El Centro de Quejas de Delitos en Internet (IC3) del FBI publicó en abril su Informe de Delitos en Internet 2025, marcando 25 años de seguimiento de delitos cibernéticos denunciados en Estados Unidos. La cifra principal ya es contundente por sí sola: 1.008.597 denuncias y 20.877 millones de dólares en pérdidas reportadas, un aumento del 26% respecto a 2024 y el primer año en que el número de denuncias supera el millón. Pero el dato que más debería importar a quien es responsable de la seguridad del correo de un dominio está unas páginas más adelante, en la categoría de phishing y suplantación.
Las denuncias de phishing y suplantación pasaron de aproximadamente 193.000 en 2024 a 191.561 en 2025. Eso es una disminución. Mientras tanto, las pérdidas reportadas por esas mismas denuncias pasaron de 70 millones a 215,8 millones de dólares, un aumento del 208% en un solo año y un incremento de once veces respecto a hace dos años. La cantidad de ataques no creció. El daño que causa cada ataque, sí.
Tres Categorías, Un Solo Vector Subyacente, Más de 4.000 Millones de Dólares
El IC3 divide el fraude financiero por correo electrónico en varias categorías, y tres de ellas comparten el mismo mecanismo subyacente: convencer a alguien de que un mensaje es legítimo cuando no lo es.
El Compromiso de Correo Empresarial (BEC) registró 24.768 denuncias y 3.046 millones de dólares en pérdidas, lo que lo convierte en la segunda categoría de delito más costosa de todo el informe, solo por detrás del fraude de inversión. El BEC ya ha costado a las víctimas denunciantes unos 8.500 millones de dólares solo en los últimos tres años.
El phishing y la suplantación, como se mencionó, produjeron 215,8 millones de dólares en pérdidas con un volumen de denuncias prácticamente plano.
La suplantación de funcionarios de gobierno, una categoría que el IC3 rastrea por separado del phishing, vio casi duplicarse las denuncias, de 17.367 a 32.424, mientras que las pérdidas subieron de 405,6 millones a 797,9 millones de dólares.
Al sumar las tres, la explotación de confianza por correo electrónico representó más de 4.000 millones de dólares en pérdidas reportadas en 2025, un aumento del 46% respecto al año anterior. Por primera vez en la historia del informe, el IC3 también separó la inteligencia artificial como categoría propia: 22.364 denuncias y casi 893 millones de dólares en pérdidas, con herramientas generativas usadas cada vez más para redactar los mensajes y clonar las voces que hacen más convincentes las tres categorías anteriores.
Por Qué las Pérdidas Superaron al Volumen
Un número de denuncias plano combinado con una triplicación de las pérdidas cuenta una historia específica: los atacantes no están ampliando la red, están mejorando en convertir los intentos que ya hacen. Ese cambio coincide con lo que los equipos de inteligencia de amenazas han venido reportando durante todo el año. El compromiso de correo empresarial cada vez con más frecuencia comienza con una cuenta de proveedor comprometida en lugar de un dominio suplantado. Las campañas de suplantación de gobierno toman prestada la credibilidad de nombres de agencias reales y, en algunos casos documentados, infraestructura .gov real y comprometida. El texto generado por IA y la clonación de voz eliminan los errores gramaticales que antes hacían fácil detectar el phishing.
Nada de esto vuelve obsoleta la autenticación de dominio. La vuelve necesaria pero ya no suficiente por sí sola, que es un problema distinto al que la mayoría de los despliegues de DMARC fueron diseñados para resolver.
Dónde la Aplicación de DMARC Sigue Marcando la Línea
DMARC con una política de p=reject cierra exactamente una de las puertas que describen estas cifras: un mensaje que dice provenir de tu dominio pero que en realidad no se originó en tu infraestructura autorizada. Para la suplantación directa de dominio, eso es una solución completa, y por eso cada cifra en dólares del informe del IC3 incluye una fracción de víctimas que no habrían sido alcanzables si la organización suplantada hubiera aplicado DMARC.
No cierra las demás puertas. Una cuenta de proveedor genuinamente comprometida pasa SPF, DKIM y DMARC porque el dominio de envío se autentica correctamente; el fraude está en la cuenta, no en el registro DNS. Un correo de suplantación de gobierno enviado desde un dominio similar que nadie ha aplicado es un problema distinto, aunque relacionado. Un mensaje de BEC escrito por IA y enviado desde un buzón real y secuestrado pasará todos los controles de autenticación jamás diseñados, porque no hay nada contra qué autenticar.
Por eso vale la pena leer las cifras del IC3 como un sistema, no como tres partidas aisladas. Aplica DMARC para eliminar la suplantación directa. Monitorea de forma continua tus informes agregados y forenses de DMARC para detectar anomalías en tus remitentes autorizados antes de que se conviertan en incidentes de seis cifras. Y trata el compromiso de cuentas, no solo la suplantación de dominio, como el modelo de amenaza que la autenticación de correo por sí sola no puede cerrar del todo.
La Conclusión para Quien Sea Dueño de un Dominio
Un registro que permanece en p=none no aporta nada a la versión de este informe del próximo año. Si tu dominio nunca ha aplicado una política, o si no has revisado tus informes agregados en meses, eres una de las organizaciones cuya exposición miden estos datos. El volumen de ataques no necesitó crecer para que las pérdidas lo hicieran. Solo necesitó suficientes dominios sin protección y suficientes cuentas ya comprometidas en circulación, y ambas condiciones ya se cumplen.
Las pérdidas reportadas por phishing, BEC y fraude de suplantación solo aumentan cuando nadie vigila los datos de autenticación. Regístrate gratis en Excello Mail y obtén visibilidad continua sobre quién envía correo en nombre de tu dominio, antes de que se convierta en la estadística del IC3 del próximo año.