Seguridad del correo electrónico: una guía completa para equipos de TI y proveedores de servicios gestionados (MSP)

El correo electrónico sigue siendo el vector de ataque más utilizado en el ámbito de la ciberseguridad. Es la puerta de entrada para el phishing, el secuestro de cuentas de correo electrónico corporativo, la distribución de malware y el ransomware. A pesar de décadas de concienciación, sigue siendo el punto de partida de la mayoría de los ataques que tienen éxito.

Según el informe «State of the MSP» de Kaseya de 2026, el 44 % de los MSP afirma que al menos el 10 % de sus clientes sufrió un ciberataque en 2025, y el phishing por correo electrónico sigue siendo el vector de acceso inicial más común detrás de esos incidentes. El Informe sobre seguridad INKY de Kaseya de 2026 pone la magnitud en un contexto más claro: el 26 % de todas las denuncias de ciberdelitos presentadas ante el FBI están relacionadas con el phishing, con 2800 millones de dólares en pérdidas declaradas solo por el compromiso del correo electrónico empresarial. Descargue el informe sobre MSP.

La razón por la que el correo electrónico es tan eficaz como vector de ataque es muy sencilla: es imprescindible, omnipresente y goza de una gran confianza. La gente abre los correos electrónicos. Hace clic en los enlaces. Actúa en respuesta a las solicitudes de personas que parecen tener autoridad. Los mecanismos que hacen que el correo electrónico funcione como herramienta de comunicación son los mismos que aprovechan los atacantes. Ningún control técnico sustituye por completo al criterio humano, pero una infraestructura de seguridad de correo electrónico adecuada reduce drásticamente el volumen de contenido malicioso que llega a los usuarios y limita el daño cuando algunos ataques logran colarse.

Esta guía describe cómo debe ser una estrategia de seguridad del correo electrónico completa, desde los protocolos básicos hasta la detección basada en inteligencia artificial, dirigida a los equipos de TI y a los proveedores de servicios gestionados (MSP) que gestionan entornos de correo electrónico en nombre de sus clientes.

Por qué la seguridad del correo electrónico requiere varias capas

Ninguna medida de seguridad del correo electrónico es suficiente por sí sola, ya que los distintos tipos de ataque aprovechan diferentes vulnerabilidades.

El phishing masivo se aprovecha del volumen: basta con que un pequeño porcentaje de destinatarios haga clic en un enlace para que se vean comprometidas miles de cuentas. El spear phishing se aprovecha de la relevancia: los mensajes personalizados logran eludir las sospechas incluso entre usuarios bien formados. El BEC se aprovecha de la confianza: los mensajes procedentes de cuentas comprometidas o suplantadas eluden por completo los filtros basados en el contenido. La distribución de malware se aprovecha de la curiosidad: los archivos adjuntos y enlaces maliciosos dependen de que los usuarios abran el contenido. La apropiación de cuentas lo elude todo una vez obtenidas las credenciales, ya que el atacante actúa como un usuario legítimo.

Cada uno de ellos requiere controles distintos. Un filtro de puerta de enlace que bloquee contenidos maliciosos conocidos no sirve de nada frente a un ataque BEC procedente de una cuenta legítima. DMARC evita la suplantación de dominios, pero no bloquea las suplantaciones sofisticadas procedentes de dominios muy similares. La formación en concienciación sobre seguridad reduce las tasas de clics, pero no las elimina. El Informe de seguridad INKY de Kaseya INKY de 2026 reveló que el phishing generado por IA se ha convertido en la norma, con atacantes que producen mensajes muy convincentes a gran escala y se expanden a nuevas superficies de ataque, como invitaciones de calendario, documentos protegidos y números de teléfono de devolución de llamada. Descarga el Informe de seguridad del correo electrónico de 2026.

La solución eficaz consiste en controles por capas, cada uno de los cuales aborda una parte diferente de la superficie de ataque.

Los fundamentos: protocolos de autenticación del correo electrónico

Hay tres protocolos fundamentales que abordan la suplantación de dominio, la técnica que consiste en enviar correos electrónicos que afirman falsamente proceder de un dominio legítimo.

El SPF (Sender Policy Framework) especifica qué servidores de correo están autorizados a enviar mensajes de correo electrónico en nombre de un dominio. Cuando llega un correo electrónico que afirma proceder de tu dominio, el servidor receptor comprueba los registros SPF para verificar que el servidor remitente está autorizado.

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a los correos electrónicos salientes, lo que permite a los servidores receptores verificar que el mensaje ha sido enviado por un remitente autorizado y que no ha sido modificado durante el tránsito.

DMARC (Domain-based Message Authentication, Reporting and Conformance) se basa en SPF y DKIM para indicar a los servidores receptores qué deben hacer cuando falla la autenticación —poner en cuarentena o rechazar los correos electrónicos no autenticados— e informar sobre los mensajes enviados que afirman proceder de tu dominio.

DMARC con una política `p=reject` es la configuración más estricta: impide que se entregue cualquier correo electrónico que no supere la autenticación. Para implementarla plenamente, es necesario asegurarse primero de que todos los flujos de correo legítimos estén debidamente autenticados, incluidos los servicios de envío de terceros, las plataformas de marketing y los proveedores de correo electrónico transaccional, de modo que el correo electrónico legítimo no quede afectado por la política de rechazo.

Muchas organizaciones tienen configurados SPF y DKIM, pero no aplican DMARC, lo que deja sin cubrir la capa más importante de la protección.

Protección contra el phishing y filtrado de tráfico entrante

Las plataformas modernas de seguridad del correo electrónico utilizan la inteligencia artificial y el aprendizaje automático para ir mucho más allá del filtrado basado en listas negras.

El análisis de contenido examina el contenido de los mensajes, la reputación del remitente, la infraestructura de envío y los metadatos para identificar patrones de phishing, incluidos aquellos que no se corresponden con ninguna campaña conocida.

El análisis de enlaces evalúa las URL incrustadas contrastándolas con información sobre amenazas, bases de datos de reputación y análisis en tiempo real del contenido de destino. El análisis en el momento del clic reescribe los enlaces para que se evalúen en el instante en que el usuario hace clic, lo que protege contra el phishing diferido, en el que un enlace es seguro en el momento de su envío, pero apunta a contenido malicioso cuando el usuario interactúa con él.

La detección de anomalías basada en inteligencia artificial identifica los mensajes que se desvían de los patrones de comunicación habituales del remitente aparente, señalando aquellos que el análisis de comportamiento considera sospechosos, incluso cuando los indicadores basados en el contenido parecen correctos.

INKY, el producto de seguridad del correo electrónico de Kaseya, disponible como solución independiente o como parte de Kaseya 365 , adopta un enfoque distinto ante este problema. En lugar de basarse únicamente en la comparación de patrones, INKY la IA generativa para leer el texto de los correos electrónicos con una comprensión genuina, reconociendo el significado, la intención y las señales sutiles de manipulación. Su visión artificial analiza los correos electrónicos tal y como lo haría un humano, detectando suplantaciones de marca, manipulación de logotipos, amenazas de códigos QR y ataques combinados de texto y elementos visuales que la comparación de patrones pasa por alto por completo. También analiza las relaciones con los remitentes y los patrones de redacción para descubrir anomalías, cuentas comprometidas y cambios sutiles en la comunicación que indiquen intentos de phishing o de apropiación de cuentas.

Cuando INKY una amenaza, no se limita a ponerla en cuarentena sin avisar. Muestra un aviso claro, codificado por colores, directamente en la bandeja de entrada, en el que se explica qué se ha detectado y por qué, de modo que los usuarios aprenden en tiempo real en lugar de limitarse a recibir protección. Un estudio independiente realizado por Secure Mentem reveló que los usuarios que veían INKY eran significativamente más precisos a la hora de identificar mensajes de phishing y mucho menos propensos a interactuar con correos electrónicos maliciosos.

Protección de archivos adjuntos y enlaces

Los archivos adjuntos y los enlaces son los dos principales mecanismos de distribución de malware en el correo electrónico.

El entorno de pruebas (sandbox) abre los archivos adjuntos en un entorno aislado antes de enviárselos a los usuarios, ejecuta cualquier código incrustado y observa su comportamiento. Los archivos adjuntos maliciosos que activan la ejecución de malware en el entorno de pruebas se bloquean antes de llegar a la bandeja de entrada.

La reescritura de URL y la protección en el momento del clic modifican los enlaces de los correos electrónicos enviados para que se redirijan a través de un servicio de protección en el momento en que se hace clic en ellos. Si un enlace era seguro en el momento del envío pero se vuelve malicioso posteriormente, la protección en el momento del clic lo detecta.

El bloqueo de tipos de archivo impide la entrega de aquellos tipos de archivo que se utilizan habitualmente para distribuir malware, como archivos ejecutables, documentos de Office con macros activadas y archivos JavaScript, siempre que dichos tipos no tengan un uso empresarial legítimo en el entorno.

Protección contra el robo de cuentas

Una vez que un atacante ha conseguido las credenciales de un correo electrónico, ya sea mediante phishing, credential stuffing o una filtración de datos, actúa como un usuario legítimo. El filtrado técnico del correo electrónico no detiene los mensajes enviados desde una cuenta legítima y autenticada.

La protección contra la apropiación de cuentas requiere la combinación de varios controles.

La autenticación de dos factores (MFA) en todas las cuentas de correo electrónico garantiza que el simple robo de credenciales no sea suficiente para obtener acceso. La MFA es la medida de control principal y la medida individual de mayor impacto que pueden adoptar la mayoría de las organizaciones.

La detección de inicios de sesión anómalos señala los accesos desde ubicaciones, dispositivos o horarios inusuales para generar alertas o activar la autenticación reforzada.

La supervisión de las reglas de la bandeja de entrada detecta uno de los comportamientos más habituales tras un ataque: los atacantes que acceden a cuentas de correo electrónico suelen crear reglas en la bandeja de entrada para reenviar copias a una dirección externa o eliminar las notificaciones de seguridad que reciben. La supervisión de la creación inesperada de reglas en la bandeja de entrada es un indicador temprano de que se ha producido un ataque.

La supervisión de la dark web identifica las credenciales que han aparecido en bases de datos filtradas de servicios de terceros, lo que activa el restablecimiento inmediato de contraseñas antes de que los ataques de «credential stuffing» puedan tener éxito. INKY las relaciones entre remitentes y los patrones de comunicación para detectar intentos de apropiación de cuentas; la supervisión de la dark web en busca de credenciales comprometidas está disponible a través de la plataforma de seguridad de usuarios más amplia Kaseya 365 .

Seguridad del correo electrónico saliente

La seguridad del correo electrónico saliente protege tanto los datos de la organización como su reputación de remitente.

La tecnología DLP (Prevención de pérdida de datos) analiza los correos electrónicos salientes en busca de contenido que no debería salir de la organización: patrones de datos sensibles, como números de tarjetas de pago, información de pacientes o documentos confidenciales.

El cifrado de los correos electrónicos confidenciales salientes garantiza la protección del contenido que requiere protección durante su transmisión.

La gestión de la reputación de envío supervisa las tasas de rebote, las denuncias por spam y el estado de las listas negras de los dominios de envío. Una cuenta comprometida que utilice tu dominio para enviar spam puede reducir la capacidad de entrega de tu infraestructura de correo electrónico, lo que afectaría a las comunicaciones comerciales legítimas.

Seguridad del correo electrónico para proveedores de servicios gestionados (MSP)

En el caso de los MSP que gestionan entornos de correo electrónico para sus clientes, hay que tener en cuenta algunas consideraciones adicionales.

La implementación de DMARC en toda la cartera de clientes es un servicio de gran valor y escalable. Muchos clientes cuentan con SPF y DKIM, pero carecen de DMARC, o bien tienen DMARC configurado en modo de supervisión sin aplicación de políticas. La transición de los clientes a la aplicación completa de DMARC reduce considerablemente su vulnerabilidad ante la suplantación de dominio y genera una mejora de la seguridad cuantificable y documentable.

La gestión multitenant centralizada para todos los clientes ofrece tanto eficiencia operativa como los datos necesarios para la elaboración de informes para los clientes. El panel de control multitenant INKYpermite a los administradores ajustar el comportamiento de los banners, perfeccionar las políticas de detección y gestionar la seguridad de todos los buzones de correo de los clientes desde una única interfaz; según los datos del caso práctico de la empresa, esta gestiona 1.000 buzones de correo con menos de una hora de trabajo al mes.

Flujos de trabajo de phishing notificados por los usuarios que derivan los correos electrónicos sospechosos comunicados por estos para su revisión, cierran el ciclo con la persona que ha realizado la notificación y incorporan la información obtenida a las reglas de detección. Las herramientas de investigación y la automatización integradas INKYrespaldan este flujo de trabajo, reduciendo la carga de trabajo manual que suele generar la clasificación de los casos de phishing notificados por los usuarios.

Descubre INKY Kaseya 365 para la seguridad del correo electrónico de los MSP.

Más allá del correo electrónico: cuando la bandeja de entrada es solo el punto de partida

Las herramientas de seguridad del correo electrónico están diseñadas para detener las amenazas en la bandeja de entrada. Sin embargo, los ataques más dañinos utilizan el correo electrónico como punto de acceso inicial y, a continuación, se desplazan lateralmente por los sistemas, ampliando sus privilegios y sustrayendo datos de formas que los controles a nivel de la bandeja de entrada no pueden detectar ni contener.

Kaseya SIEM amplía la visibilidad más allá de la bandeja de entrada, unificando la telemetría del correo electrónico con las señales de los terminales, la red, la nube y las identidades, y correlacionando más de 60 fuentes de datos para detectar toda la cadena de ataque: desde el correo electrónico de phishing inicial hasta el robo de credenciales, el movimiento lateral y la exfiltración de datos. La respuesta automatizada contiene las amenazas en cuestión de minutos, actuando en todos los sistemas en lugar de limitarse a poner en cuarentena un solo mensaje.

Para las organizaciones en las que el correo electrónico constituye la principal vía de ataque, la combinación de INKY la bandeja de entrada y Kaseya SIEM en todo el entorno ofrece una protección por capas que ninguno de los dos sistemas proporciona por sí solo.