Guía Anti-Spoofing: Cómo proteger tu dominio de la suplantación

por | Nov 18, 2025 | Ataques Digitales, Comunicaciones seguras, Guías, Navegación segura, Recursos sobre medidas de prevencion, Vulneraciones técnicas | 0 Comentarios

El spoofing es una técnica de suplantación de identidad en la que un atacante falsifica la dirección de un remitente para enviar un correo electrónico que parece legítimo y que proviene de una fuente confiable, engañando a las personas que lo reciben con la intención de que compartan información sensible o que descarguen archivos maliciosos.

En la siguiente imagen hay un ejemplo de spoofing, donde podemos ver un correo electrónico que es del “Soporte de Facebook”, la dirección del correo parece legítima, sin embargo, el contenido del correo es muy sospechoso porque te pide iniciar sesión (entregar tu correo y contraseña) para evitar que tu cuenta sea suspendida y el enlace no es el enlace legítimo para iniciar sesión en Facebook.

De esta manera los atacantes se hacen pasar por un dominio conocido, generan confianza usando una cuenta de correo electrónico que parece legítima pero llevan a cabo el ataque digital.

Captura de pantalla de un correo electrónico de Soporte de Facebook que solicita iniciar sesión a través de un enlace malicioso.

 

¿Cómo protegerse del spoofing? 

Para proteger tu dominio y mantener la confianza de tus contactos y aliades, es fundamental implementar tres registros en la configuración DNS del dominio a proteger:

En esta guía aprenderás cómo configurar correctamente SPF, DKIM y DMARC para tu dominio desde la herramienta de configuración del DNS “Zone Editor” en cPanel (pero la configuración funciona también para otros proveedores de Hosting y se puede hacer desde el editor de DNS de tu proveedor, como el Editor de DNS de GoDaddy), verificar su funcionamiento y aplicar buenas prácticas para asegurar la autenticidad de tus correos electrónicos.

Configuración de nuestro DNS

SPF (Sender Policy Framework)

El registro SPF indica que usuarios o direcciones IP están autorizadas a enviar correos electrónicos en nombre de tu dominio. Cuando los servidores de correo reciben un mensaje que supuestamente proviene de tu dominio, consultan tu registro SPF para verificar si el servidor remitente está incluido.

El registro SPF se añade al DNS de tu dominio como un registro TXT.

Pasos para configurarlo en cPanel

  1. Accede a tu cPanel.

En el menú principal, busca la sección Correo electrónico y haz clic en Entrega de emails (Email Deliverability).

Captura de pantalla de la sección Entrega de Emails de cPanel. Muestra un dominio con una advertencia acerca de problemas de seguridad con un botón para administrar la configuración.

2. Busca tu dominio en la lista y selecciona Manage o Administrar. Busca la opción SPF.

Captura de pantalla de la configuración del registro SPF, muestra los campos nombre y valor del registro.

 

¿Qué significa este registro TXT?

v=spf1 +a +mx +ip4:XXX.XXX.XXX.XXX include:_spf.google.com ~all

  • v=spf1
    • Indica la versión del protocolo SPF. Siempre debe comenzar así.
  • +mx
    • Autoriza a los servidores MX (los que reciben correos electrónicos) de tu dominio a también enviar correos.
  • +a
    • Permite que la dirección IP asociada al registro A (tu dominio principal) también esté autorizada para enviar correos.
  • +ip4:XXX.XXX.XXX.XXX
    • Permite que esta dirección IP envíe correos a nombre de tu dominio.
  • +include:spf.mysecurecloudhost.com
    • Indica que también deben considerarse válidos los servidores autorizados por otro dominio, en el ejemplo es el proveedor de correo _spf.mysecurecloudhost.com. pero también puede ser _spf.google.com. si usas los servicios de Google Workspace.
  • ~all
    • Define qué hacer con los correos que no provienen de fuentes autorizadas:
      • ~all = “soft fail”: el correo no autorizado se marcará como sospechoso, pero podría entregarse.
      • -all = “fail”: el correo no autorizado se rechazará directamente.

Si aún no tienes un registro SPF, haz clic en Instalar el Registro Sugerido, el botón que se encuentra hasta abajo de los campos del registro, así como se muestra en la imagen anterior.

Si usas tu dominio para enviar correos con Google Workspace te recomendamos revisar la documentación oficial de Google para configurar SPF.

3. Para verificar el registro podemos revisarlo en el Editor de Zonas (Editor Zone), lo encuentras en la sección Dominios, también lo puedes encontrar usando las Herramientas de búsqueda que están en el menú superior derecho. Este editor es una herramienta que permite gestionar los registros del “Sistema de Nombres de Dominio” (DNS) de un dominio.

Captura de pantalla del Editor de Zonas.

El registro lo encontraremos en formato TXT, y comienza con v=spf1.

Captura de pantalla que muestra el registro TXT con la configuración SPF.

 

DKIM (DomainKeys Identified Mail)

El registro DKIM añade una firma digital a los correos electrónicos salientes del servidor. Los servidores que reciben estos correos pueden verificar esa firma y confirmar que el mensaje no fue alterado.

Pasos para configurarlo en cPanel:

  1. Entra a tu cPanel y dirígete a Entrega de emails (Email Deliverability), ubica tu dominio y haz clic en Administrar.

En la sección DKIM, haz clic en Generar Clave DKIM Local o Activar DKIM.

Captura de pantalla de una advertencia, no existe una llave DKIM para este servidor, botón Generar clave DKIM local.

Mostrará una ventana para configurar nuevamente un registro TXT en tu zona DNS con un nombre parecido a: default._domainkey.tudominio.com y un valor largo que representa la clave pública.

Captura de pantalla de la configuración del registro DKIM con los campos nombre y valor de la clave.

3. Haz clic en instalar el registro Sugerido. Puedes consultar el registro en el Editor de Zonas o “Editor Zone” del DNS.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

Permite a las personas propietarias de dominios indicar a los servidores que reciben los correos qué hacer con los correos que no superan las validaciones SPF y DKIM, y además recibir reportes sobre intentos de envío no autorizados.

Configurar DMARC en cPanel

  1. En cPanel dirígete al Editor de zona DNS (Zone Editor), busca tu dominio y haz clic en Administrar.

Captura de pantalla del Editor de Zonas de DNS con el botón de Añadir Registro señalado.

2. Haz clic en Añadir registro (Add Record) y añade un registro “TXT” (TXT Record).

Captura de pantalla del Editor de Zonas de DNS con las opciones del botón de Añadir Registro.

3. Completa los campos del registro de la siguiente manera:

Nombre (Name): _dmarc (se autocompletará con tu dominio)

Tipo (Type): TXT

Registro (Record):

Selecciona alguna de las siguientes medidas:

  • Modo de monitoreo: Recopila reportes y lo envía a una cuenta de correo electrónico, en este caso [email protected]
  • Modo cuarentena: Pone en cuarentena correos que son sospechosos y envia un reporte a una cuenta de correo electrónico.
  • Modo SPAM: Rechaza correos no autenticados y envía un reporte.

Captura de pantalla del Editor de Zonas de DNS con los campos de un nuevo registro.

4. Guarda el registro que generaste.

Verificación de cambios con MXToolbox y DNS Checker

Después de agregar tus registros SPF, DKIM y DMARC:

1. Usa MXToolbox  para revisar que estén activos y válidos.

Captura de pantalla de MxToolBox con un análisis del dominio de prueba donde pasa todas las verificaciones de la configuración.

2. Da clic en el botón Find Problems. Este botón te dará información de tus registros y te notificará si alguno no está bien configurado.

Captura de pantalla de MxToolBox con los resultados del análisis “Find Problems”, donde no muestra errores.

3. Con DNS Checker puedes confirmar su propagación global, escribe el nombre de tu dominio y selecciona los registros TXT.

En la propagación deberían verse las configuraciones de SPF.

Captura de pantalla de DNS checker con el mapa de propagación del dominio.

4. Por último envía un correo electrónico de prueba desde tu dominio a una cuenta externa y revisa los encabezados del mensaje.

5. En gmail selecciona los tres puntos del correo en el menú superior derecho dentro del mensaje y la opción “Mostrar original”

Captura de pantalla del correo de prueba, con las opciones del correo, señalando la opción Mostrar original.

6. En el mensaje original podrás verificar las cabeceras.

Captura de pantalla de los encabezados del correo original donde muestra la verificación SPF, DKIM, DMARC.

 

Buenas prácticas

Implementar correctamente SPF, DKIM y DMARC es una de las formas más efectivas de proteger tu dominio frente al spoofing y mejorar la reputación de tus correos electrónicos, además, es una práctica estándar de seguridad que es importante implementar.

También te recomendamos las siguientes buenas prácticas:

  • Mantén tus registros SPF, DKIM y DMARC actualizados según los servicios de correo que utilices. Puedes incorporar más valores de SPF según sea el caso, revisa la documentación de Google acerca del formato de los registros SPF y las etiquetas.
  • Revisa periódicamente los reportes DMARC para detectar si alguien hace usos indebidos de tu dominio.
  • Usa herramientas como MXToolbox o DNS Checker para validar tus configuraciones del servidor de correo.
  • Haz ejercicios de práctica para phishing como los de Shira app para que tú y tu equipo puedan reconocer correos sospechosos, incluso si parecen provenir de tu propio dominio.

Con estas buenas prácticas tu dominio estará mucho mejor protegido contra la suplantación de identidad y tus correos electrónicos tendrán mayor probabilidad de llegar correctamente a las bandejas de entrada de tus destinatarios y no terminar en la carpeta de SPAM o correo no deseado.

Si necesitas ayuda para implementar estas configuraciones también puedes escribirnos a [email protected]

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Tabla de contenido

Tabla de Contenido