7 min de lectura Por Excello Mail Team

El aviso de fraude de Google para junio de 2026: las estafas con IA crecieron un 1.210% y la autenticación de correo sigue siendo la base

El aviso oficial de fraude de Google para junio de 2026 documenta un crecimiento del 1.210% en estafas impulsadas por IA y pérdidas globales de 580.000 millones de dólares. El correo electrónico sigue siendo el canal de entrega principal. Esto es lo que la aplicación de DMARC protege y lo que no cubre en este entorno.

Google publicó este mes su aviso de fraude y estafas para junio de 2026, respaldado en datos del Informe Global de Delitos Financieros de NASDAQ y en los equipos propios de inteligencia de amenazas de la compañía. Los números principales son significativos: las pérdidas globales por fraude alcanzaron casi 580.000 millones de dólares en 2025, aproximadamente uno de cada cinco adultos fue víctima de una estafa, y el fraude impulsado por inteligencia artificial creció un 1.210% en comparación con el período de medición anterior. El aviso no es una advertencia abstracta. Es un informe del estado actual de la situación proveniente de la empresa que procesa más correo electrónico que cualquier otra organización en el planeta.

Para cualquier persona responsable de la seguridad del correo electrónico, el aviso tiene una implicación clara: la infraestructura de fraude dirigida a sus destinatarios nunca ha sido más capaz, y los controles de base que detienen la clase de ataque más prevenible, la suplantación de dominio, todavía no están universalmente implementados.

Lo que documenta el aviso de Google

El aviso identifica tres patrones de ataque dominantes en el panorama de amenazas actual.

El primero es la suplantación a escala. Los delincuentes se hacen pasar por agencias gubernamentales, instituciones financieras, equipos de soporte tecnológico y proveedores empresariales. El contacto llega por correo electrónico, mensaje de texto, llamada telefónica o videollamada. La comunicación es convincente porque la generación mediante IA ha hecho que la suplantación gramaticalmente correcta y contextualmente apropiada sea barata de producir en cualquier volumen.

El segundo es el fraude basado en deepfakes. El aviso señala que los deepfakes constituyen ahora el 11% de la actividad fraudulenta global. La clonación de voz permite a los atacantes replicar la voz de un compañero o ejecutivo conocido con una breve muestra de audio. Los deepfakes de video permiten la suplantación en tiempo real durante llamadas. La tecnología ha pasado de ser una herramienta sofisticada de estados nacionales a ser una capacidad disponible comercialmente a través de kits de fraude.

El tercero son las cadenas de entrega híbrida. Los atacantes combinan el correo electrónico como vector de contacto inicial con llamadas telefónicas, mensajes de texto y sesiones de video para construir el tipo de compromiso en múltiples pasos que supera el escepticismo natural de un destinatario. Los kits de phishing adversario-en-el-medio interceptan sesiones de autenticación en tiempo real, capturando cookies de sesión junto con credenciales y eludiendo por completo la autenticación multifactor.

Por qué el correo electrónico sigue siendo el punto de entrada

Cada uno de estos patrones de ataque tiene un origen común: la mayoría de ellos comienzan con, o son apoyados por, un correo electrónico.

El contacto de suplantación inicial se entrega típicamente por correo electrónico porque es el canal de comunicación con la menor barrera para la entrega masiva. No requiere que el atacante tenga el número de teléfono del destinatario. No requiere una cuenta comprometida para parecer legítima. En ausencia de una autenticación de dominio adecuada, cualquiera puede enviar un correo electrónico afirmando provenir de cualquier dominio.

Ese es el problema que DMARC fue creado para resolver.

Lo que detiene la aplicación de DMARC

DMARC, junto con SPF y DKIM, crea un vínculo verificable entre el dominio en el encabezado From de un correo electrónico y la infraestructura que lo envió. Cuando un servidor de correo receptor verifica un mensaje de su-banco.com, comprueba que el servidor de envío está autorizado por el registro SPF de su-banco.com y que el mensaje lleva una firma DKIM de la clave de su-banco.com. DMARC vincula esas verificaciones a una política publicada que indica al servidor receptor qué hacer cuando fallan: nada (p=none), poner el mensaje en cuarentena (p=quarantine), o rechazarlo por completo (p=reject).

Con p=reject, un atacante que intente enviar correo afirmando ser de su-banco.com sin acceso a su infraestructura de correo real tendrá ese mensaje bloqueado antes de llegar a cualquier bandeja de entrada. El correo suplantado de su-banco.com que imita a su departamento de fraude, la factura falsa de su-proveedor.com solicitando una transferencia bancaria, la alerta de phishing de [email protected] dirigiendo a los empleados a restablecer sus contraseñas: todos estos dependen de la capacidad del atacante para usar su dominio sin autorización. La aplicación de DMARC con p=reject elimina esa capacidad.

Esta es la protección que el crecimiento del 1.210% en fraude impulsado por IA hace más importante, no menos. La IA permite a los atacantes elaborar correos suplantados indistinguibles de la comunicación legítima en tono, formato y contexto. La señal que permanece detectable es la señal de autenticación de dominio. Un mensaje que falla la alineación SPF y DKIM es detectable incluso cuando su contenido parece perfecto.

La brecha que destaca el aviso de Google

El aviso señala que los atacantes no se limitan a la suplantación obvia. Muchas campañas de suplantación ahora utilizan dominios similares, dominios recién registrados, o infraestructura legítima que han comprometido o alquilado. Estos ataques pueden pasar las verificaciones DMARC contra el dominio similar porque el propio dominio similar está correctamente configurado. El atacante no está suplantando su-banco.com. Están registrando su-banco-seguridad.com y aplicando SPF, DKIM y una política DMARC a él.

Este es el techo de lo que la autenticación de dominio puede detener. Elimina el uso no autorizado de su dominio. No impide que los atacantes registren dominios visualmente similares y los autentiquen.

El aviso recomienda que los destinatarios verifiquen cuidadosamente los dominios de los remitentes antes de actuar en cualquier solicitud que involucre credenciales, pagos o información sensible. BIMI, el estándar Brand Indicators for Message Identification, apoya esto mostrando un logotipo de marca verificado en la bandeja de entrada en los principales clientes de correo cuando un dominio tiene tanto una política de aplicación DMARC como un certificado de marca verificado. Un destinatario que haya visto su logotipo mostrado consistentemente en su bandeja de entrada notará su ausencia cuando un dominio similar intente suplantarle.

Lo que todavía muestran los datos de adopción

A pesar de la amplia concienciación sobre estos requisitos, la brecha de aplicación sigue siendo grande. La investigación publicada en la primera mitad de 2026 muestra consistentemente que más del 70% de los dominios con registros DMARC permanecen en p=none, la política de solo monitoreo que recopila datos pero no bloquea nada. Un dominio en p=none no ofrece protección contra la suplantación. Cualquier atacante puede enviar desde él libremente.

El Informe de Adopción DMARC 2026 de EasyDMARC encontró que el 52,1% del millón y medio de dominios principales tienen un registro DMARC, un avance significativo respecto a años anteriores. Pero la mayoría de esos registros todavía están en la etapa de monitoreo. La brecha entre tener un registro DMARC y tener la aplicación de DMARC es la brecha entre saber que tiene un problema y realmente cerrar la puerta.

En el entorno que describe el aviso de Google, cerrar esa puerta no es opcional.

Tres cosas que verificar esta semana

Si su organización envía correo electrónico, estas son las tres comprobaciones que más vale completar antes de que termine la semana.

Verifique el nivel de política DMARC. Una consulta DNS para _dmarc.sudominio.com mostrará su política actual. Si devuelve p=none o ningún registro, su dominio puede ser suplantado por cualquiera con un servidor de correo. Pasar a p=quarantine es un paso intermedio conservador que preserva la entregabilidad mientras filtra los mensajes suplantados a las carpetas de spam. Pasar a p=reject es el estado de aplicación que los bloquea por completo.

Revise sus informes de agregación DMARC de los últimos 30 días. Los informes de agregación muestran cada dirección IP y servicio de correo que ha enviado correo electrónico afirmando provenir de su dominio, junto con sus tasas de aprobación de SPF y DKIM. Cualquier fuente que no reconozca es un servicio olvidado que autorizó o un tercero externo que suplanta su dominio. Ambos necesitan investigación.

Confirme que todas las fuentes de envío autorizadas estén cubiertas. Las plataformas de marketing, los servicios de correo transaccional, los sistemas CRM, las plataformas de soporte y cualquier otro servicio de terceros que envíe en su nombre deben estar cubiertos por su registro SPF y firmando con DKIM usando su dominio. Las fuentes que no estén cubiertas fallarán la autenticación una vez que aplique. Encontrarlas antes de aplicar es el trabajo que hace que la aplicación sea segura de completar.


Excello Mail le ofrece una vista en tiempo real de sus informes de agregación DMARC, el inventario de sus fuentes de envío y su política de autenticación en todos los dominios que gestiona. A medida que el fraude impulsado por IA continúa creciendo, saber exactamente quién envía correo electrónico desde su dominio no es un lujo. Regístrese gratis en Excello Mail y cierre la puerta por la que el aviso de Google dice que los atacantes todavía están pasando.