Alguien está enviando correos en nombre de tu empresa

Comprobando cuenta de correo

Foto de Solen Feyissa en Unsplash

Un cliente de toda la vida te llama, y no está contento. Ha recibido un correo tuyo reclamándole una factura pendiente, con una cuenta bancaria nueva «por cambio de entidad». Casi paga. Le salvó que la cifra no le cuadraba.

Tú no has enviado ese correo. Nadie de tu empresa lo ha enviado. Pero ahí está, con tu nombre, tu dominio y un tono perfectamente creíble. Esto se llama suplantación de dominio, y tiene una regla cruel: el primero en enterarse nunca eres tú.

La parte incómoda: hacerlo no requiere hackear nada

Aquí va la verdad que casi nadie le cuenta al empresario: para enviar un correo que diga venir de tu dominio no hace falta entrar en tus cuentas, ni conocer tus contraseñas, ni romper ninguna seguridad. No hay «brecha». No te han robado nada.

Como explicamos al hablar de los correos que caen en spam, el correo electrónico se diseñó en una época de confianza total entre quienes lo usaban. El remitente de un correo es, técnicamente, un campo que cualquiera puede rellenar con lo que quiera. Igual que en una carta de papel cualquiera puede escribir tu dirección en el reverso del sobre.

Esta distinción importa porque cambia el arreglo. Si te hubieran robado la contraseña, bastaría con cambiarla. Como no han entrado en ningún sitio, no hay cerradura que cambiar: lo que falta es un mecanismo que permita a los servidores del mundo distinguir tus correos de los que solo dicen ser tuyos.

Qué gana quien firma con tu nombre, y qué pierdes tú

Los escenarios reales, por orden de frecuencia:

  • La factura con la cuenta cambiada. El clásico. Un correo a tus clientes, con tu identidad y tu tono, comunicando un cambio de cuenta bancaria. Funciona porque explota la confianza que tú has tardado años en construir.
  • La pesca de credenciales. Correos «tuyos» pidiendo a clientes o proveedores que accedan a un enlace, confirmen datos o descarguen un documento. El gancho no es el mensaje: es tu nombre encima.
  • El envío masivo de basura con tu remite. Miles de correos fraudulentos por todo el mundo con tu dominio como tapadera. A ti no te piden nada; simplemente te usan de matrícula falsa.

Fíjate en el reparto: el dinero de la estafa se lo lleva el estafador, y se lo quita a tu cliente. Pero la reputación quemada, la relación rota y las explicaciones son para ti. Tu dominio funciona como un aval: cada año de trabajo serio le añade valor, y un solo uso fraudulento lo devalúa de golpe. Hay relaciones comerciales que no sobreviven a un «casi pago una factura falsa vuestra».

Cómo saber si está ocurriendo

Y aquí, la respuesta honesta: la mayoría de las empresas suplantadas no se entera nunca. Los correos falsos no pasan por tus servidores ni por tus cuentas; viajan directamente del estafador a sus víctimas. No dejan rastro en tu bandeja de enviados porque nunca estuvieron ahí.

Lo que sí llega son las señales indirectas:

  • Respuestas a correos que tú no has enviado. Si recibes un «de acuerdo, procedo al pago» que no corresponde a nada tuyo, no lo ignores.
  • Avisos de clientes o proveedores sobre correos tuyos «raros».
  • Tus correos legítimos empiezan a caer en spam sin motivo aparente. La suplantación daña la reputación de tu dominio, y esa reputación es la misma que decide si tus mensajes reales llegan a la bandeja de entrada. Son dos caras del mismo problema.

Existe, además, una forma directa de saberlo: los grandes proveedores de correo pueden enviarte informes periódicos de quién está enviando mensajes en nombre de tu dominio, desde dónde y en qué volumen. Es información que ellos ya tienen y que ofrecen a quien la solicita correctamente. La inmensa mayoría de las pymes no tiene este canal activado, así que la respuesta a «¿me están suplantando?» suele ser «no lo sabemos». Que es distinto de «no».

Esto tiene arreglo, y no es comprar nada

La protección no consiste en cambiar de proveedor de correo, ni en contratar un antivirus, ni en avisar a tus clientes de que desconfíen (eso es resignarse, no protegerse).

Consiste en llevar la configuración de identidad de tu dominio un paso más allá. En el artículo anterior hablábamos de demostrar quién eres para que tus correos lleguen. Aquí se trata de lo contrario y complementario: declarar públicamente qué deben hacer los servidores del mundo con los correos que finjan ser tuyos y no puedan demostrarlo. La declaración tiene nombre técnico —DMARC, una de las tres siglas que ya mencionamos— y admite tres niveles: no hacer nada, mandarlos a spam, o rechazarlos en la puerta.

Bien configurada, con su periodo de observación y sus ajustes, esa política hace que el correo falso muera antes de llegar a tu cliente. Configurada a medias o con prisas, puede tirar también tu correo legítimo: es el motivo por el que este trabajo se hace por fases, midiendo, y no copiando una línea de un foro. La diferencia entre ambas cosas es exactamente la diferencia entre saber y probar suerte.

Lo que hoy es protección, mañana es requisito

Un dato para situar hacia dónde va esto: la banca y las grandes corporaciones llevan años aplicando estas políticas en sus dominios y exigiéndolas a sus proveedores. Y desde 2024, los principales proveedores de correo del mundo exigen estas verificaciones a quien les envía mensajes en volumen, bajo pena de no entregarlos.

La dirección es clara: la identidad verificada del dominio está dejando de ser una buena práctica para convertirse en condición de entrega. Las empresas que la tienen resuelta no notarán el cambio. Las demás lo notarán como lo nota todo el mundo: en silencio, con correos que dejan de llegar.

Tu dominio firma por ti

Aunque tú no envíes nada, tu dominio está firmando. La pregunta no es si alguien intentará usarlo para estafar —los intentos son automáticos, constantes y no distinguen tamaños de empresa—, sino qué se encontrará cuando lo intente: una puerta cerrada o un campo abierto con tu nombre puesto.

Si quieres saber cómo está la tuya, escríbenos. Lo comprobamos y te lo decimos claro, salga lo que salga.