eLearning Fácil
Hazte Miembro
Acceder
eLearning Fácil
Hazte Miembro
Acceder

Cómo evitar el Phishing y el uso de tu Dominio para correos falsos

📖 9 minutos

Intermedio

Actualizado 16/04/2026

¿Usan tu nombre para estafar? Guía rápida para blindar tu dominio contra el phishing. Aprende a configurar SPF, DKIM y DMARC paso a paso, sin tecnicismos y con resultados inmediatos.

¿Alguna vez te han dicho que han recibido un correo tuyo pidiendo dinero o datos raros, pero tú no has enviado nada? Eso se llama Spoofing (suplantación de identidad). Es la técnica que usan los ciberdelincuentes para que un correo parezca enviado por ti cuando, en realidad, viene de un servidor malicioso.

¿Qué diferencia hay con el Phishing?

Para entenderlo fácil:

  • Phishing: Es el “timo” o la estafa final (querer robarte la contraseña o el dinero).
  • Spoofing: Es el “disfraz” que usan para que confíes en ellos. Fingen ser tú para que el Phishing tenga éxito.

En esta guía aprenderás a poner “cerrojos” digitales a tu dominio para que solo tú puedas enviar correos y nadie pueda fijar que eres tú. En nuestra experiencia gestionando academias, el error más común es pensar que la seguridad es solo para ingenieros, cuando en realidad es un proceso que cualquiera puede dominar.

1. El Triángulo de tu Presencia en Internet

Para no perderte, imagina que tu negocio en internet es como una casa física. Aunque pagues todo a la misma empresa, por dentro son tres servicios distintos que cumplen funciones diferentes:

  1. El Dominio (La Dirección): Es el nombre de tu calle (ej. tuempresa.com). Se gestiona en el Panel de DNS. Es donde se decide quién tiene permiso para hablar en nombre de tu marca.
  2. La Web (La Casa): Son las paredes, los muebles y lo que la gente ve al visitarte (el Hosting). Aquí residen tus archivos y el diseño de tu página.
  3. El Correo (El Buzón): Es el servicio que gestiona la entrada y salida de tus mensajes.

El caso del “Todo en Uno” (¡Ojo aquí!)

Es muy frecuente que tengas el dominio, la web y el correo contratados con el mismo proveedor (ej. Rosiris, Lucushost, Microsoft, GoDadday, etc.). Esto suele causar confusión porque verás todos los botones en el mismo panel de control.

Ten esto claro: Aunque pagues una sola factura, para arreglar el problema del phishing solo nos interesa tocar el “Panel de DNS” (La Dirección). Es el “cerebro” que le dice al mundo quién es el cartero oficial autorizado.

REGLA DE ORO: Todos los cambios de seguridad (SPF, DKIM, DMARC) se gestionan siempre en el Panel de DNS, independientemente de dónde leas tus correos.

Configuración de seguridad de correo para evitar phishing de dominio.

2. Los 3 Registros: ¿Qué son y qué colocar?

En tu zona DNS deberás crear tres registros tipo TXT:

SPF (La Lista de Invitados)

  • Qué es: Una lista pública de los servidores autorizados a enviar correos en tu nombre.
  • Qué colocar (Ejemplos):
    • Si usas Microsoft 365: v=spf1 include:spf.protection.outlook.com -all
    • Si usas cPanel: v=spf1 +a +mx +ip4:TU_IP_SERVIDOR -all

DKIM (La Firma Digital)

  • Qué es: Una llave digital invisible que asegura que el correo realmente viene de ti y que no ha sido modificado.
  • Qué colocar: Tu proveedor te dará un “Nombre” (llamado Selector) y un “Valor”. Se ve parecido a esto:
    • Nombre: default._domainkey
    • Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAv6k...
  • Nota: Este código es único para ti. No copies este ejemplo, debes buscar el que genera tu panel de Microsoft o cPanel.

DMARC (La Orden de Seguridad)

  • Qué es: La instrucción final. Le dice al receptor qué hacer si el correo parece falso.
  • Qué colocar (Recomendado):
    • v=DMARC1; p=reject; rua=mailto:avisos@tudominio.com; pct=100; adkim=r; aspf=r; fo=1

¿Qué significan estas letras extra? Para que tu escudo sea más inteligente, hemos añadido estas configuraciones:

  • pct=100: Indica que la regla se aplica a todos (100%) los correos.
  • adkim=r y aspf=r: Es la “alineación relajada”. Permite que el correo sea válido aunque lo envíes desde un subdominio (ej: https://www.google.com/search?q=ofertas.tuempresa.com).
  • fo=1: Pide que se genere un informe detallado si falla cualquier parte de la seguridad (SPF o DKIM).

3. Tutorial: ¿Dónde encuentro el Editor de DNS?

En un Proveedor Genérico (GoDaddy, Nominalia, Arsys, etc.)

  1. Inicia sesión y ve a Mis Productos o Mis Dominios.
  2. Busca tu dominio y haz clic en DNS o Gestionar DNS.
  3. En la tabla de registros, usa el botón Añadir y elige el tipo TXT.

En cPanel (Hosting tradicional)

  1. Entra en tu cPanel y busca la sección Dominios.
  2. Haz clic en el icono Zone Editor.
  3. Busca tu dominio y dale a Administrar (Manage).
  4. Añade el registro seleccionando el tipo TXT.

En Microsoft 365 (Si ellos gestionan tus DNS)

  1. Ve al Centro de Administración (https://www.google.com/search?q=https://admin.microsoft.com).
  2. Ve a Configuración > Dominios.
  3. Haz clic sobre tu dominio y selecciona la pestaña Registros DNS.

4. Checklist Final para no expertos

  • [ ] Localiza tu DNS: Confirma si lo gestionas en un registrador o en tu hosting. Ahí es donde debes trabajar.
  • [ ] SPF Único: Revisa que solo tengas UNA línea que empiece por v=spf1. Si tienes varias, júntalas en una sola.
  • [ ] DMARC en Reject: Para detener el phishing de raíz, asegúrate de usar la política p=reject.
  • [ ] Paciencia: Los cambios pueden tardar hasta 24 horas en reconocerse en todo el mundo.

5. Conclusión: Tu marca ya está a salvo

Proteger tu identidad en internet es como poner una buena cerradura en la puerta de tu negocio. Al configurar SPF, DKIM y DMARC, has pasado de estar expuesto a tener un sistema que bloquea automáticamente cualquier intento de fraude en tu nombre.

6. Preguntas Frecuentes

¿Por qué mis correos de bienvenida llegan a la carpeta de Spam de mis alumnos?

La razón más común es la falta de registros de autenticación (SPF y DKIM). Los filtros de Gmail y Outlook son más estrictos en 2026; si no tienes estos “pasaportes digitales” configurados en tu dominio, los proveedores asumen que tu correo es sospechoso y lo bloquean para proteger al usuario.

¿Qué diferencia hay entre SPF, DKIM y DMARC de forma sencilla?

Imagina que envías una carta física:
SPF: Es la lista de carteros autorizados para llevar tus cartas.
DKIM: Es el sello de cera que garantiza que nadie abrió el sobre en el camino.
DMARC: Son las instrucciones que le das al cartero si recibe una carta que no tiene tu sello o no viene de un cartero autorizado (ej: “tírala a la basura” o “ponla en observación”).

¿Es peligroso tocar los registros DNS de mi academia?

Es un proceso delicado pero no peligroso si tienes una guía clara. El mayor riesgo es escribir mal un valor, lo que podría detener el envío de correos temporalmente. Por eso, en nuestra experiencia gestionando academias, siempre recomendamos hacer una copia de seguridad de tus registros actuales antes de añadir los nuevos.

¿Cómo puedo saber si alguien está enviando correos falsos en mi nombre?

La mejor forma es configurar un registro DMARC con reportes RUA. Esto te enviará un informe periódico (que puedes leer con herramientas gratuitas) indicando qué servidores están intentando usar tu dominio. Si ves actividad de servidores que no conoces, es señal de que estás sufriendo un intento de phishing.

¿Necesito contratar a un programador para configurar la seguridad del correo?

No necesariamente. La mayoría de los proveedores de hosting y herramientas de email marketing (como Mailchimp o ActiveCampaign) ofrecen los códigos listos para copiar y pegar. Lo que necesitas es acceso al panel de control de tu dominio y unos 15 minutos de concentración.

7. Tu Misión: El “Check-up” de salud de tu dominio

No te vayas de este post sin saber en qué estado se encuentra tu academia hoy mismo. No necesitas entrar a configuraciones complicadas para este primer paso.

Tu tarea es realizar una auditoría externa en 3 pasos:

  1. Entra en una herramienta de test: Ve a Mail-Tester o mxtoolbox.com.
  2. Envía un correo de prueba: Las herramientas te darán una dirección de email temporal. Envía un correo desde el mail de tu academia (el que usas para tus alumnos) a esa dirección.
  3. Busca el color rojo: Mira el informe que te genera. Si ves una “X” roja o un aviso en las secciones de SPF, DKIM o DMARC, ya tienes el diagnóstico: tu dominio tiene una brecha de seguridad.

Consejo del experto: No intentes arreglarlo todo a la vez si los resultados salen en rojo. Saca una captura de pantalla de esos errores. Ese es tu punto de partida para limpiar tu reputación de envío.

¡Felicidades! Has blindado tu reputación digital. Si necesitas ayuda, puedes contactarnos aquí.

Deja un comentario :)

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

"Crear Cursos en Moodle"

🎯 Descarga GRATIS nuestro Checklist en PDF

Descubre los pasos clave para crear un curso rentable y profesional.
Cursos
Productos
Servicios
Empresa
Info
Recursos
La palabra Moodle y los logotipos asociados de Moodle son marcas comerciales o marcas comerciales registradas de Moodle Pty Ltd o sus afiliados relacionados.

eLearning Fácil utiliza el software Moodle™ pero no tiene ninguna relación con Moodle Pty Ltd.
© 2024. Todos los derechos reservados.