El phishing se oculta a plena vista por lo que la autenticación de correo ya no protege a tu empresa

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

En la actualidad, el phishing ha dejado de ser una amenaza rudimentaria para convertirse en una técnica sofisticada y cada vez más difícil de detectar. Aunque los protocolos de autenticación de correo como SPF, DKIM y DMARC han sido pilares fundamentales en la protección del correo electrónico, la realidad es que estas medidas ya no son suficientes por sí solas para frenar a los ciberdelincuentes. Un análisis reciente de la unidad de investigación de SILIKN revela cómo estas herramientas pueden ser burladas con facilidad y por qué es urgente adoptar estrategias de seguridad más completas.

Durante años, el phishing se asoció con correos mal escritos y promesas demasiado buenas para ser verdad. Sin embargo, los atacantes actuales han elevado sus tácticas mediante la suplantación de dominios legítimos y el uso de cuentas comprometidas. Un ejemplo frecuente es el registro de dominios que imitan a los originales cambiando un carácter casi imperceptible (como reemplazar una “i” por una “l”) para enviar correos que, a simple vista, parecen confiables. Este tipo de mensajes pueden superar sin dificultad las validaciones básicas de SPF y DKIM, logrando aterrizar en las bandejas de entrada sin levantar sospechas.

¿Por qué fallan los protocolos de autenticación? Aunque los sistemas de autenticación de correo cumplen un rol importante, tienen limitaciones significativas:

- SPF (Sender Policy Framework): valida si el servidor emisor está autorizado a enviar correos en nombre de un dominio, pero no revisa el contenido ni garantiza la legitimidad del dominio.

- DKIM (DomainKeys Identified Mail): verifica la integridad del mensaje mediante una firma digital, aunque un dominio malicioso configurado correctamente puede pasar esta verificación sin problema.

- DMARC (Domain-based Message Authentication, Reporting and Conformance): permite definir políticas para correos no autenticados, combinando SPF y DKIM, pero su efectividad depende de una configuración estricta que muchas organizaciones no aplican adecuadamente.

Incluso con una implementación rigurosa de estos protocolos, los ataques provenientes de cuentas legítimas que han sido comprometidas continúan representando un grave riesgo. En estos casos, el correo sí pasa todas las verificaciones técnicas, pero su contenido ha sido manipulado por un atacante.

Más allá de las fallas técnicas, el éxito de muchos ataques de phishing reside en la ingeniería social. Los ciberdelincuentes invierten tiempo en estudiar a sus víctimas, personalizando mensajes que apelan a la urgencia, la autoridad o la confianza. Un simple correo que aparenta venir del área de TI solicitando una “verificación urgente de cuenta” puede ser suficiente para que incluso usuarios experimentados caigan en la trampa.

Dado que las herramientas tradicionales ya no bastan, las organizaciones deben adoptar un enfoque integral y proactivo para protegerse. Algunas recomendaciones clave incluyen:

- Análisis avanzado de contenido: implementar soluciones que examinen el cuerpo del correo, detectando señales de phishing como enlaces sospechosos o un lenguaje manipulador.

- Protección en tiempo real: utilizar tecnologías que inspeccionen archivos adjuntos y enlaces en entornos aislados (sandboxing) antes de que lleguen al destinatario.

- Capacitación continua: formar a los empleados para que identifiquen mensajes sospechosos y eviten compartir credenciales o hacer clic en enlaces dudosos.

- Configuración estricta de DMARC: establecer una política de “rechazo” para correos no autenticados, aunque esto requiere monitoreo y ajustes constantes para evitar impactos operativos.

- Autenticación multifactor (MFA): fortalecer el acceso a cuentas de correo para mitigar el riesgo de accesos no autorizados, incluso cuando las credenciales han sido comprometidas.

El phishing sigue siendo una de las amenazas más persistentes y peligrosas en el mundo de la ciberseguridad. Los protocolos de autenticación, si bien son necesarios, ya no garantizan una protección completa frente a las técnicas cada vez más complejas de los atacantes. La combinación de debilidades técnicas y manipulación humana crea un entorno ideal para que el phishing prospere.

Por ello, las organizaciones deben evolucionar sus estrategias, combinando tecnología avanzada, configuraciones robustas y educación constante para enfrentar una amenaza que hoy se presenta a plena vista. En este nuevo escenario, la prevención ya no depende solo del sistema, sino también de la conciencia y preparación de cada usuario.

Para más información, visita: https://www.silikn.com/