Defaults.Exposed

Defaults.Exposed › Informes

¿Puede alguien enviar correos haciéndose pasar por tu empresa? En la mayoría de dominios, sí (2026)

Publicado 2026-06-29

Cifras a fecha de 2026-06-29 · metodología v7. Datos de censo agregados de 261 millones de dominios evaluados. «Puede ser suplantado» significa que el dominio no aplica DMARC (sin política de cuarentena o rechazo), el control que indica a los servidores de correo receptores que detengan el correo falsificado. Consulta cómo evaluamos.

Para la mayoría de las empresas, sí: alguien puede enviar correos que parezcan exactamente provenientes de tu dominio. Solo el 10,59% de los 261 millones de dominios que evaluamos aplican DMARC, el único control que realmente bloquea la suplantación. El otro 89,41% deja la puerta abierta: un estafador puede poner tu dirección exacta en la línea «De» y la mayoría de las bandejas de entrada la mostrarán como genuina. Este es el mecanismo detrás de las facturas falsas, las solicitudes de pago por fraude del CEO y las estafas a proveedores, y no cuesta nada intentarlo.

¿Puede alguien realmente enviar correos como si fuera mi dominio?

Si tu dominio no aplica DMARC, entonces sí. El correo electrónico se diseñó sin una forma integrada de verificar al remitente, por lo que la dirección «De» es trivial de falsificar. Tres ajustes, en capas, lo solucionan —SPF, DKIM y DMARC— pero solo el último, configurado en aplicar, indica al servidor receptor que rechace o ponga en cuarentena una falsificación. A fecha de 2026-06-29:

Así que el 89,41% de los dominios —más de ocho de cada diez— pueden ser suplantados por correo hoy en día.

«Pero tenemos SPF»: por qué eso no basta

Este es el malentendido más común y más peligroso. El 53,21% de los dominios publica un registro SPF, muchos más que el 10,59% que aplica DMARC. Los propietarios ven SPF y asumen que están cubiertos. No lo están: SPF (y DKIM) comprueban la ruta técnica de envío, pero no gobiernan la dirección «De» que ve realmente una persona. Sin DMARC configurado para aplicar, un atacante aún puede pasar SPF en su propia infraestructura y falsificar tu dirección visible. SPF es fontanería necesaria; la aplicación de DMARC es la cerradura.

¿Qué grado de exposición tiene tu rincón de la web?

La aplicación varía mucho según la terminación del dominio. Más alto es mejor: es la proporción de dominios que realmente bloquean la suplantación. A fecha de 2026-06-29:

Terminación del dominioQue aplican DMARCPueden ser suplantados
.nl (Países Bajos)29,43%29,43% protegidos, el resto expuesto
.de (Alemania)21,38%
.in (India)19,26%
.uk (Reino Unido)13,42%
.com9,50%la terminación más usada está por debajo de la media global del 10,59%
.net10,08%
.org10,01%
.xyz5,15%
.top3,17%
.cn (China)1,45%la más baja de las principales terminaciones

Incluso la terminación grande con mejor rendimiento protege menos de un tercio de sus dominios. En .com —donde vive la mayoría de las empresas— solo el 9,50% aplica DMARC.

Lo que esto le cuesta realmente a una empresa

La suplantación por correo es el mecanismo detrás de algunos de los delitos en línea más costosos reportados a las fuerzas del orden en todo el mundo: el fraude del correo corporativo. El patrón es siempre el mismo:

Nada de esto requiere hackear tus sistemas. Solo requiere que tu dominio no aplique DMARC, lo cual, para el 89,41% de los dominios, no lo hace.

Cómo saber si estás protegido (y solucionarlo)

No puedes saber desde fuera si estás en el 10,59%; la única forma de saberlo es comprobar tu dominio. La solución es gratuita y suele llevar una tarde, hecha en orden: publica SPF y DKIM, luego pasa DMARC a aplicación (p=nonequarantinereject). El último paso es el que realmente cierra la puerta.

Preguntas frecuentes

¿Puede alguien enviar un correo haciéndose pasar por mi empresa? Si tu dominio no aplica DMARC (una política de cuarentena o rechazo), sí: tu dirección «De» exacta puede falsificarse y la mayoría de las bandejas de entrada la mostrarán como genuina. A fecha de 2026-06-29, el 89,41% de los dominios evaluados están en este estado.

Ya tenemos SPF, ¿no estamos seguros? No. SPF comprueba la ruta técnica de envío, pero no la dirección «De» visible. El 53,21% de los dominios publica SPF, pero sin DMARC configurado para aplicar, tu dirección aún puede falsificarse. Necesitas DMARC en quarantine o reject.

¿No basta con un registro DMARC? Solo si aplica. Un registro configurado en p=none (solo monitorización) —que usa el 14,29% de los dominios— no hace nada para detener el spoofing. Solo quarantine o reject lo hace, y apenas el 10,59% de los dominios lo logra.

¿Cómo compruebo mi propio dominio? Ejecuta una comprobación gratuita y privada (abajo). Solo mostramos el resultado de un dominio a su propietario verificado.

¿Es caro solucionarlo? No. SPF, DKIM y DMARC son ajustes DNS gratuitos. El coste es el tiempo de configurarlos en el orden correcto, no dinero.

Comprueba si tu dominio puede ser suplantado

No adivines en qué lado del 10,59% estás. Comprueba tu dominio de forma privada y gratuita: verás tu estado de DMARC, SPF y DKIM y exactamente qué solucionar.

Comprueba tu dominio → · Solucionar DMARC → · Solucionar SPF → · Cómo evaluamos → · Solo datos agregados. Datos almacenados y procesados en la UE.