LEGALAUDIT
Cyber Coach

Phishing

Email de phishing: suplantación de marca y DMARC

Emails que fingen ser tu banco, la oficina de correos, la agencia tributaria o un compañero. Defiéndete leyendo las cabeceras, SPF, DKIM y DMARC.

8 min de lecturaPrincipiante

Señales de alerta a reconocer

  • Remitente con un dominio que parece similar pero no es idéntico
  • SPF=fail, DKIM=none o DMARC=quarantine en las cabeceras técnicas
  • Enlace con texto amigable que apunta a un dominio real diferente
  • Solicitud urgente de credenciales, OTP, datos de tarjeta o restablecimiento de contraseña
  • Adjunto inesperado en HTML, ZIP o documento con macros
  • Lenguaje ligeramente poco natural o traducciones mezcladas
  • Reply-To distinto del From visible
  • Referencia a una factura, paquete o caso que no reconoces

Qué hacer ahora

  • No hagas clic: abre el sitio oficial manualmente o usa la app que tienes instalada
  • Expande la cabecera completa y comprueba SPF/DKIM/DMARC con un analizador
  • Reenvía el mensaje como adjunto a abuse@ o a tu CERT nacional
  • Si te han comprometido: cambia la contraseña, activa 2FA por hardware, audita las reglas de reenvío
  • Conserva el archivo eml original como prueba forense (hash, marca de tiempo, cabeceras)
  • Avisa a compañeros o familiares si el tema también les afecta

Caso real

Email falso de reembolso de la agencia tributaria, primavera de 2025

Una pyme italiana recibe lo que parece un email de la agencia tributaria titulado 'Reembolso F24 retenido - acción requerida en 24h'. El logotipo es perfecto, el tono formal, el enlace lleva a 'agenziaentrate-rimborsi.servizi-fiscali.cloud'.

El contable sigue el enlace, escribe las credenciales del portal fiscal corporativo y un OTP por SMS. En 12 horas los delincuentes emiten cuatro delegaciones a un intermediario falso y exfiltran los registros de IVA. El CERT nacional había marcado el dominio 72 horas antes.

El análisis forense mostró que el dominio se registró cinco días antes del ataque en un registrador offshore, las cabeceras mostraban SPF fail y DKIM ausente, y la IP de envío provenía de un hosting blindado conocido. Mythos reconstruyó la cadena de pruebas para la denuncia penal.

Qué puede hacer Mythos en este caso

  • Análisis de cabeceras SMTP con SPF/DKIM/DMARC e inspección de la cadena Received
  • Reputación del dominio del remitente, historial de registro y WHOIS
  • Extracción de URL, cadena de redirecciones, captura del landing y huella digital
  • Clasificación de suplantación de marca y contraste con el CERT
  • Dossier PDF firmado para la denuncia penal

Próximos pasos

Analiza el email con MythosLección: detecta el phishing en 60 segundos