Email sigue siendo puerta a ciberataques en 2025

Por
Helienio
-
0
4


El correo electrónico vuelve a ser el eslabón más débil: reporte de Valimail señala que en 2025 el e-mail sigue alimentando la desinformación y los ciberataques

La batalla contra la desinformación y el fraude digital se juega, todavía, en la bandeja de entrada. Esa es la principal conclusión del reporte “2025 Disinformation and Malicious Email” presentado por Valimail, un estudio que examina millones de dominios corporativos para averiguar hasta qué punto las organizaciones han blindado —o descuidado— su identidad de correo.

El panorama no es alentador: el spoofing de dominios y los correos asistidos por inteligencia artificial continúan encontrando terreno fértil entre políticas de autenticación incompletas y una falsa sensación de seguridad.

Email DMARC
Email DALL-E

Una radiografía global, sector por sector

El informe, que analiza más de siete millones de dominios públicos y privados, confirma que la adopción de DMARC (el estándar que permite a los administradores declarar qué servidores están autorizados a enviar correo en su nombre) va en aumento, pero no a la velocidad ni con la contundencia necesarias.

Casi la mitad de los dominios revisados declaran políticas “p=none”, el equivalente a mirar hacia otro lado cuando el atacante se hace pasar por la marca. En sectores críticos —salud, educación y organismos gubernamentales— la brecha es aún más pronunciada, lo que hace que campañas de suplantación y phishing tengan un índice de éxito superior a la media.

Por qué el e-mail sigue siendo la puerta favorita

Valimail atribuye la persistencia del problema a tres factores:

  1. Baja barrera técnica para el atacante. El correo opera sobre un protocolo (SMTP) que, de forma nativa, no autentica al remitente. El coste de falsificar un dominio es casi cero.
  2. Sobreconfianza en las herramientas de filtrado. Muchos equipos de TI confunden “tener DMARC” con “estar protegidos”, cuando la clave es aplicar políticas de cuarentena o rechazo.
  3. Evolución acelerada de la IA generativa. Los modelos de lenguaje producen textos impecables, minimizan errores ortográficos y aumentan la tasa de clics en vínculos maliciosos, haciendo que incluso usuarios entrenados caigan en la trampa.

Qué recomiendan los analistas

El reporte insiste en que DMARC, bien implementado, “sigue siendo la defensa de referencia” contra la suplantación de dominios. Pero no basta con publicarlo:

  • Auditoría continua. Mapear cada tercero que envía correo en nombre de la organización y validar que sus registros SPF y DKIM estén actualizados.
  • Endurecer la política gradualmente. Pasar de p=none a p=quarantine y, finalmente, a p=reject tras monitorear falsos positivos.
  • Visibilidad para los ejecutivos. Valimail subraya que los responsables de negocio deben recibir reportes claros sobre los intentos de falsificación bloqueados; de lo contrario, las inversiones en autenticación pierden prioridad frente a otros proyectos.

Más allá de la tecnología: el factor humano

Aunque la autenticación detiene al atacante en la puerta, el usuario sigue siendo la última línea de defensa. El estudio recuerda que los ataques de 2024 y comienzos de 2025 combinaron correos verosímiles con deepfakes de voz y vídeo para reforzar la narrativa maliciosa. Por eso, el entrenamiento de los empleados —con ejercicios de phishing simulado y escenarios basados en IA— continúa siendo esencial.

Un recordatorio oportuno en pleno “año cero” de la regulación

La publicación del informe coincide con la entrada en vigor de nuevas exigencias de Gmail y Yahoo!, que desde febrero de 2024 comenzaron a rechazar correos masivos de dominios sin DMARC estricto.

Según Valimail, estos cambios regulatorios están acelerando la adopción de políticas “reject”, pero la curva de aprendizaje es desigual: las grandes empresas avanzan, mientras que pymes y entidades públicas van a la zaga.

Lejos de ser una reliquia de los noventa, el e-mail se mantiene como el vector de ataque más rentable. El último informe de Valimail lo demuestra con cifras y, sobre todo, con un mensaje claro: autenticar es obligatorio, pero autenticar bien es lo que marca la diferencia.

En un 2025 dominado por IA generativa y narrativas manipuladas, blindar el dominio corporativo ya no es solo una cuestión de higiene técnica; es una responsabilidad que impacta directamente en la confianza de clientes, ciudadanos y, en última instancia, en la estabilidad de la información pública.

Siguenos por Twitter a través de @Geeksroom y no te pierdas todas las noticias, cursos gratuitos y demás artículos. También puedes seguirnos a través de nuestro canal de Youtube para ver nuestros vídeos, a través de Instagram para ver nuestras imágenes! O vía Bluesky si ya estás cansado de Twitter





Enlace de la Fuente

Artículos relacionadosMás del autor