Publicidad

Home

Opinión
Columnistas

Un correo, una transferencia y miles de dólares perdidos: el auge del “spoofing”

Sigue a El Espectador en Discover: los temas que te gustan, directo y al instante.
Columnista invitada: Carolina Durán Negrete*
05 de mayo de 2026 - 05:27 p. m.
Resume e infórmame rápido

Escucha este artículo

Audio generado con IA de Google

0:00

/

0:00

Imagina que eres el encargado de compras de una empresa. Un día cualquiera recibes un correo de un proveedor habitual: el mensaje es claro, directo, incluso rutinario. Te informan que han cambiado su cuenta bancaria y que, a partir de ahora, los pagos deben realizarse a una nueva. No hay nada especialmente sospechoso: el tono es profesional, el logo coincide, la firma parece auténtica. Actúas como lo harías normalmente: registras la nueva cuenta, procesas el pago —59.000 dólares— y quedas a la espera del envío del producto.

Pasan los días. No hay confirmación. Decides escribir de nuevo. Esta vez, la respuesta es alarmante: el proveedor asegura que no ha cambiado de cuenta bancaría, que sigue siendo la misma de siempre y, más inquietante aún, que nunca enviaron ese correo. El dinero ya no está.

Un caso real de “spoofing”, una amenaza silenciosa

Este caso no es hipotético. Le ocurrió a una compañía de ingeniería en la India durante la segunda semana de abril de este año, según reportó The Times of India. Y, aunque pueda parecer un caso anecdótico, está lejos de serlo. Se trata de una modalidad de fraude cada vez más frecuente, pero todavía poco discutida fuera de círculos especializados: el email spoofing, o suplantación de correo electrónico.

A diferencia de otros ataques más evidentes, el spoofing no necesita vulnerar directamente tu cuenta. El atacante manipula elementos técnicos del correo, especialmente los encabezados —como el campo “From”— para que el mensaje parezca provenir de una fuente legítima. Puede ser un proveedor, un jefe, una entidad bancaria o incluso tu propia dirección de correo.

Cuando el engaño parece legítimo

En los casos en los que se suplanta a un tercero, el ataque suele ser más elaborado. Los correos pueden estar personalizados, adaptados al contexto de la empresa o incluso a una relación comercial específica. En el caso de la empresa india, una hipótesis plausible es que los atacantes hayan accedido previamente a información sensible del proveedor —posiblemente mediante una brecha de seguridad— y obtenido datos como listas de clientes o patrones de comunicación.

Con esa información, el fraude se vuelve mucho más creíble. No se trata de un mensaje genérico enviado al azar, sino de un correo que encaja perfectamente en una relación comercial existente. Es, en esencia, como lanzar una red en un río revuelto. El pescador espera ganancia.

El engaño más inquietante: cuando pareces escribirte a ti mismo

Sin embargo, no todos los ataques de spoofing implican suplantar a un tercero. Existe una variante particularmente desconcertante: el “self-spoofing”, en el que el correo aparenta haber sido enviado desde tu propia cuenta.

En estos casos, el contenido suele ser menos sofisticado. No hay personalización, el lenguaje es genérico y, a menudo, contiene errores. Pero hay un elemento clave: la urgencia. El mensaje busca generar una reacción inmediata, apelando al miedo o a la presión. Por ejemplo: “Tenemos acceso a tu cuenta. Si no envías 400 dólares en las próximas tres horas, publicaremos tu información en la dark web”.

El impacto psicológico es poderoso. El simple hecho de ver tu propia dirección como remitente puede generar una sensación de vulnerabilidad que bloquea el pensamiento crítico. Es una técnica clásica de ingeniería social: reducir el tiempo de reacción para impedir la verificación. En ese estado, acciones básicas —como revisar la bandeja de enviados o confirmar la autenticidad del mensaje— quedan fuera del radar.

Señales para detectar la suplantación

A pesar de su sofisticación, el email spoofing deja rastros. Detectarlo requiere atención a ciertos detalles que, aunque sutiles, son reveladores. En primer lugar, es fundamental desconfiar de cualquier mensaje que imponga urgencia o presión. La prisa es el principal aliado del atacante.

También es importante revisar cuidadosamente el dominio del remitente. A simple vista puede parecer correcto, pero pequeñas variaciones —una letra cambiada, un carácter adicional— pueden marcar la diferencia. Asimismo, conviene evitar hacer clic en enlaces sin verificar previamente a dónde conducen, especialmente si el mensaje solicita acciones sensibles como transferencias o ingreso de credenciales.

Las solicitudes inusuales son otra señal de alerta. Cambios inesperados en datos bancarios, pedidos de contraseñas o instrucciones fuera de los procedimientos habituales deben encender alarmas. Incluso en correos que parecen legítimos, detalles como errores de redacción o saludos genéricos pueden indicar un intento de fraude.

En el caso del self-spoofing, es clave entender que recibir un correo aparentemente enviado por uno mismo no implica necesariamente que la cuenta haya sido comprometida. En muchos casos, se trata simplemente de una falsificación. Ante cualquier duda, la regla es clara: verificar por un canal alterno antes de actuar; comienza por tu bandeja de enviados, si no te aparece el mensaje es muy probable que se trate de un caso de self-spoofing.

Un riesgo creciente en un entorno vulnerable

Comprender esta modalidad de ataque no es solo una cuestión técnica, sino una necesidad práctica. Una empresa de ciberseguridad especializada en la protección de correo electrónico ha advertido recientemente sobre las vulnerabilidades existentes en organizaciones vinculadas a eventos de gran escala, como el Mundial de fútbol de este año. Según expertos citados por TechRadar, muchas empresas aún presentan debilidades en sus sistemas de autenticación de correo, lo que las convierte en objetivos fáciles para ataques de spoofing.

El riesgo no se limita a las organizaciones; también se extiende a clientes, proveedores y usuarios finales. En un entorno donde la comunicación digital es constante, la confianza en el correo electrónico sigue siendo un punto crítico. Y precisamente ahí es donde operan estos ataques: en la delgada línea entre lo cotidiano y lo sospechoso.

En última instancia, el email spoofing no solo explota fallas técnicas, sino también humanas. Por eso, más allá de las herramientas de seguridad, la mejor defensa sigue siendo una combinación de atención, verificación y sentido común, el menos común de nuestros sentidos.

* Abogada especializada en derecho internacional del transporte. Su área de especialización abarca los Sistemas Inteligentes para la Infraestructura, el Tránsito y el Transporte

Por Columnista invitada

Por Carolina Durán Negrete*

Conoce más

Temas recomendados:

Correo desde tu misma cuenta

Correos fraudulentos

Spoofing

email spoofing

self Spoofing

Estafas por internet

Tenemos acceso a tu cuenta

¿Cómo detectar una suplantación?

 

Sin comentarios aún. Suscríbete e inicia la conversación
El Espectador usa cookies necesarias para el funcionamiento del sitio. Al hacer clic en "Aceptar" autoriza el uso de cookies no esenciales de medición y publicidad. Ver políticas de cookies y de datos.