Procedimientos 5 minutos de lectura

SEGURIDAD EN CORREO Y ANTI-PHISING: DE SPF/DKIM/DMARC A CULTURA DIGITAL

Introducción

El correo electrónico sigue siendo el vector de ataque número uno.
El phishing, los adjuntos maliciosos y la suplantación de identidad explotan el mismo punto débil: la confianza.
Da igual cuántos filtros tengas si los empleados siguen creyendo que “parece legítimo”.

La seguridad del correo no se limita a configurar DNS: requiere tecnología, procesos y cultura.

Por qué importa

  • El 90% de los ciberataques comienzan con un correo.
  • La suplantación de dominio (spoofing) se previene con políticas técnicas bien configuradas.
  • La formación reduce hasta un 70% los clics en phishing.
  • El correo es evidencia y canal crítico de comunicación corporativa.

Controles ISO/IEC 27002 relacionados

  • A.8.20 – Seguridad de redes: filtrado de contenidos, protección frente a código malicioso.
  • A.8.16 – Detección de anomalías: monitorización de eventos sospechosos.
  • A.5.24 – Gestión de incidentes: respuesta ante phishing y fuga de información.

Capas de defensa

  1. DNS y autenticación: configurar correctamente SPF, DKIM y DMARC.
  2. Filtrado de correo: antispam, antimalware, sandboxing de adjuntos y enlaces.
  3. Protección del usuario: formación, simulaciones y concienciación continua.
  4. Monitorización y respuesta: alertas automáticas y workflows ante intentos de phishing.

Errores frecuentes

  • No tener DMARC configurado o dejarlo en modo “none” indefinidamente.
  • Permitir reenviados automáticos o uso de correo personal para asuntos corporativos.
  • No auditar listas de distribución ni accesos delegados.
  • Asumir que “Microsoft/Google lo filtra todo”.
  • No educar a usuarios y directivos (los más atacados).

Buenas prácticas técnicas

  • SPF: define los remitentes autorizados del dominio (v=spf1 include:_spf.proveedor -all).
  • DKIM: firma criptográfica de cada mensaje saliente.
  • DMARC: política de autenticación y reporte (p=quarantine o p=reject).
  • ARC (Authenticated Received Chain) en entornos con reenvíos legítimos.
  • MFA en acceso al buzón y OWA.
  • Bloqueo de macros y adjuntos ejecutables por política.

Buenas prácticas culturales

  • Simulaciones de phishing internas periódicas.
  • Campañas de concienciación trimestrales con ejemplos reales.
  • Canal interno de reporte rápido de correos sospechosos.
  • Reconocer públicamente a quienes reportan correctamente intentos.

Checklist rápida

  1. ¿SPF/DKIM/DMARC configurados y en modo enforce?
  2. ¿Antispam/antimalware con sandbox y reputación activados?
  3. ¿MFA en acceso al correo y administración?
  4. ¿Simulaciones de phishing realizadas al menos 2 veces/año?
  5. ¿Canal claro para reportar correos sospechosos?

Herramientas y recursos

  • Gestión y validación DNS: DMARC Analyzer, MXToolbox, Google Postmaster.
  • Formación y simulación: KnowBe4, Phished.io, Cofense, Microsoft Attack Simulator.
  • Filtrado avanzado: Microsoft Defender for 365, Proofpoint, Barracuda, Mimecast.

Relación con otras áreas

  • Gestión de incidentes: los correos sospechosos deben generar tickets automáticos.
  • Gestión de accesos: credenciales comprometidas = entrada directa.
  • Protección de datos: correo cifrado en tránsito y en reposo.

Reflexión final

Los filtros detienen mensajes. La cultura detiene engaños.
La tecnología no sustituye la atención, la complementa.

Conclusión

El correo seguirá siendo el vector más usado mientras siga siendo el más efectivo.
En Gondor ayudamos a las organizaciones a proteger su correo y formar a sus equipos en detección de phishing, autenticación de dominios y respuesta ante amenazas, alineados con ISO/IEC 27002 y ENS.