Después de hablar de dominios “parecidos” que se usan para estafas, me quedo con el otro clásico que hace daño de verdad: el phishing que usa tu propio dominio. El cliente ve un correo que parece legítimo, con tu nombre, tu logo y tu dirección. Y cuando hay dinero de por medio (pagos, facturas, cambios de cuenta), el riesgo sube mucho.

La buena noticia: hay una medida bastante directa que se puede dejar encaminada en 60–90 minutos. Se llama DMARC y, en castellano llano, es “una norma” que publicas en tu dominio para que Gmail/Outlook/Yahoo sepan qué hacer si alguien intenta enviar correos haciéndose pasar por ti.

Paso 1 (10–15 min): identifica cómo envías correo. Haz una lista rápida: ¿usas Google Workspace o Microsoft 365? ¿envías newsletters con Mailchimp/Brevo? ¿mandas facturas desde un software? ¿tienes un CRM que envía emails? Esto es importante porque DMARC no es magia: si olvidas un emisor legítimo, puedes romperte correos importantes.

Paso 2 (10–15 min): comprueba si ya tienes SPF, DKIM y DMARC. SPF y DKIM son dos “controles” que validan que el correo sale de quien toca. No necesitas entenderlos al detalle, pero sí saber si existen. Lo práctico: pide a tu proveedor o a tu equipo que revise los registros DNS del dominio. Si ya tienes DMARC, mira si está en modo monitorización (p=none) o si ya aplica políticas más duras.

Paso 3 (20–30 min): activa DKIM en tu proveedor principal. Si usas Google Workspace/Microsoft 365, normalmente es un botón y luego añadir un registro en el DNS. DKIM es clave porque, sin él, DMARC se queda cojo y te obliga a confiar demasiado en SPF (que es más frágil cuando hay reenvíos).

Paso 4 (15–20 min): publica un DMARC mínimo en modo seguro. Para empezar, yo casi siempre recomiendo p=none (monitorización) durante unos días, con un email de reportes (rua) que puedas revisar. La idea no es castigarte correos el primer día; es ver qué está pasando: quién envía en tu nombre y si esos envíos pasan o fallan autenticación.

Paso 5 (10–15 min): revisa resultados y sube el nivel. Cuando veas que la mayoría de tus envíos legítimos pasan, puedes plantearte pasar a quarantine (cuarentena) o reject (rechazo). Esto ya es una decisión de negocio: cuanto más estricto, más seguridad contra suplantación, pero más riesgo de bloquear un emisor legítimo que se te haya olvidado.

Errores comunes (y cómo detectarlos): 1) Olvidar un proveedor que envía en tu nombre. Lo detectas porque, tras activar DMARC, dejan de salir emails concretos (por ejemplo, facturas o formularios). 2) Activar política dura demasiado pronto. Lo detectas si de repente “no llegan correos” a clientes y te enteras por WhatsApp. 3) Dejarlo en p=none para siempre. Lo detectas porque los reportes muestran intentos de suplantación, pero no estás haciendo nada para frenarlos.

Cómo medir si te ha servido: (1) reducción de incidencias de “me han pedido un pago raro” (lo notarás en soporte), (2) en los reportes DMARC, porcentaje de mensajes que fallan (debería bajar para tus emisores legítimos), y (3) si haces campañas, vigila entregabilidad: si empeora, suele ser señal de configuración incompleta.

Cuándo compensa delegar: si tu dominio envía desde muchos sitios (CRM, e-commerce, facturación, soporte, newsletters) o si manejas pagos y proveedores, compensa que alguien lo haga contigo y te deje un inventario de emisores + un plan para pasar a cuarentena/rechazo sin romper nada. En empresas pequeñas, el coste de “romper el correo” un día puede ser mayor que hacerlo bien desde el principio.