2check.click

4 min de lectura Actualizado: junio de 2026

Suplantación de correo electrónico: cómo funciona y cómo detectarla

El email spoofing consiste en falsificar el remitente de un correo electrónico. Un mensaje puede aparecer como si procediera de noreply@agenciatributaria.es cuando en realidad lo envía un servidor controlado por delincuentes. Esta técnica es la base de gran parte de los ataques de phishing que llegan a las bandejas de entrada cada día.

Por qué es posible falsificar el remitente

El protocolo SMTP, que mueve el correo por Internet, fue diseñado décadas atrás sin mecanismos de autenticación obligatoria. Cualquier servidor puede declarar que envía en nombre de cualquier dominio, igual que se puede escribir una dirección de remitente falsa en un sobre de papel. Sin controles adicionales (SPF, DKIM, DMARC), el servidor receptor no tiene forma automática de verificar si el remitente es legítimo.

Dirección envelope frente a dirección de display

Un correo tiene dos "remitentes" distintos:

  • Dirección envelope (Return-Path): la que usa el protocolo SMTP internamente para gestionar rebotes. No suele verse en los clientes de correo.
  • Dirección de display (header From): la que aparece en la pantalla como "De:". Esta es la que los estafadores falsifican porque es la que el usuario lee.

SPF verifica la dirección envelope; DMARC exige que ambas estén alineadas, cerrando así la brecha más habitual.

Ejemplos reales de spoofing en España

  • Un correo que muestra noreply@bbva.es como remitente pero proviene de noreply@bbva-seguridad.net: el dominio del envelope es diferente al de la entidad real.
  • Mensajes en nombre de Correos con el asunto "Su paquete está retenido" enviados desde servidores en el extranjero que no están autorizados por el dominio correos.es.
  • Avisos de "devolución de impuestos" que imitan la Agencia Tributaria pero cuyo Return-Path apunta a un dominio registrado horas antes.

Cómo revisar las cabeceras de un email

La mayoría de los clientes de correo permiten ver el mensaje original con todas sus cabeceras:

  • Gmail: abra el mensaje, pulse el menú de tres puntos y seleccione "Mostrar original".
  • Outlook (web): acciones del mensaje → "Ver código fuente del mensaje".
  • Apple Mail: menú Visualización → "Mensaje" → "Todos los encabezados".

Busque las líneas Return-Path, Received y Authentication-Results. Si Return-Path pertenece a un dominio distinto al que aparece en "De:", es una señal de alarma. En Authentication-Results verá si SPF, DKIM y DMARC pasaron o fallaron.

Qué evitan SPF, DKIM y DMARC

  • SPF especifica qué servidores están autorizados a enviar en nombre de un dominio. Si el servidor que envía no figura en ese registro, SPF falla.
  • DKIM añade una firma criptográfica al mensaje. Si alguien altera el contenido o envía desde un servidor no autorizado, la firma no coincide.
  • DMARC actúa como capa de política: exige que SPF o DKIM pasen y que el dominio autenticado coincida con el del header From. Cuando no se cumple, la política indica si el correo debe rechazarse, ir a spam o solo reportarse.

Ninguno de los tres protege contra dominios similares (por ejemplo, bbva-online.com en lugar de bbva.es); para eso hay que revisar la dirección completa con atención.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, las redirecciones y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿Puedo confiar en un correo si el remitente parece oficial?

No. La dirección de display se puede falsificar fácilmente. Revise las cabeceras completas del mensaje y compruebe los resultados de autenticación antes de actuar sobre cualquier solicitud urgente.

¿El filtro de spam protege contra el spoofing?

Los filtros modernos usan SPF, DKIM y DMARC para detectar mensajes falsificados, pero no son infalibles. Los atacantes pueden registrar dominios propios con autenticación correcta y usarlos para phishing, superando así los filtros.

¿Cuál es la diferencia entre spoofing y phishing?

El spoofing es una técnica concreta: falsificar el remitente. El phishing es el objetivo final: engañar al usuario para robar credenciales o dinero. El spoofing es uno de los métodos más usados dentro de los ataques de phishing.

¿Cómo sé si mi dominio está siendo suplantado?

Si tiene un dominio propio, configure DMARC con la opción de reportes (rua=mailto:...). Recibirá informes diarios de los servidores que intentan enviar en nombre de su dominio, incluyendo los no autorizados.

¿Qué debo hacer si recibo un correo sospechoso?

No haga clic en ningún enlace. Copie la URL de cualquier botón o enlace y analícela en 2check.click. Si el mensaje solicita datos personales o bancarios, contacte directamente con la entidad a través de su web oficial.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados