Defaults.Exposed

Defaults.ExposedSolucionesGuides

Alguien está enviando correos desde su dominio: la guía de respuesta de emergencia (2026)

Publicado 2026-07-08

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios calificados. Consulte cómo calificamos.

Compruebe primero si los correos falsos usan su dominio exacto o uno parecido, porque las soluciones son completamente distintas. La suplantación del dominio exacto se puede cortar en el DNS — y la mayoría de los dominios no lo ha hecho: el 89,41% no tiene una política DMARC aplicada, y el 46,4% no publica ningún SPF, según el censo de Defaults.Exposed de 261.086.232 dominios calificados.

Esto es una lista de comprobación para incidentes: primera hora — confirme qué está pasando sin empeorarlo; primer día — cierre la puerta abierta, o inicie la retirada si la puerta no es suya; primera semana — monitorice, avise a quienes podrían salir quemados, aplique la política. ¿Solo se pregunta si esto podría pasar? Empiece por ¿puede alguien suplantar mi dominio? — esta página es para cuando ya está pasando.

Primero: ¿es realmente su dominio, o una imitación?

Consiga uno de los correos falsos y lea la dirección del remitente carácter por carácter. Todo lo que sigue depende de esto:

Qué muestra la dirección DeQué está pasandoSu camino
[email protected] — su dominio, escrito exactamente igualSuplantación: el servidor de un desconocido está falsificando su dominio en la línea De. Sus sistemas NO están hackeados.Solución en DNS — SPF, DKIM, DMARC aplicado. Camino 1.
[email protected], yourcompany-billing.com, yourcompany.co — parecido, pero no es el suyoUn dominio parecido que otra persona ha registrado. Su DNS nunca se consulta.Retirada + avisos. Camino 2.
Su dirección exacta, y los mensajes aparecen en su propia carpeta de Enviados o responden a hilos realesCuenta comprometida — alguien está dentro de un buzón real. Un incidente distinto.Cambie la contraseña, revoque las sesiones, active el 2FA, revise las reglas de reenvío — antes que cualquier otra cosa.

Datos a fecha de 2026-06-29.

La fila en negrita es la más común y la que mejor solución tiene. El protocolo básico del correo nunca verificó la línea De — cualquiera puede escribir su dominio en ella — así que la solución es publicar registros DNS que permitan a los receptores comprobarlo por sí mismos. Las cifras incómodas del censo: 121.145.609 de los 261.086.232 dominios calificados (el 46,4%) no publican ningún registro SPF, y 36.014 de los 138.927.207 dominios que sí publican SPF lo terminan en +all — literalmente autorizando a todo internet a enviar en su nombre (datos a fecha de 2026-06-29).

La primera hora: confirme, no reaccione

  1. Ejecute el análisis gratuito en defaults.exposed. Treinta segundos, sin registro. Le dice si su dominio es actualmente suplantable — SPF presente y estricto o no, DMARC aplicado o no — antes de tocar el DNS.
  2. No responda al correo falso, no haga clic en nada dentro de él y no envíe todavía un correo masivo a sus contactos. Un aviso apresurado de “¡ignoren los correos que vengan de nosotros!” enviado desde el mismo dominio se lee exactamente igual que la estafa. Los avisos llegan después, dirigidos y por otro canal.
  3. Consiga una muestra completa con todas las cabeceras. Pida a un destinatario que reenvíe el correo falso como adjunto (Gmail: “Mostrar original” → descargar; Outlook: “Ver origen del mensaje”). Una captura de pantalla de la línea De no basta — las cabeceras son la prueba para todo lo que sigue.
  4. Lea el veredicto que el servidor receptor ya alcanzó. En las cabeceras, busque Authentication-Results: — un dmarc=fail contra su dominio exacto confirma la suplantación de su dominio; un dominio parecido en header.from= confirma el camino 2. Una sutileza: los receptores evalúan SPF contra el dominio del Return-Path (el RFC5321.MailFrom, la dirección de rebote), no contra la cabecera De que ve su destinatario — un correo suplantado puede incluso mostrar spf=pass para el dominio del estafador mientras falsifica el suyo en De. La comprobación de alineación de DMARC cierra exactamente ese hueco.

Camino 1 — es su dominio exacto: el primer día

Suplantar su dominio exacto solo funciona mientras su DNS no diga nada que permita a los receptores rechazarlo. Hoy publica (o endurece) los tres registros; la aplicación efectiva llega a lo largo de la semana.

  1. SPF: publique un único registro que liste sus remitentes reales, terminado en -all (“todos los demás: fallo”). Si el suyo termina en +all o ?all, arregle eso primero — es una puerta abierta que publicó usted mismo. Guía paso a paso: cómo arreglar SPF, clics por proveedor en SPF en GoDaddy.
  2. DKIM: active la firma de dominio en su proveedor de correo y en cualquier herramienta de boletines o facturación (normalmente un par de registros CNAME cada una).
  3. DMARC: publique v=DMARC1; p=none; rua=mailto:... hoy mismo para que los informes empiecen a llegar; p=reject es el proyecto de esta semana, no de esta hora — referencia completa en cómo arreglar DMARC. Si el dominio no envía ningún correo legítimo — una marca antigua, un dominio aparcado — sáltese la cautela y ciérrelo hoy mismo: ese dominio antiguo de su cambio de marca es una puerta que dejó abierta.

La advertencia honesta, antes de que se relaje: una política DMARC aplicada indica a los servidores receptores que envíen a correo no deseado o rechacen las falsificaciones del dominio exacto — y los grandes proveedores la respetan. Pero solo obliga a los receptores que la comprueban, y no hace absolutamente nada contra los dominios parecidos: cuando los delincuentes ya no puedan enviar como yourcompany.com, registrar yourcompany-billing.com cuesta unos pocos euros. DMARC reduce el ataque; no termina la historia — los pasos de la primera semana también le importan a usted.

Camino 2 — es un dominio parecido: esto no se arregla en el DNS

Ningún registro que publique en su dominio afecta al correo procedente de un dominio que no es suyo — nada de su DNS se consulta siquiera. El plan es retirada más avisos:

  1. Averigüe quién está detrás del dominio parecido. Búsquelo en RDAP/WHOIS (p. ej. lookup.icann.org) para obtener su registrador, y compruebe si aloja un sitio web.
  2. Denúncielo al contacto de abusos del registrador con su muestra de cabeceras completas adjunta — los registradores suspenden dominios de phishing todos los días; una prueba clara lo acelera. ¿Hay un sitio de phishing? Denúncielo también al proveedor de alojamiento, a Google Safe Browsing y a Microsoft SmartScreen.
  3. Marque los correos como phishing en los buzones receptores (“Denunciar phishing” en Gmail/Outlook) — esto entrena a los grandes filtros contra el dominio parecido más rápido que cualquier carta.
  4. Avise a los objetivos probables por otro canal — el paso que de verdad evita que salga dinero. Llame o envíe un mensaje (no solo un correo) a clientes, proveedores y su contable: nombre el dominio falso, y haga que cualquier cambio de datos bancarios “suyo” sea verificable por teléfono. Ese hábito es la mejor defensa contra esa historia de fraude de facturas que oyó.
  5. Si el dominio parecido abusa de su marca registrada, una reclamación UDRP puede transferirle el dominio — más lenta que una retirada, pero permanente.

Y ejecute el camino 1 de todos modos: los atacantes rara vez se molestan con un dominio parecido mientras el dominio real sigue abierto, y el 89,41% de los dominios no tiene DMARC aplicado (solo 27.640.987 de 261.086.232 — el 10,59% — lo tiene, a fecha de 2026-06-29). Cierre su propia puerta en cualquier caso.

La primera semana: monitorice, avise, aplique

  1. Lea sus informes DMARC. Uno o dos días después de que la etiqueta rua= esté activa, los informes agregados muestran cada servidor que envía como su dominio — los suyos reales y el suplantador, con volúmenes y veredictos. Así es como ve morir el ataque.
  2. Confirme que sus remitentes legítimos pasan. Cada fuente real (proveedor de correo, herramienta de boletines, aplicación de facturación, formulario de contacto de la web) debe pasar SPF o DKIM alineado con su dominio antes de aplicar la política — de lo contrario, reject también bloquea su propio correo.
  3. Suba DMARC a p=quarantine, y luego a p=reject. Bajo una suplantación activa se comprimen los meses habituales en una o dos semanas — pero se comprimen las etapas, no se saltan. El despliegue por fases, la rampa de pct y la política de subdominios: de p=none a p=reject sin perder correo legítimo.
  4. Envíe un único aviso tranquilo y dirigido a las contrapartes que puedan haber recibido correos falsos: qué ocurrió, qué pedía el correo falso, la regla de verificar por teléfono los cambios de pago y (camino 2) el dominio parecido exacto que deben bloquear.
  5. Vuelva a analizar y guarde el informe. Aseguradoras y clientes preguntan cada vez más qué hizo usted respecto a la seguridad del correo; un informe fechado y calificado responde por escrito.

Preguntas frecuentes

Recibí un correo fraudulento desde mi propia dirección. ¿Me han hackeado? Casi siempre no — el correo de extorsión “de usted, para usted” es el mismo truco de falsificación, que explota el hecho de que su dominio no rechaza las imitaciones. Revise su carpeta de Enviados y los inicios de sesión recientes; si están limpios, es suplantación, y una política DMARC aplicada detiene esa variante en los receptores que la respetan. A fecha de 2026-06-29, el 89,41% de los 261.086.232 dominios calificados no lo ha hecho.

¿Detendrá DMARC los correos del dominio parecido? No. Su política DMARC gobierna únicamente su dominio exacto (y sus subdominios) — un dominio parecido es el dominio de otra persona con su propio DNS, que nunca se coteja con sus registros. Los dominios parecidos se combaten con denuncias de abuso al registrador, denuncias de phishing y avisos a las contrapartes, no con DNS.

¿Con qué rapidez detendrá p=reject realmente la suplantación? Los cambios de DNS llegan a los receptores en cuestión de horas, y Gmail, Outlook y la mayoría de los grandes proveedores aplican los veredictos DMARC — las falsificaciones del dominio exacto empiezan a morir el mismo día en que la política entra en vigor. Dos límites honestos: los receptores más pequeños que nunca comprueban DMARC pueden seguir entregando correos falsos, y aplicar la política antes de que sus propios remitentes estén alineados bloquea su correo legítimo — acelere las etapas, no se las salte.

Envíe el informe al propietario

Si usted es el contratista informático que gestiona esto: cuando los registros estén activos, vuelva a ejecutar el análisis y reenvíe el informe calificado al propietario del negocio. Muestra, en lenguaje claro, qué permitió la suplantación, qué cambió usted y dónde está el dominio ahora — la respuesta por escrito a “¿estamos seguros ya?”, y la prueba para la renovación del seguro o el cuestionario de un cliente. Si usted es el propietario: pida exactamente ese informe, y guarde el antes y el después.

Compruebe gratis si su dominio es suplantable

Vea si el servidor de un desconocido puede actualmente hacerse pasar por usted — y exactamente qué arreglar — de forma privada y solo para el propietario.

Compruebe su dominio → · De p=none a p=reject → · Arregle DMARC → · ¿Puede alguien suplantar mi dominio? → · Solo datos agregados. Datos almacenados y procesados en la UE.