Seguridad básica

Seguridad del Correo Electrónico Empresarial: SPF, DKIM y DMARC

Equip CiberPIME · · 11 min de lectura
Seguridad del Correo Electrónico Empresarial: SPF, DKIM y DMARC
Llegeix aquest article en catala
🛡 AUDITORÍA GRATUITA

Auditoría Exprés de Ciberseguridad — 10 preguntas clave + puntuación semáforo de riesgo + recomendaciones para tu PYME. PDF de 2 páginas.

Descargar gratis →

Por qué el correo electrónico es el vector de ataque número uno

El correo electrónico sigue siendo, año tras año, la puerta de entrada más utilizada por los ciberdelincuentes para atacar empresas. Según datos del informe de Verizon Data Breach Investigations Report, más del 90% de los ciberataques comienzan con un email. Y no es casualidad: el correo combina volumen masivo, confianza del usuario y una superficie de ataque enorme.

Para una PYME, un solo correo malicioso puede derivar en robo de credenciales, transferencias bancarias fraudulentas, infección por ransomware o filtración de datos de clientes. El coste medio de un incidente de seguridad relacionado con el correo para una pequeña empresa se estima en miles de euros, sin contar el daño reputacional.

La buena noticia es que existen mecanismos técnicos y organizativos para reducir drásticamente este riesgo. En este artículo te explicamos las tres tecnologías clave de autenticación de correo (SPF, DKIM y DMARC), cómo implementarlas y qué buenas prácticas deberías adoptar en tu empresa.

Tipos de ataques por correo electrónico

Antes de entrar en las soluciones, conviene entender contra qué nos protegemos.

Phishing

El atacante envía correos que imitan a una entidad legítima (banco, proveedor, administración pública) para engañar al destinatario y conseguir que haga clic en un enlace malicioso, descargue un archivo infectado o introduzca sus credenciales en una web falsa.

El spear phishing es una variante más sofisticada: el correo está personalizado con datos reales de la víctima (nombre, cargo, empresa, proyectos actuales), lo que lo hace mucho más difícil de detectar.

Business Email Compromise (BEC)

El BEC es uno de los ataques más costosos. El delincuente suplanta la identidad del CEO, del director financiero o de un proveedor para solicitar una transferencia bancaria urgente o un cambio de datos de pago. A menudo no incluye malware ni enlaces: es pura ingeniería social.

Según el FBI, las pérdidas globales por BEC superan los 2.700 millones de dólares anuales. Las PYMEs son objetivos frecuentes porque suelen tener menos controles en los procesos de pago.

Spoofing

El spoofing consiste en falsificar la dirección de remitente de un correo. Sin las protecciones adecuadas, cualquiera puede enviar un email que aparentemente procede de tu dominio (por ejemplo, facturas@tuempresa.com) sin tener acceso a tus cuentas. Los protocolos SPF, DKIM y DMARC existen precisamente para combatir esto.

Malware y ransomware por adjuntos

Los archivos adjuntos siguen siendo un vector habitual para distribuir malware. Documentos de Office con macros, archivos PDF manipulados, ejecutables disfrazados con doble extensión (.pdf.exe) o archivos comprimidos con contraseña (para evadir antivirus) son las técnicas más comunes.

SPF: Sender Policy Framework explicado paso a paso

Qué es SPF

SPF (Sender Policy Framework) es un registro DNS que indica qué servidores de correo están autorizados a enviar emails en nombre de tu dominio. Cuando un servidor receptor recibe un email de tu dominio, consulta tu registro SPF para verificar si el servidor remitente está en la lista de autorizados.

Cómo funciona

  1. Publicas un registro TXT en el DNS de tu dominio con la lista de servidores autorizados.
  2. Cuando alguien recibe un email de tu dominio, su servidor consulta tu registro SPF.
  3. Si el servidor remitente coincide con uno de los autorizados, el correo pasa la verificación SPF.
  4. Si no coincide, el servidor receptor puede marcar el correo como sospechoso o rechazarlo.

Ejemplo de registro SPF

v=spf1 include:_spf.google.com include:sendinblue.com ~all

Este registro indica que pueden enviar correo desde tu dominio los servidores de Google Workspace y los de Brevo (anteriormente Sendinblue). El ~all al final significa “softfail”: los correos de otros servidores no se rechazan directamente, pero se marcan como sospechosos. Para mayor seguridad, puedes usar -all (hardfail), que rechaza directamente los correos no autorizados.

Errores comunes con SPF

  • Múltiples registros SPF: solo puede haber un registro SPF por dominio. Si tienes dos, ambos se invalidan.
  • Exceder el límite de 10 lookups DNS: SPF permite un máximo de 10 consultas DNS encadenadas. Si usas muchos servicios (CRM, newsletter, helpdesk…), puedes superar este límite. Herramientas como MXToolbox te permiten verificarlo.
  • Olvidar servicios que envían correo: si usas un CRM, una plataforma de email marketing o un sistema de tickets que envía desde tu dominio, debes incluirlos en el SPF.

DKIM: DomainKeys Identified Mail explicado

Qué es DKIM

DKIM (DomainKeys Identified Mail) añade una firma digital criptográfica a cada correo que envías. Esta firma permite al servidor receptor verificar que el correo no ha sido modificado en tránsito y que realmente proviene de tu dominio.

Cómo funciona

  1. Tu servidor de correo genera un par de claves criptográficas: una privada (que se queda en el servidor) y una pública (que se publica en tu DNS).
  2. Al enviar un correo, el servidor firma digitalmente las cabeceras y el cuerpo del mensaje con la clave privada.
  3. El servidor receptor obtiene la clave pública desde tu DNS y verifica la firma.
  4. Si la firma es válida, se confirma que el correo es auténtico y no ha sido alterado.

Ejemplo de registro DKIM

selector1._domainkey.tuempresa.com  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."

La parte selector1 es un identificador que permite tener múltiples claves DKIM activas simultáneamente (útil para la rotación de claves o para servicios de terceros).

Ventajas sobre SPF

DKIM tiene una ventaja importante sobre SPF: sobrevive al reenvío de correos. Cuando alguien reenvía un email, el SPF puede fallar (porque el servidor de reenvío no está en tu registro SPF), pero la firma DKIM permanece intacta.

DMARC: la pieza que une todo

Qué es DMARC

DMARC (Domain-based Message Authentication, Reporting and Conformance) es el protocolo que une SPF y DKIM y le dice al servidor receptor qué hacer cuando un correo no pasa las verificaciones. Sin DMARC, los resultados de SPF y DKIM son informativos pero no se actúa sobre ellos de forma consistente.

Las tres políticas DMARC

  • none (p=none): solo monitorización. Los correos que fallan no se bloquean, pero recibes informes de lo que está pasando. Es el punto de partida recomendado.
  • quarantine (p=quarantine): los correos que fallan se envían a la carpeta de spam del destinatario.
  • reject (p=reject): los correos que fallan se rechazan directamente. Es el nivel máximo de protección.

Ejemplo de registro DMARC

_dmarc.tuempresa.com  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@tuempresa.com; pct=100"
  • p=quarantine: los correos que fallan van a spam.
  • rua=mailto:dmarc@tuempresa.com: dirección donde recibirás los informes agregados.
  • pct=100: se aplica al 100% de los correos.

Ruta de implementación recomendada

No pases directamente a p=reject. La ruta segura es:

  1. Semana 1-4: p=none con informes activados. Analiza quién envía correo desde tu dominio.
  2. Semana 5-8: corrige los registros SPF y DKIM para cubrir todos los servicios legítimos.
  3. Semana 9-12: cambia a p=quarantine y monitoriza los informes.
  4. Semana 13+: si todo está en orden, cambia a p=reject.

Herramientas de verificación y monitorización

No necesitas ser un experto en DNS para verificar que tu configuración es correcta. Estas herramientas son gratuitas o tienen planes gratuitos:

  • MXToolbox (mxtoolbox.com): verifica SPF, DKIM, DMARC, blacklists y salud general de tu correo. Es la referencia del sector.
  • dmarcian (dmarcian.com): plataforma especializada en DMARC con visualización de informes y guías de implementación. Tiene plan gratuito para un dominio.
  • Google Admin Toolbox (toolbox.googleapps.com): herramientas de diagnóstico de Google para correo y DNS.
  • Mail Tester (mail-tester.com): envías un correo de prueba y te da una puntuación sobre la configuración técnica.
  • DMARC Analyzer (dmarcanalyzer.com): análisis e informes DMARC con interfaz visual.

Buenas prácticas de seguridad del correo empresarial

La autenticación técnica (SPF, DKIM, DMARC) es fundamental, pero no suficiente. Estas son las buenas prácticas que toda PYME debería implementar.

Autenticación de doble factor (2FA)

Activa la autenticación de doble factor en todas las cuentas de correo sin excepción. Un atacante que obtiene una contraseña (por phishing, reutilización de contraseñas o fuerza bruta) no podrá acceder a la cuenta si hay un segundo factor activo.

Los métodos más seguros son las aplicaciones de autenticación (Google Authenticator, Microsoft Authenticator, Authy) o las llaves de seguridad físicas (YubiKey). El SMS es mejor que nada, pero es vulnerable a ataques de SIM swapping.

Formación y concienciación

El eslabón más débil de la seguridad del correo son las personas. Invierte en formación periódica para que tu equipo sepa:

  • Identificar correos sospechosos (urgencia artificial, remitente ligeramente diferente, enlaces que no coinciden con el texto).
  • Verificar solicitudes de transferencias o cambios de datos bancarios por un segundo canal (teléfono, presencial).
  • No abrir adjuntos inesperados, especialmente si piden activar macros.
  • Reportar correos sospechosos al responsable de TI o seguridad.

Filtros antispam y antimalware

Configura filtros de correo robustos. Los proveedores principales ya incluyen protección avanzada:

  • Microsoft 365: Microsoft Defender for Office 365 incluye protección anti-phishing, safe attachments y safe links.
  • Google Workspace: incluye protección avanzada contra phishing y malware integrada en Gmail, con Machine Learning para detectar amenazas.
  • Zoho Mail: ofrece filtros antispam y protección contra phishing en todos sus planes.

Política de contraseñas

Establece una política de contraseñas robusta: mínimo 12 caracteres, combinación de mayúsculas, minúsculas, números y símbolos. Mejor aún: fomenta el uso de un gestor de contraseñas (Bitwarden, 1Password, KeePass) para que cada cuenta tenga una contraseña única y compleja.

Protocolo para transferencias y datos bancarios

Implementa una norma interna: ninguna transferencia bancaria ni cambio de datos de pago se ejecuta basándose únicamente en un email. Siempre se verifica por un segundo canal (llamada telefónica a un número conocido, no al que aparece en el email).

Cifrado del correo electrónico

TLS en tránsito

La mayoría de proveedores de correo modernos usan TLS (Transport Layer Security) para cifrar la comunicación entre servidores. Esto protege el contenido del correo durante el tránsito, pero no en reposo. Verifica que tu proveedor tenga TLS habilitado (la mayoría lo tiene por defecto).

S/MIME y PGP para cifrado extremo a extremo

Para comunicaciones especialmente sensibles (datos de clientes, información financiera, propiedad intelectual), existen protocolos de cifrado extremo a extremo:

  • S/MIME: integrado en Microsoft Outlook y Apple Mail. Requiere certificados digitales emitidos por una autoridad de certificación.
  • PGP/GPG: estándar abierto, más flexible pero con una curva de aprendizaje mayor. Clientes como Thunderbird lo soportan nativamente.

Para la mayoría de PYMEs, el cifrado extremo a extremo es excesivo para la comunicación diaria, pero puede ser necesario en sectores regulados (salud, legal, finanzas) o para intercambiar información clasificada.

Proveedores de correo recomendados para PYMEs

No todos los proveedores de correo ofrecen el mismo nivel de seguridad. Estas son las opciones más recomendables para una PYME:

Microsoft 365

La suite de Microsoft incluye Exchange Online con protección avanzada, cumplimiento normativo, eDiscovery, retención de correo y Microsoft Defender integrado. Es la opción más completa para empresas que ya usan el ecosistema Microsoft. Los planes Business empiezan desde 6 €/usuario/mes aproximadamente.

Google Workspace

Gmail empresarial con protección anti-phishing basada en IA, integración con Google Drive, Meet y el resto del ecosistema Google. Su filtrado de spam es probablemente el más efectivo del mercado. Los planes Business Starter comienzan desde unos 7 €/usuario/mes.

Zoho Mail

Alternativa más económica con buen nivel de seguridad, antispam y soporte DKIM/DMARC. Tiene un plan gratuito para hasta 5 usuarios, lo que la hace atractiva para microempresas. Los planes de pago empiezan desde 1 €/usuario/mes.

Errores comunes que debes evitar

No configurar SPF, DKIM ni DMARC

Es el error más grave y, sorprendentemente, el más frecuente. Muchas PYMEs usan correo con dominio propio pero nunca han configurado estos registros, dejando la puerta abierta al spoofing de su dominio.

Usar cuentas de correo gratuitas para la empresa

Operar con cuentas @gmail.com o @hotmail.com transmite falta de profesionalidad y, lo que es peor, no te permite implementar SPF, DKIM ni DMARC para tu dominio (porque no es tu dominio).

No revisar los informes DMARC

Configurar DMARC en modo p=none y no leer nunca los informes es como instalar una cámara de seguridad y no mirar las grabaciones. Los informes te revelan si alguien está intentando suplantar tu dominio.

Reutilizar contraseñas

Si la contraseña del correo corporativo es la misma que la de algún servicio externo que sufre una brecha, tu cuenta queda comprometida automáticamente. Las bases de datos de contraseñas filtradas se venden y comparten en foros del dark web, y los atacantes prueban esas credenciales sistemáticamente.

No tener backup del correo

Si un atacante accede a una cuenta y borra correos, o si un ransomware cifra el servidor de correo, necesitas tener copias de seguridad. Muchos proveedores cloud incluyen retención, pero verifica las políticas y, si es necesario, contrata un servicio de backup adicional.

Conclusión

La seguridad del correo electrónico no es un lujo ni un tema exclusivo de grandes corporaciones. Para una PYME, proteger el correo es proteger la columna vertebral de la comunicación empresarial. Los tres pilares técnicos —SPF, DKIM y DMARC— son gratuitos de implementar, solo requieren configurar registros DNS, y reducen drásticamente el riesgo de suplantación.

Combina esa protección técnica con autenticación de doble factor, formación del equipo y protocolos claros para transferencias, y tu empresa estará significativamente mejor protegida que la mayoría de PYMEs. Empieza hoy: verifica tu configuración en MXToolbox, activa 2FA en todas las cuentas y establece una política de verificación para pagos.

Aviso: Este artículo tiene carácter informativo y orientativo. No constituye asesoramiento profesional. Consulte con un especialista antes de tomar decisiones. Los precios y disponibilidad mencionados pueden variar.

AUDITORIA GRATUITA

Auditoría Exprés de Ciberseguridad para PYMEs

10 preguntas clave para evaluar el nivel de protección de tu empresa + puntuación con semáforo de riesgo + recomendaciones. PDF de 2 páginas, gratis.

Descargar la auditoría gratuita →
Aviso importante: CiberPIME publica contenido educativo sobre ciberseguridad. No ofrecemos servicios profesionales de seguridad informatica ni asesoramiento personalizado. Para decisiones criticas de seguridad, consulte un profesional certificado.

Artículos relacionados

Seguridad del Correo Electrónico Empresarial: SPF, DKIM y DMARC

Gestor de contraseñas para empresas: comparativa y guía práctica 2026

Gestores de contraseñas para PYMEs 2026: 1Password, Bitwarden, LastPass, Dashlane, Keeper y …

Seguridad del Correo Electrónico Empresarial: SPF, DKIM y DMARC

Antivirus para empresas: comparativa y guia de eleccion 2026

Comparativa antivirus para PYMEs 2026: Bitdefender, ESET, Kaspersky, Norton, Defender y Sophos. …

Seguridad del Correo Electrónico Empresarial: SPF, DKIM y DMARC

Phishing: Cómo Identificar Correos Fraudulentos y Proteger tu Empresa

Aprende a detectar ataques de phishing en tu empresa: señales de alerta, tipos de phishing más …