Buenas prácticas en materia de seguridad del correo electrónico y cómo aplicarlas

La mayoría de los incidentes de seguridad que tienen su origen en el correo electrónico no comienzan con un ataque sofisticado. Comienzan con un usuario que no reconoció un mensaje de phishing, hizo clic en un enlace y le abrió la puerta al atacante. Los controles técnicos ya existían. La falla radicaba en cómo se configuraban, se mantenían y cómo los utilizaban usuarios debidamente formados.

Esa es la realidad práctica a la que se enfrenta INKY, el software de seguridad del correo electrónico de Kaseya, y por eso las prácticas que se indican a continuación se centran en lo que realmente reduce el riesgo, en lugar de en lo que queda bien en una lista de verificación de cumplimiento.

Por qué la seguridad del correo electrónico requiere una atención constante

Una configuración que solo se realiza una vez no constituye una estrategia de seguridad. Las tácticas de los atacantes cambian más rápido de lo que tardan la mayoría de las organizaciones en actualizar sus defensas. Los atacantes se adaptan a los filtros que haya instalados, detectan las brechas y las aprovechan.

El Informe de Investigaciones sobre Fugas de Datos de Verizon de 2025 reveló que el factor humano contribuyó al 60 % de las fugas, siendo el phishing el método de ingeniería social más utilizado. Los ataques con motivaciones económicas recurren cada vez más al «compromiso del correo electrónico empresarial» (BEC), que no genera ningún archivo adjunto ni enlace malicioso que pueda detectar un filtro. Simplemente parece que un compañero de trabajo o un proveedor de confianza está realizando una solicitud razonable.

Esto significa que las prácticas que se indican a continuación no son pasos que se puedan «instalar y olvidar». Requieren las herramientas adecuadas, una ejecución coherente y una base de usuarios que sepa qué hacer cuando algo parezca ir mal.

Cómo afecta a las empresas una seguridad deficiente del correo electrónico

Los argumentos económicos a favor de invertir en seguridad del correo electrónico son claros: el coste de una filtración de datos supera sistemáticamente al de la prevención por un margen considerable.

Según el informe de IBM de 2025 sobre el coste de una filtración de datos, una filtración relacionada con el phishing le cuesta a una organización, de media, 4,88 millones de dólares. Esa cifra incluye los costes de respuesta ante incidentes, los gastos legales y de notificación, las multas reglamentarias, la pérdida de negocio y el daño a la reputación. Para la mayoría de las pymes, una filtración de esa magnitud es irrecuperable.

Los ataques de BEC son especialmente perjudiciales porque, a menudo, no hay ningún indicio técnico que permita detectarlos ni ningún momento en el que el usuario haya cometido claramente un error. Un empleado que transfirió fondos basándose en un correo electrónico convincente que parecía proceder del director financiero hizo exactamente lo que se le pidió que hiciera. El Informe sobre Delitos en Internet de 2024 del FBI registró pérdidas por BEC por valor de 2.77 mil millones de dólares en más de 21.000 denuncias. Teniendo en cuenta que muchos incidentes no se denuncian, es casi seguro que la cifra real sea superior.

Más allá de la pérdida económica directa, los costes derivados se acumulan rápidamente. Una violación de la seguridad que haya tenido su origen en un buzón de correo electrónico desprotegido puede acarrear sanciones normativas en virtud de la HIPAA, el RGPD y la norma PCI DSS. Las reclamaciones al seguro cibernético relacionadas con incidentes de correo electrónico pueden hacer que suban las primas o dar lugar a disputas sobre la cobertura si no se han establecido los controles básicos. Además, el daño a la reputación derivado de una violación de la seguridad que se haya hecho pública puede costar las relaciones con los clientes que han tardado años en construirse.

Las 10 mejores prácticas para la seguridad del correo electrónico

Una seguridad sólida del correo electrónico se basa en la aplicación de controles adecuados en varias capas y en su mantenimiento constante. Las diez prácticas siguientes abordan las áreas de riesgo más importantes, desde la autenticación y el filtrado hasta el comportamiento de los usuarios y la supervisión de las cuentas.

1. Implantar la autenticación multifactorial (MFA)

La autenticación multifactorial es la medida de control más eficaz contra el acceso no autorizado a las cuentas. El robo de una contraseña es el vector de ataque más habitual contra las credenciales y, sin la autenticación multifactorial (MFA), es todo lo que necesita un atacante para hacerse con el control de una bandeja de entrada, acceder a las comunicaciones internas y configurar reglas de reenvío que persistan mucho tiempo después de que se detecte la intrusión inicial.

Aplica la autenticación multifactorial (MFA) en toda la organización, sin excepciones para los directivos ni para las cuentas de servicio. Estos suelen ser los objetivos de mayor valor, por lo que necesitan una protección más sólida, no menos control. Utiliza una aplicación de autenticación en lugar de SMS siempre que sea posible, ya que los ataques de suplantación de tarjeta SIM pueden interceptar los códigos enviados por mensaje de texto.

La aplicación de la autenticación multifactorial (MFA) es, además, un requisito cada vez más habitual para poder optar a un seguro cibernético y cumplir con la normativa. Implantarla de forma proactiva es mucho más fácil que adaptarla a posteriori tras una brecha de seguridad, y la mayoría de las aseguradoras cibernéticas la consideran ahora un control básico, en lugar de un elemento opcional.

2. Implementar SPF, DKIM y DMARC

Tres protocolos de autenticación basados en el DNS constituyen la base técnica de la verificación del remitente:

  • El SPF (Sender Policy Framework) especifica qué servidores de correo están autorizados a enviar correos electrónicos en nombre de un dominio. Cualquier mensaje enviado desde un servidor que no figure en la lista no supera la comprobación del SPF.
  • DKIM (DomainKeys Identified Mail) añade una firma criptográfica a los mensajes salientes. Los servidores receptores verifican la firma comparándola con una clave pública presente en el DNS del dominio remitente, lo que confirma que el mensaje no ha sido alterado durante el tránsito.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) indica a los servidores receptores qué hacer con los mensajes que no superan las comprobaciones de SPF y DKIM: aceptarlos, ponerlos en cuarentena o rechazarlos. Además, genera informes que muestran quién envía correos que afirman proceder de tu dominio.

Publicar estos registros es muy sencillo. El paso importante que la mayoría de las organizaciones se saltan es cambiar la configuración de DMARC de una política de supervisión (p=none) a una política de aplicación (p=quarantine o p=reject). Sin la aplicación de estas medidas, los mensajes rechazados siguen llegando a las bandejas de entrada y los controles de autenticación no ofrecen una protección real.

Los informes de DMARC también revelan el uso no autorizado de tu dominio en campañas dirigidas a tus propios usuarios o socios, lo que supone información valiosa que no obtendrías sin ellos.

3. Añadir una capa específica de seguridad para el correo electrónico

Microsoft 365 y Google Workspace incluyen filtros integrados, lo que supone una base de referencia razonable contra el spam conocido y algunas categorías de malware. Sin embargo, no están diseñados para detectar amenazas sofisticadas y dirigidas. Los ataques de tipo BEC no contienen ninguna carga útil que se pueda analizar. Los mensajes de phishing generados por IA no presentan ninguno de los patrones lingüísticos para los que se entrenaron los filtros más antiguos. Los dominios similares superan los controles de autenticación porque, técnicamente, son legítimos.

Una solución específica contra el phishing aporta la detección basada en el comportamiento de la que carecen las herramientas nativas: análisis de la relación con el remitente, señales de tono y urgencia, inspección del destino de los enlaces, visión artificial para detectar la suplantación de marcas en imágenes y detección de códigos QR utilizados para enviar enlaces de phishing. Estas capacidades marcan la diferencia entre detectar un correo electrónico de spear-phishing bien elaborado y dejar que llegue sin ser identificado a la bandeja de entrada de un alto directivo.

INKY un análisis basado en inteligencia artificial generativa (GenAI) al correo entrante, saliente e interno, detectando amenazas que los sistemas basados en firmas pasan por alto y mostrando mensajes de advertencia a los usuarios directamente en la bandeja de entrada, para que comprendan qué ha activado la alerta y qué deben hacer.

4. Realizar simulaciones de phishing con regularidad

Las simulaciones de phishing permiten evaluar lo que la formación por sí sola no puede: el comportamiento real de los usuarios en condiciones realistas. Una organización puede completar todos sus módulos de formación anuales y, aun así, seguir teniendo una parte significativa de usuarios que, bajo presión de tiempo, harán clic en un enlace de phishing bien elaborado.

Las simulaciones periódicas, que se realizan al menos una vez al trimestre con escenarios que reflejan las tendencias actuales de los ataques, permiten identificar quién necesita apoyo adicional y fomentar, con el tiempo, el hábito del escepticismo. Es fundamental destacar que funcionan mejor cuando no tienen carácter punitivo. Los usuarios que hagan clic en un enlace de phishing simulado deben ver una explicación inmediata y contextual de lo que no han detectado y por qué, y a continuación deben ser redirigidos a un breve módulo de corrección.

BullPhish ID, la herramienta de formación en concienciación sobre seguridad de Kaseya, incluye una biblioteca de kits de campañas de simulación de phishing que se actualiza mensualmente para reflejar las amenazas actuales. Las campañas se pueden programar para que se envíen en momentos aleatorios dentro de un intervalo de tiempo determinado, lo que evita que los usuarios avisen a sus compañeros de que se está llevando a cabo una simulación y ofrece una imagen más precisa de la verdadera vulnerabilidad.

5. Mantener al día la formación en materia de seguridad del correo electrónico

La formación anual en seguridad es mejor que nada, pero no es suficiente. Las técnicas de ataque evolucionan más rápido de lo que puede abarcar un curso de actualización anual. Un usuario que haya completado la formación en enero apenas recordará nada de ella en octubre y carecerá por completo de contexto respecto a las amenazas que hayan surgido desde que se grabó la formación.

Las sesiones de formación breves y frecuentes, vinculadas a las tendencias actuales en materia de ataques, resultan más eficaces. Los módulos mensuales que abordan los tipos de amenazas recientes, las técnicas de phishing emergentes y las tácticas actualizadas de ingeniería social mantienen la concienciación sin provocar fatiga formativa. El objetivo es crear una cultura de seguridad en la que los empleados consideren el reconocimiento de amenazas como parte de su rutina, y no como un requisito de cumplimiento que hay que marcar en una lista.

El informe DBIR de Verizon de 2025 reveló que la vulnerabilidad al phishing se reduce significativamente en las organizaciones que cuentan con programas de formación continuada, y que los equipos bien formados alcanzan índices de vulnerabilidad inferiores al 5 %, frente a la media del sector, que ronda el 33 %.

Los módulos de vídeo breves, los cuestionarios en línea y los flujos de trabajo automatizados de formación de refuerzo BullPhish IDfacilitan la organización de sesiones de formación periódicas en toda la organización sin suponer una carga administrativa para el equipo encargado de llevarlas a cabo.

6. Cifrar las comunicaciones por correo electrónico que contengan información confidencial

El protocolo TLS (Transport Layer Security) cifra los mensajes que se transmiten entre servidores de correo, lo que ofrece protección frente a la interceptación a nivel de red. Para la mayoría de las organizaciones, garantizar que se aplique el protocolo TLS al correo saliente dirigido a socios y clientes clave es el punto de partida más práctico.

En el caso de las comunicaciones que transportan habitualmente datos regulados, información financiera o material confidencial de los clientes, el cifrado de extremo a extremo mediante S/MIME o PGP ofrece una mayor protección. Con S/MIME, el mensaje se cifra desde el cliente del remitente hasta el cliente del destinatario, lo que significa que ni siquiera el proveedor de correo electrónico puede leer el contenido.

Para las organizaciones del sector sanitario, de los servicios financieros o de los servicios jurídicos, el cifrado suele ser un requisito de cumplimiento normativo, y no solo una recomendación de seguridad. Identificar qué comunicaciones transportan habitualmente datos sujetos a regulación y garantizar que se aplique el cifrado adecuado es una forma sencilla de reducir tanto el riesgo de filtraciones como la exposición a sanciones normativas.

7. Implementar medidas de prevención de pérdida de datos (DLP)

La mayor parte de la atención en materia de seguridad del correo electrónico se centra en las amenazas entrantes, pero el correo electrónico saliente también supone una importante fuente de riesgo. La exposición accidental de datos sensibles, el reenvío de información confidencial por parte de un empleado a una cuenta personal o el uso por parte de un atacante de un buzón comprometido para sustraer datos pueden generar graves problemas de cumplimiento normativo y de reputación.

Las herramientas DLP analizan el correo electrónico saliente en busca de patrones asociados a datos regulados o sensibles: números de tarjetas de crédito, números de la Seguridad Social, identificadores de historiales médicos y tipos de documentos específicos. Cuando un mensaje se ajusta a una política definida, puede marcarse, ponerse en cuarentena o bloquearse antes de que salga del entorno.

Para las empresas sujetas a la HIPAA, la norma PCI DSS, el RGPD o marcos normativos similares, la aplicación de medidas de prevención de pérdida de datos (DLP) en el correo electrónico saliente suele ser un requisito de cumplimiento normativo. Incluso fuera de los sectores regulados, las políticas de DLP ofrecen una protección significativa frente a la exposición accidental de datos y las consecuencias legales y para la reputación que ello conlleva.

8. Aplicar el principio del mínimo privilegio al acceso al correo electrónico

No todos los empleados necesitan tener acceso a todos los buzones compartidos, listas de distribución o funciones de administración del correo electrónico. Un acceso excesivo aumenta el riesgo de que se produzca un incidente a gran escala si se ve comprometida una sola cuenta.

Revisa y audita periódicamente los permisos de acceso al correo electrónico. Los buzones compartidos solo deben tener acceso los usuarios que los necesiten. El acceso de administrador a la configuración del correo electrónico debe limitarse a las personas que gestionan la infraestructura de correo electrónico. Las listas de distribución deben bloquearse para que solo los remitentes autorizados puedan enviarles correos electrónicos.

Cuando un empleado abandona la empresa o cambia de puesto, el acceso al correo electrónico debe actualizarse como parte del proceso de baja o de cambio de puesto, y no dejarse activo indefinidamente. Los permisos obsoletos son una de las formas más habituales en que los atacantes mantienen el acceso mucho tiempo después de que se haya detectado la intrusión inicial.

9. Establecer un procedimiento para notificar mensajes sospechosos

Los usuarios que detecten algo inusual necesitan una forma rápida y sencilla de informar de ello. Si informar implica seguir un proceso de apertura de incidencias de varios pasos o enviar un correo electrónico a una dirección que tarda días en responder, los usuarios dejarán de molestarse en hacerlo. Esto priva al equipo de TI de una valiosa señal de detección y deja a otros usuarios expuestos al mismo mensaje.

Un proceso de notificación bien diseñado incluye un mecanismo de notificación con un solo clic disponible directamente en el cliente de correo electrónico, un acuse de recibo para que el usuario sepa que se ha recibido la notificación y un plazo de respuesta definido para revisar los mensajes señalados. Cuando se confirme que un mensaje notificado es malicioso, el equipo de TI debería poder recuperar mensajes similares de otras bandejas de entrada y actualizar rápidamente las reglas de detección.

Este ciclo de retroalimentación entre los usuarios y el equipo de TI es uno de los aspectos más descuidados en la mayoría de las configuraciones de seguridad del correo electrónico. Los mensajes de advertencia que explican por qué un mensaje parece sospechoso y animan a los usuarios a denunciarlo aumentan considerablemente el volumen y la calidad de los informes sobre amenazas que recibe el equipo de seguridad.

10. Estar atento a las señales que indiquen que una cuenta de correo electrónico ha sido comprometida

Los controles técnicos y la formación de los usuarios reducen la probabilidad de que se produzca una violación de la seguridad de una cuenta, pero no la eliminan por completo. Cuando se produce una violación de la seguridad de una cuenta, el tiempo transcurrido entre el momento en que se produce la violación y su detección determina el alcance del daño que puede causar el atacante.

A menudo, hay varias señales de comportamiento que preceden o siguen inmediatamente a la violación de una cuenta:

  • Se han creado nuevas reglas de reenvío de correo, en particular aquellas que reenvían a direcciones externas
  • Actividad inusual en el inicio de sesión: nuevas ubicaciones geográficas, sesiones simultáneas desde diferentes países, inicios de sesión a horas inusuales
  • Envío masivo de correos electrónicos desde una cuenta que no se utiliza habitualmente para envíos masivos
  • Cambios en la delegación o los permisos del buzón
  • Cambios de contraseña no iniciados por el titular de la cuenta

La vigilancia de estas señales y el hecho de contar con un proceso de respuesta definido —que incluya forzar un restablecimiento de la contraseña y revocar las sesiones activas cuando se detecte una actividad sospechosa— limita considerablemente el periodo de exposición. Muchos ataques de apropiación de cuentas pasan desapercibidos durante semanas porque nadie está atento a estas señales hasta que el atacante realiza alguna acción visible.

Cómo se complementan estas prácticas

Cada medida aborda una parte diferente del panorama de riesgos y ninguna de ellas funciona de forma aislada. La autenticación multifactorial (MFA) evita que el robo de credenciales dé lugar a la apropiación de cuentas. Los protocolos de autenticación impiden la suplantación de dominios. La seguridad dedicada al correo electrónico detecta las amenazas que superan la autenticación. Las simulaciones de phishing miden y refuerzan la resiliencia de los usuarios. La prevención de fugas de datos (DLP) y los controles de acceso limitan lo que un atacante puede hacer con una cuenta comprometida. Los procesos de generación de informes y la supervisión de incidentes cierran el ciclo.

Las organizaciones que cometen este error suelen contar con algunos controles, pero estos presentan lagunas. La autenticación de dos factores (MFA) se ha implementado en la mayoría de los buzones de correo, pero no en las cuentas de servicio. DMARC se ha publicado con el valor «p=none» y nunca se ha pasado a la fase de aplicación. La formación se imparte una vez al año, pero no se refuerza con simulacros. Un solo eslabón débil en esta cadena es todo lo que necesita un atacante.

Mantener esa postura de forma coherente, tanto entre los usuarios como entre los dispositivos y a lo largo del tiempo, es lo que más dificultades plantea a la mayoría de las organizaciones. No se trata tanto de qué herramientas se tengan, sino más bien de si están configuradas correctamente, se mantienen actualizadas y cuentan con el apoyo de usuarios que saben qué hacer cuando algo parece ir mal.

Errores habituales que merman la seguridad del correo electrónico

Saber qué no hay que hacer resulta tan útil como la propia lista de buenas prácticas. Estas son las deficiencias que se detectan con mayor frecuencia en entornos en los que se ha producido un incidente de seguridad cuyo origen se remonta al correo electrónico:

  • Considerar la autenticación multifactorial (MFA) como opcional para los usuarios de alto nivel: los ejecutivos son los principales objetivos de los ataques de suplantación de identidad empresarial (BEC). Desactivar o eludir la autenticación multifactorial por comodidad es una de las formas más habituales en que las organizaciones crean sus cuentas de mayor riesgo.
  • Dejar DMARC en p=none de forma indefinida: publicar registros DMARC sin pasar a una política de rechazo o cuarentena no ofrece ninguna protección. Solo demuestra que estás realizando un seguimiento. Un atacante que suplantara tu dominio lo conseguiría siempre que la aplicación de la política estuviera desactivada.
  • Confiar únicamente en los filtros nativos de Microsoft 365 o Google Workspace: los filtros nativos gestionan bien las amenazas conocidas y de gran volumen. Sin embargo, no están diseñados para hacer frente al phishing generado por IA, al BEC dirigido ni a los ataques con dominios similares. Considerarlos suficientes deja un importante vacío en la detección.
  • Realizar simulaciones de phishing sin un seguimiento posterior: una simulación que detecta a los usuarios que hacen clic, pero que no ofrece orientación inmediata, tiene un valor limitado. El aprendizaje se produce en el momento, no en un informe de fin de mes.
  • Ignorar el correo electrónico saliente: Centrarse exclusivamente en las amenazas entrantes hace que se pasen por alto la filtración de datos, la actividad en cuentas comprometidas y la exposición accidental de datos confidenciales a través de los envíos salientes.
  • No revisar los permisos de acceso tras los cambios de puesto: los empleados que cambian de puesto o abandonan la empresa suelen conservar el acceso al correo electrónico durante meses. Revisa los permisos de acceso como parte del proceso de baja, no como una tarea periódica de seguridad.

Refuerza la seguridad del correo electrónico con Kaseya

INKY es el software de seguridad de correo electrónico de Kaseya. Utiliza análisis basados en GenAI para detectar el phishing y otras amenazas en el correo entrante, saliente e interno, y muestra banners de advertencia interactivos en la bandeja de entrada que explican a los usuarios por qué se ha marcado un mensaje y qué medidas deben tomar. Esa orientación en tiempo real refuerza la concienciación sobre la seguridad sin necesidad de sesiones de formación específicas.

BullPhish ID es el software de formación en concienciación sobre seguridad y simulación de phishing de Kaseya. Combina módulos de formación atractivos y breves con una biblioteca que se actualiza periódicamente con kits de simulación de phishing y formación correctiva automatizada para los usuarios que necesitan apoyo adicional.

Ambas soluciones están disponibles como parte de Kaseya 365 , que ofrece un conjunto completo de herramientas para protegerse frente a amenazas dirigidas a los usuarios, responder a ellas y recuperarse de ellas. La suite incluye INKY, BullPhish ID y Dark Web ID la supervisión de credenciales; SaaS Alerts la detección y respuesta en la nube; y Datto SaaS Protection la copia de seguridad de Microsoft 365 y Google Workspace.

Para las empresas que gestionan la seguridad del correo electrónico de forma interna, Kaseya 365 reúne los controles clave en un único lugar, lo que reduce la complejidad que supone gestionar múltiples soluciones puntuales. Para los proveedores de servicios gestionados (MSP), la arquitectura multitenant permite implementar y gestionar las mismas herramientas en toda la base de clientes desde una única interfaz, con políticas y informes coherentes en todos los entornos.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso con condiciones flexibles, riesgo compartido y asistencia especializada para tu empresa.

Descubre Partner First Pledge»

Informe de Kaseya sobre la situación de los MSP de 2026

Kaseya - Informe sobre la situación de los MSP en 2026 - Imagen web - 1200 x 800 - ACTUALIZADO

Obtén información sobre el MSP para 2026 de más de 1000 proveedores y descubre cómo aumentar los ingresos, adaptarte a las exigencias del mercado y mantener tu competitividad.

Descargar ahora

Seguridad del correo electrónico en la nube: una guía para las empresas modernas

La forma en que se comunican las empresas ha cambiado. La mayoría de las organizaciones gestionan su correo electrónico a través de Microsoft 365 o Google Workspace, y los equipos están repartidos por

Leer la entrada del blog

Las mejores soluciones de seguridad para el correo electrónico en 2026: clasificación de los principales servicios

Compara las 10 mejores soluciones, programas y servicios de seguridad del correo electrónico en 2026 para encontrar la plataforma más adecuada para tu empresa y tu entorno de amenazas.

Leer la entrada del blog

¿Qué es la seguridad del correo electrónico?

Descubre qué es la seguridad del correo electrónico, por qué es importante y cómo funciona mediante el uso de controles por capas para protegerte contra las amenazas actuales al correo electrónico, como el phishing y el BEC.

Leer la entrada del blog