defensiva
spoofing
email spoofing
ARP spoofing

Qué es spoofing: tipos, ejemplos y técnicas de prevención

Qué es spoofing en ciberseguridad: tipos (email, ARP, DNS, IP, caller ID, GPS), técnicas de detección y controles defensivos para empresas.

Secra8 de junio de 202614 min de lectura

El spoofing es la técnica por la que un atacante falsifica el origen de una comunicación para suplantar una identidad legítima y, con esa apariencia, ganar confianza, acceso o evasión. Describe un conjunto amplio de ataques que comparten un principio: hacer que un sistema, una persona o un protocolo crean que están hablando con quien no es. Un correo que aparenta venir del director financiero, un punto de acceso WiFi que copia el SSID corporativo, una respuesta ARP que dice ser el gateway, una llamada que muestra el número del banco. Todos son spoofing.

El spoofing aprovecha que muchos protocolos de comunicación fueron diseñados sin autenticación robusta del origen. SMTP, ARP, DNS, IP, el sistema telefónico clásico, incluso ciertos componentes de TLS asumen que el remitente es quien dice ser. Esta guía recorre los tipos de spoofing relevantes en empresa, cómo el correo ha levantado tres capas defensivas (SPF, DKIM, DMARC), por qué la red interna sigue siendo vulnerable a ARP y DNS poisoning, y qué encaje tiene con NIS2 y RGPD.

Lo esencial: spoofing es el mecanismo de suplantación de origen; phishing y otros ataques son el objetivo final que se monta encima. Defender una empresa frente a spoofing exige tres frentes simultáneos: correo (SPF, DKIM, DMARC en modo reject), red corporativa (DHCP snooping, Dynamic ARP Inspection, 802.1X) y procedimientos humanos (verificación fuera de banda para órdenes de pago y cambios sensibles).

Qué es spoofing: definición y diferencia con phishing

El spoofing es el acto técnico de falsificar el origen aparente de una comunicación. Un correo con cabecera From: ceo@empresa.com que no se originó en el servidor de la empresa es spoofing. Una trama ARP que afirma "mi MAC es la del gateway" es spoofing. Una llamada cuyo Caller ID muestra el número del banco pero parte de una pasarela VoIP arbitraria es spoofing.

El phishing, en cambio, es el objetivo de fraude que el atacante persigue cuando convence a una víctima de entregar credenciales, hacer click en un enlace o autorizar un pago. La relación es jerárquica: phishing usa muy a menudo spoofing como mecanismo de entrega, pero no todo spoofing termina en phishing. Un atacante puede usar ARP spoofing solo para escuchar tráfico interno, o GPS spoofing para desviar un drone.

La diferencia importa para la defensa: bloquear spoofing exige controles a nivel protocolo (autenticación criptográfica, segmentación, validación), mientras que phishing se combate también con formación y verificación humana. Una organización que solo entrena empleados sin endurecer correo deja la puerta entornada; una que solo configura SPF y DMARC sin enseñar a verificar fuera de banda transferencias urgentes también. Ambas defensas se cubren en tipos de phishing y cómo evitar el phishing.

Tipos principales de spoofing

El catálogo de variantes ha crecido con cada nueva tecnología de comunicación. Estas son las que aparecen con regularidad en incidentes corporativos.

Email spoofing

El más extendido. SMTP no exige que el remitente declarado en la cabecera From coincida con el dominio del servidor que entrega el correo. Sin SPF, DKIM y DMARC desplegados, cualquier servidor puede mandar un mensaje afirmando ser cualquiera@empresa.com. Las técnicas habituales incluyen falsificación del header From visible, manipulación del campo Return-Path, dominios parecidos (look-alike como empresa-corp.com) y compromiso de cuentas legítimas para reenviar correos internos con cabeceras válidas. Este último caso, el Business Email Compromise, concentra gran parte del fraude por correo registrado en empresa mediana y grande.

IP spoofing

Falsificación de la dirección IP de origen en paquetes TCP/IP. Útil para ocultar la procedencia real de un ataque, montar reflexión DDoS o evadir controles basados en IP de confianza. Su utilidad como vector de intrusión directa es limitada porque la respuesta TCP vuelve a la IP suplantada, salvo en ataques ciegos o cuando el atacante está en la ruta.

ARP spoofing

En redes locales conmutadas, ARP asocia IPs a direcciones MAC. Un atacante en la misma VLAN envía respuestas ARP no solicitadas afirmando que la MAC del gateway es la suya. Los equipos actualizan su tabla y enrutan tráfico hacia él, creando un Man in the Middle sobre toda la subred. Es uno de los primeros movimientos en red team interno cuando el defensor no ha desplegado Dynamic ARP Inspection.

DNS spoofing y DNS cache poisoning

El atacante manipula respuestas DNS para que un dominio legítimo resuelva a una IP controlada por él. El vector clásico es envenenar la caché de un resolver interno; el moderno incluye compromiso de routers domésticos. Cubierto en profundidad en la guía de pharming.

Caller ID spoofing (vishing)

Manipulación del número telefónico que aparece en la pantalla de la víctima. Las pasarelas VoIP permiten declarar el número de origen casi libremente, lo que se aprovecha tanto para fraude masivo como para vishing dirigido contra empleados. Reguladores en Estados Unidos (STIR/SHAKEN) y la Unión Europea trabajan en marcos de autenticación, pero la cobertura sigue siendo parcial.

GPS spoofing

Inyección de señales falsas de GPS para que un receptor crea que está en otra posición. Aplicaciones documentadas incluyen interferencia con drones civiles y militares, desviación de embarcaciones y manipulación de geolocalización para sortear controles de acceso geográfico. Vector específico de defensa, transporte y logística.

HTTPS y TLS spoofing

Aunque TLS protege contra suplantación si se valida correctamente la cadena de certificados, existen escenarios donde un atacante instala un certificado raíz no legítimo en la máquina víctima, fuerza downgrade attacks o explota errores de validación de hostname en aplicaciones mal escritas. El uso de una CA maliciosa o comprometida es el caso histórico más conocido.

SMS spoofing

Falsificación del remitente alfanumérico de un SMS para hacerse pasar por el banco, una administración pública o un servicio de mensajería. Algunas operadoras permiten declarar el nombre de remitente sin verificación criptográfica, lo que facilita el smishing dirigido.

WiFi y Evil Twin AP

Un punto de acceso WiFi malicioso clona el SSID y configuración de uno legítimo. Los dispositivos cliente, configurados para reconectar a redes conocidas, se conectan al punto del atacante, que captura tráfico, intercepta credenciales y ejecuta MITM sobre conexiones sin TLS estricto.

MAC address spoofing

Falsificación de la MAC de un interfaz para sortear filtros de acceso, evadir captive portals o suplantar a un equipo autorizado en redes que solo autentican por MAC. Defensa adecuada: 802.1X en lugar de control por MAC.

Casos reales empresariales

El spoofing aparece en incidentes documentados con regularidad.

BEC y suplantación de CEO. Correo aparentando proceder del director general o financiero, enviado a un responsable de tesorería, solicitando una transferencia urgente y confidencial a un proveedor nuevo. Los informes agregados del FBI sobre BEC sitúan este vector como una de las mayores fuentes de pérdida económica por ciberdelito en empresa.

Spear phishing dirigido. Campañas que combinan email spoofing con reconocimiento previo en LinkedIn y registros públicos. El atacante envía un correo a un perfil concreto (IT, RRHH, finanzas) desde un dominio look-alike o desde una cuenta comprometida de un proveedor real.

DNS poisoning dirigido. Ataques contra resolvers internos para redirigir consultas a portales de autenticación falsos. Se han documentado contra portales de webmail, paneles de administración y servicios SaaS internos.

ARP spoofing en red interna durante red team. Una vez el equipo ofensivo logra acceso a una toma de red o un equipo cliente, ARP poisoning permite capturar credenciales NTLM, hashes Kerberos y sesiones internas. Se mitiga con DAI, aún no desplegado en muchas organizaciones.

Email spoofing en detalle

El correo electrónico es el frente donde más controles efectivos hay disponibles. Las tres capas de defensa operan en niveles complementarios.

SPF (Sender Policy Framework) publica en DNS qué servidores están autorizados a enviar correo en nombre del dominio. El receptor verifica si la IP del remitente está autorizada. Falla cuando el correo se reenvía (forwarders rompen SPF salvo que reescriban el sobre) y cuando la cabecera From visible difiere del dominio del sobre.

DKIM (DomainKeys Identified Mail) firma criptográficamente cabeceras y cuerpo con una clave privada del dominio remitente. El receptor verifica la firma con la clave pública publicada en DNS. Falla cuando una pasarela intermedia modifica cabeceras o cuerpo, o cuando el dominio no firma todos los flujos salientes.

DMARC combina SPF y DKIM con alineación del dominio From visible y publica una política (none, quarantine, reject). DMARC con política reject es la única configuración que rechaza activamente correo falsificado del dominio en cabecera. Su despliegue requiere observación previa con p=none, corrección de flujos legítimos no alineados y solo entonces endurecer a reject.

BIMI es el siguiente paso: requiere DMARC en reject y un certificado VMC para mostrar el logotipo corporativo en clientes compatibles (Gmail, Apple Mail). No añade seguridad técnica directa pero refuerza identidad visual y disuade impersonación.

Microsoft 365 y Google Workspace incluyen SPF para su infraestructura. DKIM hay que activarlo explícitamente por dominio. DMARC requiere publicar el registro en DNS y supervisar reportes agregados. Una auditoría inicial detecta proveedores SaaS que envían en nombre del dominio sin estar en SPF y flujos sin firmar con DKIM.

ARP y DNS spoofing en redes corporativas

El tráfico LAN sigue siendo el otro frente donde el spoofing es efectivo.

ARP spoofing en LAN. La defensa de referencia es Dynamic ARP Inspection (DAI) en los switches de acceso, complementada con DHCP snooping. Sin DAI, cualquier equipo conectado a una toma puede envenenar las tablas ARP del segmento. Port security limita MACs por puerto y 802.1X autentica el dispositivo antes de entrar en la red. Esta capa se cubre en la guía de bastionado de redes y sistemas.

DNS spoofing en red corporativa. El resolver interno (típicamente Active Directory) debe operar con DNSSEC habilitado para validar respuestas de zonas firmadas. DoH y DoT cifran el canal pero no firman la respuesta. Una arquitectura sólida combina ambos: DNSSEC para integridad de origen, DoT o DoH para cifrado del canal.

Detectar tráfico anómalo en estas capas exige monitorización pasiva (Zeek o equivalentes) que registre cambios bruscos en tablas ARP, picos de respuestas DNS no solicitadas o caídas inesperadas de TTL.

Detección de spoofing

Indicadores a vigilar:

  • Análisis de correo en la pasarela. Reportes DMARC agregados, índice de mensajes rechazados, dominios remitentes nuevos, cabeceras inconsistentes.
  • Reglas IDS e IPS. Firmas para ARP gratuito sospechoso, respuestas DNS no asociadas a consultas previas, paquetes con IP de origen falsificada.
  • Network monitoring. Zeek o Suricata permiten reglas a medida (caída brusca de RTT, respuestas DNS con TTL anormalmente bajo, flujos hacia hosts no inventariados).
  • Anomalías GeoIP. Logins SaaS desde ubicaciones imposibles, útil cuando el atacante ha combinado spoofing con exfiltración de cookies o tokens.
  • Sniffers controlados para detectar ARP poisoning. La guía de sniffer y análisis de tráfico cubre la operativa.

Prevención efectiva

Las medidas que aportan defensa real frente a las categorías de spoofing más relevantes:

  • Correo: SPF estricto sin mecanismos +all, DKIM firmando todos los flujos salientes, DMARC en p=reject tras periodo de observación, BIMI cuando ya hay DMARC duro.
  • Red interna: 802.1X en tomas de acceso, DHCP snooping, Dynamic ARP Inspection, port security, segmentación por VLAN, monitor pasivo.
  • DNS: DNSSEC habilitado en zonas propias, validación DNSSEC en resolver interno, canal cifrado con DoT o DoH hacia el upstream.
  • WiFi: WPA3-Enterprise con autenticación por certificado, detección de rogue APs, evitar SSID abiertos en oficina.
  • Procedimientos: verificación fuera de banda para órdenes de pago y cambios sensibles, formación periódica sobre BEC, segregación de funciones en autorización de transferencias.
  • MFA hardware-backed. Llaves de seguridad WebAuthn (YubiKey y similares) impiden que un atacante con credenciales y cookies suplante al usuario, anulando muchos vectores que combinan spoofing y robo de sesión.

Encaje con NIS2 y RGPD

El spoofing tiene impacto directo sobre las obligaciones regulatorias.

NIS2 artículo 21 exige medidas de seguridad técnicas y organizativas, entre ellas controles sobre comunicaciones electrónicas. Una organización dentro del ámbito de NIS2 que no haya desplegado SPF, DKIM y DMARC en su correo, ni controles de capa 2 contra ARP spoofing, difícilmente puede argumentar que ha aplicado el estado del arte requerido por la norma.

RGPD artículo 32 obliga a aplicar medidas técnicas y organizativas apropiadas para garantizar la confidencialidad e integridad de los datos. Si un incidente de BEC desencadena exfiltración de datos personales (clientes, empleados, candidatos), el responsable está obligado a notificar a la AEPD en 72 horas y, si el riesgo es alto, también a los afectados. La ausencia de DMARC y de controles de pago dobles aparece a menudo en expedientes sancionadores como agravante.

Preguntas frecuentes

¿SPF solo es suficiente para evitar email spoofing?

No. SPF valida la IP del servidor remitente contra el dominio del sobre (MAIL FROM), pero no comprueba la cabecera From visible al usuario. Un atacante puede enviar correo con MAIL FROM de un dominio bajo su control (que pasa SPF) y poner en From visible el dominio que quiere suplantar. Solo DMARC fuerza la alineación entre los dos campos.

¿DMARC en modo reject puede romper correo legítimo?

Puede romperlo si se aplica sin periodo previo de observación. El procedimiento correcto es publicar DMARC en p=none durante semanas, analizar los reportes agregados, identificar todos los proveedores SaaS y flujos internos que envían en nombre del dominio y autorizarlos en SPF y DKIM. Solo cuando todos los flujos legítimos están alineados se sube a quarantine y, finalmente, a reject.

Depende del uso y del país. En la mayoría de jurisdicciones europeas y en Estados Unidos, modificar el caller ID con intención fraudulenta es ilegal. Existen casos legítimos (centralitas que muestran el número principal de la empresa, servicios de privacidad). El problema es que muchas pasarelas internacionales permiten declarar caller ID sin verificar.

¿Se puede detectar ARP spoofing sin desplegar DAI?

Parcialmente. Herramientas en endpoint (arpwatch, scripts de monitor de tabla ARP) avisan de cambios inesperados de MAC del gateway. IDS de red detectan ARP gratuito anómalo. Es detección reactiva: el ataque ya está ocurriendo. La defensa preventiva real es DAI en los switches.

¿Una VPN previene spoofing?

Previene algunos vectores y no otros. Una VPN bien configurada protege el tráfico hasta el concentrador, así que mitiga ARP spoofing en la red local, MITM en WiFi público y, si fuerza DNS del concentrador, también DNS spoofing local. No previene email spoofing, GPS spoofing, BEC ni nada que ocurra una vez el tráfico sale del túnel.

¿Quién implementa DMARC en una organización?

La configuración técnica corre a cargo del responsable de correo (sysadmin, IT). El análisis de reportes y la decisión de endurecer política conviene compartirla con seguridad y, en organizaciones grandes, con marketing. Una consultora externa especializada acelera el proceso y reduce el riesgo de romper flujos legítimos durante la transición a reject.

Recursos relacionados

Auditoría de correo y red con Secra

Secra audita la configuración SPF, DKIM y DMARC de su organización, identifica flujos sin firmar y proveedores SaaS no autorizados, y acompaña la transición de p=none a p=reject sin romper correo legítimo. En la capa de red, evaluamos defensa frente a ARP y DNS poisoning, validamos despliegue de DAI, DHCP snooping y 802.1X, y ejecutamos ejercicios de red team con técnicas reales de spoofing para medir la capacidad de detección y respuesta del SOC. Si su organización está dentro del ámbito de NIS2 o necesita justificar medidas RGPD artículo 32, este trabajo aporta evidencia documental directa.

Para una evaluación inicial sin compromiso, escriba a través de contacto y agendamos una sesión para revisar el estado actual del correo y la red interna.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

EDR vs XDR vs MDR: diferencias, casos de uso y cuál elegir en 2026

EDR vs XDR vs MDR explicado: alcance técnico, telemetría, automatización, coste y cuándo elegir cada uno según madurez de tu equipo de seguridad.

2026-06-0816 min
defensiva

Qué es un backdoor: tipos, ejemplos reales y métodos de detección

Qué es un backdoor en ciberseguridad: tipos (software, hardware, firmware), ejemplos APT, técnicas de detección con EDR y hardening para empresas.

2026-06-0814 min
defensiva

Qué es el kernel y por qué importa en ciberseguridad

Qué es el kernel del sistema operativo, ring 0 vs userland, kernel exploits, rootkits y por qué la seguridad del kernel es crítica para empresas.

2026-06-0813 min