Cuando se habla de protección de datos, normalmente pensamos en políticas de privacidad, consentimientos o requisitos legales. Sin embargo, muchas brechas de seguridad empiezan de una forma mucho más sencilla: con un correo electrónico que parece legítimo y no lo es.

Coincidiendo con el aniversario de la entrada en vigor del Reglamento General de Protección de Datos (RGPD), aplicable desde el 25 de mayo de 2018, conviene recordar que proteger la información personal también implica reforzar uno de los canales más utilizados dentro de cualquier organización: el correo electrónico.

Las empresas reciben cada día decenas – o incluso cientos – de emails. Y los ciberdelincuentes lo saben. En medio de ese volumen constante de mensajes, un correo fraudulento puede

El email, una de las principales puertas de entrada a una brecha de datos

La suplantación de identidad por correo electrónico sigue siendo una de las técnicas más utilizadas para engañar a empleados, clientes y proveedores.

El atacante envía un mensaje que aparenta ser legítimo, suplantando la identidad de una marca, un directivo, una entidad bancaria o un organismo oficial, con el objetivo de cometer fraude financiero, distribuir ransomware o robar credenciales e identidad, entre otros delitos.

A estos impactos se suman los daños reputacionales, ya que se deteriora la imagen de la marca y se pierde la confianza dentro de su ecosistema de clientes, proveedores y socios de la empresa suplantada.

Y no se trata de una amenaza reservada únicamente a grandes compañías. Cualquier empresa puede convertirse en objetivo.

Un ejemplo reciente tuvo lugar en mayo de 2026, cuando la Agencia Tributaria alertó sobre una campaña de phishing que suplantaba tanto a la AEAT como al Ministerio de Hacienda. Los correos reclamaban un supuesto pago por una “regularización tributaria internacional” mediante criptomonedas, utilizando lenguaje técnico, apariencia institucional y mensajes urgentes para presionar a las víctimas. La propia AEAT tuvo que recordar públicamente que no solicita pagos mediante wallets ni criptomonedas.

Este tipo de campañas demuestra cómo ha evolucionado el phishing en los últimos años. Ya no se trata solo de robar contraseñas a través de una web falsa, sino de provocar acciones inmediatas: realizar transferencias, descargar archivos maliciosos o confiar en identidades aparentemente legítimas.

Proteger el dominio corporativo para frenar la suplantación

Una parte fundamental de la protección del correo electrónico corporativo consiste en reforzar la seguridad del dominio desde el que se envían los mensajes. Para ello, se utilizan mecanismos de autenticación como SPF, DKIM y DMARC, que permiten verificar si un correo ha sido enviado realmente desde servidores autorizados y si ha sido manipulado o interceptado durante su tránsito.

DMARC, en particular, permite definir políticas de validación más estrictas sobre el uso del dominio, apoyándose en SPF y DKIM para comprobar la legitimidad de los mensajes enviados. De este modo, se asegura que únicamente los correos procedentes de fuentes autorizadas puedan ser entregados correctamente, reduciendo el riesgo de suplantación de identidad y abuso del dominio.

De forma sencilla, SPF define qué servidores pueden enviar emails en nombre de un dominio; DKIM verifica la integridad del mensaje en base a criptografia; y DMARC establece qué debe hacer el correo enviado cuando no supera la validación de SPF y DKIM.

Fran Mollá, Channel Account Manager de Sendmarc en Ontinet.com, explica que “proteger el dominio corporativo es una pieza clave dentro de cualquier estrategia de ciberseguridad y de posicionamiento de marca corporativa. No solo evita los ataques de suplantación de identidad, sino también protege la confianza de clientes, empleados y proveedores haciendo de internet un lugar más seguro para todos.

Aplicar políticas estrictas de DMARC en los dominios es comparable a proteger una marca corporativa mediante un seguro. Del mismo modo que las personas contratan seguros de hogar o de coche como medida de prevención, las empresas deberían implementar políticas DMARC robustas en sus dominios para prevenir suplantaciones de identidad y posibles daños reputacionales.

Mollá añade que “la recomendación pasa por revisar la correcta configuración de los protocolos SPF y DKIM en todas las fuentes que envían correo desde nuestro dominio, y aplicar DMARC de forma progresiva, es decir, escalando hacia políticas más estrictas a medida que se garantiza que todo el correo legítimo y autorizado está correctamente validado. De este modo, se asegura una alta entregabilidad del correo legítimo, al mismo tiempo que se rechaza aquel que no supera las validaciones de autenticación”.