Defaults.Exposed

Defaults.ExposedSolucionesGuides

Esa historia de fraude de facturas que le contaron — ¿podría pasarle a su empresa? Averígüelo en dos minutos (2026)

Publicado 2026-07-08

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios calificados — nunca publicamos los resultados de un dominio individual. Consulte cómo calificamos.

Muy posiblemente, sí — y puede averiguarlo con certeza en unos dos minutos, gratis. El 89,41% de los 261.086.232 dominios calificados en el censo de Defaults.Exposed (a fecha de 2026-06-29) podría ser suplantado tal como describe esa historia, porque una configuración gratuita que lo bloquea nunca se activó. La comprobación le muestra si el suyo es uno de ellos.

En palabras sencillas, esta página cubre: qué ocurrió en la historia que le contaron, por qué fue posible, la comprobación gratuita de dos minutos, y una nota para copiar y enviar — con el informe adjunto — a quien se ocupe de su informática.

¿Qué ocurrió realmente en esa historia?

Los detalles varían, pero el patrón es casi siempre el mismo. Un delincuente envía una factura que, para cualquier lector normal, parece exactamente enviada desde la dirección de correo de una empresa real — el mismo nombre, la misma dirección después de la @, un importe verosímil. Un cliente la paga, el dinero se mueve en cuestión de horas, y la empresa cuyo nombre iba en el correo — que no hizo nada malo y no sabía nada — recibe la llamada furiosa y la relación dañada.

Fíjese en lo que falta en esa historia: a nadie le hackearon nada. El delincuente jamás tocó los sistemas de la empresa.

¿Cómo puede alguien enviar un correo que parezca venir de mi empresa?

Porque el correo electrónico sigue funcionando como hace décadas: la línea del remitente es como la dirección del remite en un sobre — cualquiera puede escribir ahí lo que quiera. A menos que su dominio diga lo contrario, un sistema de correo receptor no tiene forma de saber si “un correo de su empresa” vino realmente de usted.

Existen configuraciones gratuitas — líneas cortas de texto publicadas junto a su nombre de dominio — que dicen al mundo: el correo genuino nuestro sale solo de estos lugares; rechace cualquier otro como falso. Activadas y aplicadas, la factura de la historia se rechaza antes de que ningún humano la vea. Apagadas, aterriza en la bandeja de entrada con un aspecto perfecto.

La mayoría de las empresas nunca las ha activado — nadie les dijo que esas configuraciones existían. De los 261.086.232 dominios calificados en el censo de Defaults.Exposed (a fecha de 2026-06-29), el 89,41% no ha aplicado la configuración que bloquea la suplantación, y el 46,4% nunca dio ni siquiera el primer paso. Estando en esa mayoría no es usted negligente — es normal. Pero se puede comprobar, y la solución también. (Explicación más larga: ¿puede alguien suplantar mi dominio?)

¿Cómo averiguo en dos minutos si podría pasarnos?

  1. Ejecute la comprobación gratuita en defaults.exposed. Escriba su dominio — la parte de su dirección de correo que va después de la @. Sin registro, sin tarjeta; solo lee configuraciones públicas y nunca toca sus sistemas.
  2. Lea la calificación. Una A significa que el correo falsificado con su nombre es rechazado por los sistemas de correo receptores. Cualquier cosa por debajo de una A significa que la puerta está abierta en algún grado.
  3. Guarde el informe. Está fechado, en lenguaje claro, y enumera lo que está en su sitio y lo que falta.
  4. Reenvíelo — siguiente sección.

Dónde están realmente las empresas:

Dónde están los dominiosProporción de los 261.086.232 dominios que calificamos (a fecha de 2026-06-29)Qué significa para la historia
Suplantación no bloqueada — la configuración que la aplica nunca se activó89,41%La historia podría repetirse mañana con su nombre en la factura
Nunca dieron ni siquiera el primer paso46,4%A los sistemas de correo receptores no se les dice nada sobre cómo es el correo genuino de esa empresa
Protegidos — los falsos se rechazanaproximadamente uno de cada diez dominiosLa factura falsa rebota antes de que nadie pueda pagarla

¿Qué hago con el resultado?

Reenvíe el informe a quien se ocupe de su informática — la persona que configuró su correo, o a quien llamaría cuando se estropea. Usted no necesita entender el contenido; ellos sí. Copie y envíe esto junto con él:

Hola — después de oír hablar de un caso de fraude de facturas que está circulando, hice una comprobación gratuita de nuestro dominio en defaults.exposed. Adjunto el informe. ¿Podrías revisar las configuraciones de correo que señala y decirme qué haría falta para llevarnos a una A? Entiendo que es configuración y no software nuevo — aproximadamente una tarde de trabajo. Encantado de aprobar ese tiempo. Gracias.

Cuando lo abran, las palabras que usarán son SPF, DKIM y DMARC — la última (Domain-based Message Authentication, Reporting and Conformance) es la configuración que dice a los sistemas de correo del mundo que rechacen los falsos que llevan su nombre. El informe muestra cuál de las tres tiene su dominio y enlaza instrucciones paso a paso, empezando por cómo arreglar DMARC. Es el idioma de su informático, a propósito.

Si no tiene informático, el informe le dice exactamente qué pedir. Llévelo a quien registró su dominio o aloja su correo — su servicio de soporte gestiona estas configuraciones todos los días — y pida lo que el informe enumera como ausente.

¿Será caro arreglarlo?

No — y esta es la parte honesta, no la parte comercial. Las configuraciones son gratuitas: líneas de texto en la configuración de su dominio, no software, no una suscripción. Para un informático competente, llevar a una A a una empresa pequeña típica es una tarde de trabajo — el cuidado está en enumerar primero cada remitente legítimo (proveedor de correo, herramienta de boletines, sistema de facturación) para que el correo real siga fluyendo cuando la protección se active. La barrera nunca ha sido el dinero; es que nadie se lo dijo.

Preguntas frecuentes

¿Esto es lo mismo que ser hackeado? No. No se forzó nada — ninguna contraseña robada, ningún virus, nadie dentro de sus sistemas. El delincuente escribe su nombre en el sobre y lo envía desde otro lugar: falsificación, no robo con allanamiento. Por eso los antivirus y los cortafuegos nunca lo detectan — no hay nada en su lado que puedan ver. Las configuraciones que faltan son lo único que lo detiene, y el 89,41% de los 261.086.232 dominios que calificamos (a fecha de 2026-06-29) está expuesto a ello.

¿Arreglarlo costará dinero? Las configuraciones son gratuitas; pagar a alguien para configurarlas con cuidado es una tarde de trabajo. Teniendo en cuenta que el 46,4% de los dominios calificados nunca dio ni siquiera el primer paso gratuito (censo a fecha de 2026-06-29), es una de las reducciones de riesgo genuinas más baratas que una empresa puede comprar.

¿Cómo sabría si ya está ocurriendo? Normalmente no lo sabría — hasta que un cliente llame por una factura que usted nunca envió. La empresa suplantada suele ser la última en enterarse; la comprobación de dos minutos es más rápida que esperar esa llamada. Si la llamada ya llegó, vaya directamente a la guía de emergencia: alguien está enviando correos desde su dominio.

¿Y el dominio antiguo de nuestro cambio de marca — el que todavía tenemos pero no usamos? Compruébelo también. Un dominio que no envía correo puede ser suplantado igualmente si nunca se cerró — y nadie lo está vigilando: ese dominio antiguo de su cambio de marca es una puerta que dejó abierta.

Reenvíe esto a quien se ocupe de su informática

Esa es toda la acción que pide esta página: ejecute la comprobación gratuita y luego reenvíe el informe con la nota de arriba. Dos minutos para la comprobación, uno para el correo — y el miedo del martes por la mañana se convierte en un documento fechado y una tarde reservada del tiempo de otra persona. Guarde el informe: es la misma evidencia que responde a la pregunta de seguridad del correo que ahora aparece en los formularios de renovación del ciberseguro.

Compruebe su dominio → · Alguien está enviando correos desde su dominio → · ¿Puede alguien suplantar mi dominio? → · Solo datos agregados. Datos almacenados y procesados en la UE.