Test de suplantación de e-mail

¿Cualquiera puede enviar un correo haciéndose pasar por su empresa?

Descubra en segundos, leyendo el DNS de su propio dominio, si un estafador puede suplantarlo y engañar a sus clientes. Sin registro.

Lectura técnica al instante, directo de su dominio. Nada se instala y ningún correo se envía ahora. (El dominio es lo que viene después del @ en su dirección: en [email protected], el dominio es empresa.com.)

↑

Su Scorecard de Protección de Correo aparece aquí

Escriba su dominio en el campo de arriba y haga clic en Verificar. La lectura es al instante, sin registro.

Plan de corrección

Reciba los registros exactos para cerrar la puerta

El scorecard de arriba es el diagnóstico. Enviamos a su correo el informe completo: la lista de todos los registros actuales de su dominio, los registros exactos que faltan y lo que cada brecha deja abierto. Un documento para reenviar a quien se ocupa de esto en su empresa.

Lo que está en juego

El fraude que se hace pasar por el jefe y aprueba un pago

Suplantar un correo (spoofing) es enviar un mensaje con el nombre y la dirección de su empresa en el campo del remitente, sin haber entrado nunca en su cuenta. Cuando el objetivo es una transferencia o un cambio de datos bancarios, el fraude tiene nombre: compromiso del correo corporativo, el BEC.

Cómo sucede

A finanzas llega un correo “De: el nombre del director”, de una dirección que parece la de la empresa, pidiendo: “transfiere esto ahora, cerré con el proveedor, te explico después”. El tono es el del jefe, la prisa es real, y la cuenta de destino es nueva. El empleado no tiene cómo saber que el mensaje nació en otro servidor, del otro lado del mundo, porque el dominio no bloquea la suplantación. El pago sale. Cuando el fraude aparece, el dinero ya pasó por tres cuentas.

Es el fraude por correo más caro que enfrenta una empresa, y empieza en un campo de remitente que nadie cerró.

Solo en 2024, el compromiso del correo corporativo causó cerca de $2.800 millones en pérdidas reportadas, y el phishing y la suplantación de identidad por correo fueron, juntos, el tipo de delito digital más reportado del año (FBI, Internet Crime Report 2024). No es un riesgo abstracto: es el fraude que más dinero saca de las empresas hoy.

La trampa

“Uso Microsoft 365, así que estoy protegido”

Es la frase que deja la puerta abierta. La protección de Microsoft 365 protege su bandeja de entrada. La suplantación ocurre en la autenticación de su dominio, y el fraude llega a la bandeja de entrada de sus clientes, con su nombre en el remitente.

✗

“Microsoft ya filtra lo que me llega.”

Lo filtra. Pero la suplantación no es sobre lo que usted recibe, sino sobre lo que envían usando su nombre para engañar a sus clientes y proveedores. Ese correo nunca pasa por su bandeja.

✗

“Tengo antivirus y filtro de spam, estoy cubierto.”

Miran adjuntos y enlaces sospechosos. Nada de eso impide que otro servidor escriba su dominio en el campo “De:”. Solo la autenticación del dominio (SPF, DKIM y DMARC) lo hace.

✗

“Mi empresa es pequeña, nadie va a imitarme.”

El atacante no elige por el tamaño, elige por la puerta abierta. Un dominio sin protección es un blanco automático, porque es barato y funciona. El nombre que toma prestado para el fraude es el suyo.

Microsoft 365 es, de hecho, el blanco favorito justamente por el volumen de empresas que confían en él. La capa que falta no está dentro de él: está en los registros de su dominio.

Las tres llaves

Lo que cierra la puerta de la suplantación

Tres registros en el DNS de su dominio, trabajando juntos, deciden si un estafador puede o no enviar correo con su nombre. Es exactamente esto lo que el test de arriba lee.

SPF

La lista de quién puede enviar por usted

El SPF es la lista oficial de los servidores autorizados a enviar correo en nombre de su dominio. Quien recibe compara el origen del mensaje con esa lista.

En la práctica: la lista debe terminar en un rechazo total de los no autorizados, si no muchos filtros ignoran la falla y dejan pasar.

DKIM

El sello que prueba que el correo es suyo

El DKIM firma cada mensaje con un sello invisible, verificado contra una clave publicada en su dominio. Confirma que el contenido salió realmente de usted y no fue alterado.

En la práctica: usa un selector y una clave pública en el DNS. Sin él, no hay cómo probar la autenticidad del mensaje.

DMARC

La regla que ordena rechazar, y le avisa

El DMARC es la llave decisiva: dice al mundo qué hacer cuando un correo falla el SPF y el DKIM, y además entrega el informe de quién intenta suplantarlo.

En la práctica: la política debe llegar a rechazar la suplantación. Es de lejos la forma más eficaz de impedir el fraude del falso jefe a nivel de dominio.

La respuesta

Seguridad de correo gestionada: la puerta cerrada, y mantenida cerrada

Publicar tres registros una vez no resuelve. El correo cambia, nuevos servicios empiezan a enviar por usted, y la suplantación solo queda bloqueada si la autenticación se mantiene y los informes se leen.

Autenticación que cierra y se mantiene

Configuramos SPF, DKIM y DMARC hasta la política de rechazo, y leemos para usted los informes de quién intenta suplantarlo. La puerta queda cerrada, y cada nuevo intento se vuelve una alerta, no una sorpresa en el estado de cuenta.

Filtrado y continuidad 24 horas

Una capa que bloquea el phishing antes de la bandeja de entrada, con precisión cercana al 100% (dato del fabricante), y mantiene su correo activo aun cuando el servidor cae. Usted sigue trabajando, con todo registrado y recuperable, incluido el correo borrado de Microsoft 365.

Qué incluye la Seguridad de Correo Gestionada

La autenticación de su dominio configurada y mantenida en rechazo, con la lectura de los informes de quién intenta hacerse pasar por usted.
Filtrado anti-phishing en el gateway, que bloquea la amenaza antes de la bandeja de entrada.
Continuidad 24 horas: su correo activo aun cuando el servidor del proveedor cae.
Archivado que recupera el correo borrado, incluso el que desapareció de Microsoft 365.

Un solo responsable de su cadena de correo

En vez de repartir la culpa entre el proveedor, el filtro y quien tocó el DNS, Zamak responde por la cadena entera: autenticación, filtrado, continuidad y el informe de lo que intentó pasar. Una conversación, una factura previsible, y un equipo que opera junto al suyo, no en su lugar.

Operamos con herramientas certificadas en SOC 2 Type II, ISO 27001, HIPAA y PCI-DSS, como Microsoft Solutions Partner y miembros del Addee Elite Group, con 15 años protegiendo empresas que no pueden detenerse. Las estadísticas de filtrado citadas son del proveedor de la plataforma (Virus Bulletin).

Si nada cambia

La puerta abierta no avisa antes del fraude

Mientras el dominio queda sin la regla que rechaza la suplantación, cualquier día un correo “en su nombre” cae en la bandeja de un cliente, o su propio equipo de finanzas paga una factura que parecía legítima. La pérdida directa llega como dinero que no vuelve. La indirecta, más cara, es el cliente engañado usando el nombre de su empresa.

La protección toma poco tiempo en subir y empieza a bloquear el fraude desde el primer día. Construirla ahora cuesta una configuración. Construirla el día del fraude cuesta el fraude entero, más la conversación explicando por qué la puerta estaba abierta.

Verificar mi dominio ahora

Defensabilidad: la verificación lee los registros públicos de su dominio (hecho, no opinión) y el veredicto sigue el criterio técnico del DMARC como control de rechazo. Ningún dominio se declara “100% seguro”: cerrar la puerta de la suplantación es lo que está al alcance, y es lo que entregamos.

Preguntas frecuentes

Suplantación de correo, sin rodeos

Es enviar un mensaje con el nombre y la dirección de su empresa en el campo del remitente, sin haber accedido nunca a su cuenta. El estafador no invade su correo: solo escribe su dominio en el “De:”. Sin la autenticación correcta en el DNS, el destinatario no tiene cómo saber que el mensaje es falso.

Protege su bandeja de entrada contra lo que llega. No impide que otro servidor envíe correo usando su dominio para engañar a terceros. Esa protección está en la autenticación del dominio (SPF, DKIM y DMARC), configurada en los registros de DNS, y no dentro de Microsoft 365.

El DMARC es el registro que dice a los servidores del mundo qué hacer cuando un correo falla las verificaciones de autenticidad: dejar pasar, separar o rechazar. Cuando ordena rechazar, la suplantación de su dominio se bloquea en el origen, y usted recibe el informe de quién lo intentó. Es la defensa más eficaz contra el fraude del falso jefe (BEC).

Publicando los tres registros correctamente: el SPF con rechazo total de los no autorizados, el DKIM con la clave de firma, y el DMARC evolucionando hasta la política de rechazo, con la lectura continua de los informes. Es un trabajo que exige cuidado para no bloquear correo legítimo en el camino. Zamak conduce esa configuración y la mantiene.

Los registros suben rápido y empiezan a valer en horas. El camino hasta el rechazo total suele hacerse por etapas, observando los informes para garantizar que ningún correo legítimo sea bloqueado. Organismos de referencia en seguridad recomiendan el DMARC justamente por ser la contramedida más directa contra la suplantación.

Cierre la puerta

Vea quién puede estar usando su nombre, e impídalo

El test muestra la foto de hoy. Zamak cierra la puerta y la mantiene cerrada: autenticación, filtrado y continuidad de su correo, con un solo responsable.

Hablar con un especialista en seguridad de correo

Revisamos su dominio con usted y trazamos el camino hasta la puerta cerrada.

Agendar conversación

¿Quién en su empresa caería en un fraude?

Evalúe cómo reacciona su equipo ante los ataques que llegan por correo, del phishing al fraude del falso jefe.

Hacer el test de phishing

Diagnóstico gratuito de exposición

Un retrato rápido de dónde su empresa está más expuesta, más allá del correo.

Comenzar el diagnóstico

Verificación gratuita. La lectura usa los registros públicos de su dominio y no envía ningún correo.