineficaz contra dominios recién registrados – no tienen reputación, lo cual es neutral en lugar de negativo. Los resultados de autenticación son positivos por diseño. El análisis de contenido ha sido derrotado por plantillas de mensajes minimalistas que contienen poco texto y un único enlace. El análisis de enlaces en el momento de la entrega evalúa la URL, no el contenido de la página de destino, y la página de recolección a menudo no se activa hasta después de que se completa el análisis de entrega inicial.
Esto no es un fallo de ningún producto de seguridad individual. Es una brecha estructural creada por la desigualdad entre lo que verifican los protocolos de autenticación y lo que realmente están haciendo los atacantes.
Las organizaciones mejor posicionadas para detectar esta clase de ataque comparten varias características. Monitorean los registros de dominios que se parecen a su marca o a las marcas de sus socios clave. Analizan la infraestructura de envío completa detrás de cada mensaje, no solo el resultado de autenticación. Aplican la inteligencia de phishing reportada por usuarios con suficiente rapidez como para que una campaña activa a las 9 AM quede bloqueada para el resto de la organización a las 9:05. Y fundamentalmente – se aseguran de que su propia autenticación esté bien bloqueada para que los atacantes no puedan explotar simultáneamente el vector de suplantación directa junto con el vector de dominio similar.
Lo que realmente requiere una postura de autenticación completa
Los hallazgos de CyberCheck360 no deben leerse como un argumento contra el despliegue de DMARC. Deben leerse como una corrección a un argumento más estrecho: que DMARC solo es suficiente.
Una postura de autenticación de correo electrónico completa para 2026 tiene como mínimo cuatro componentes.
Aplica la política en tu propio dominio. Una política DMARC p=reject, con SPF y DKIM debidamente alineados, cierra completamente el vector de suplantación directa para los servidores de correo participantes. Este es el requisito de referencia, no el techo. Si tu dominio está en p=none, los atacantes tienen dos caminos de ataque disponibles: dominios similares y suplantación directa. La aplicación de la política cierra uno de ellos.
Monitorea los resultados de autenticación entrante junto con otras señales. Los resultados de autenticación DMARC en el correo entrante te dicen que un mensaje provino de un servidor autorizado para su dominio declarado. No te dicen que el dominio sea confiable. Los sistemas que combinan resultados de autenticación con antigüedad del dominio, historial de registro, reputación de infraestructura y señales de comportamiento en toda la organización receptora cierran más la brecha.
Implementa BIMI donde sea posible. Los Indicadores de Marca para la Identificación de Mensajes, aunque no son en sí mismos un protocolo de autenticación, requieren Certificados de Marca Verificados emitidos a propietarios de dominio confirmados. Un dominio elegible para BIMI con un VMC ha pasado por una verificación de identidad que un dominio de 12 dólares no puede realizar. Los destinatarios entrenados para reconocer los indicadores de marca verificados por BIMI tienen una señal visual adicional que un dominio similar que pasa la autenticación no puede proporcionar.
Trata los informes agregados como inteligencia de amenazas, no como datos de cumplimiento. Los informes agregados de DMARC describen quién está enviando correo que afirma provenir de tu dominio. Las organizaciones que enrutan estos datos en su flujo de trabajo de inteligencia de amenazas – observando infraestructura de envío desconocida, rangos de IP asociados con actores de amenazas conocidos, o anomalías geográficas – a menudo detectan la infraestructura de campaña antes de que se use activamente contra sus destinatarios.
La responsabilidad del remitente en este panorama
Hay una dimensión de la paradoja de la autenticación que afecta directamente a las organizaciones que envían correo electrónico, no solo a las que lo reciben.
El mismo cambio que hace posible el phishing que pasa la autenticación – la facilidad de registrar dominios similares con registros de autenticación válidos – ha hecho considerablemente más difícil la entregabilidad para los remitentes legítimos. Los proveedores de correo receptor están bajo presión para clasificar con alta sospecha los mensajes que pasan la autenticación pero se originan en dominios de baja reputación o recién registrados. Las consecuencias de esa presión recaen sobre los remitentes pequeños y medianos cuya infraestructura legítima tiene un historial de reputación escaso o un volumen de envío intermitente.
La consecuencia práctica es que la autenticación es necesaria pero no suficiente para la colocación en la bandeja de entrada. Los remitentes que quieren una entregabilidad consistente necesitan una autenticación sólida como base, luego agregan capas de historial de engagement, antigüedad del dominio, higiene de la lista y tasas de quejas sobre ella. Un mensaje autenticado de un dominio que los destinatarios ignoran sistemáticamente, marcan como spam o nunca interactúan con él terminará en la carpeta de correo no deseado independientemente de los resultados aprobados de SPF/DKIM/DMARC.
DMARC, SPF y DKIM son esenciales – y son el punto de partida, no el final. Regístrate gratis en Excello Mail para obtener autenticación lista para la aplicación de políticas, informes agregados en tiempo real y la monitorización de entregabilidad que convierte la autenticación aprobada en confianza real en la bandeja de entrada.