Phishing desde tu propio email: guía definitiva para detectar spoofing, reportarlo bien y blindar tu cuenta (SPF, DKIM, DMARC)

¿Te llegó un correo que parece enviado desde tu propia dirección? Tranquilidad: lo más probable es spoofing (suplantación) y no un hackeo. Aquí tienes una guía completa para actuar de inmediato, reportarlo correctamente y blindar tu cuenta y tu dominio (SPF, DKIM, DMARC).

Índice

Resumen de la pregunta

Has recibido un mensaje de phishing cuyo remitente figura como tu propio email. Te preocupa estar comprometido, pero además te resulta confuso cómo reportarlo si “viene de ti”.

Respuesta y solución

Qué está pasando (en breve): en la gran mayoría de los casos es suplantación del remitente (spoofing): cualquiera puede falsificar el campo From: de un email para que parezca que lo has enviado tú. Eso, por sí solo, no significa que tu cuenta haya sido hackeada.

A continuación encontrarás un plan de acción en cinco pasos, una verificación rápida para descartar compromiso real, la forma correcta de reportarlo (aun si el remitente “eres tú”), y medidas para reducir estas suplantaciones en el futuro, con pautas específicas para dominios propios y para servicios como Gmail y Outlook.

Acciones inmediatas

No interactúes con el mensaje. No hagas clic en enlaces, no descargues adjuntos, no respondas.
Márcalo como phishing o spam. Usa el botón “Reportar phishing” o “Correo no deseado” de tu cliente/webmail. Esto entrena los filtros y ayuda a otros usuarios.
Si tu cliente no permite reportar porque el remitente eres “tú”, reenvía el mensaje como archivo adjunto (.eml/.msg) al canal de abuso o utiliza el complemento/botón oficial de “Report phishing”. Adjuntar el mensaje preserva cabeceras técnicas (SPF/DKIM/DMARC).
Elimina el mensaje y vacía Papelera/Spam. Reduce el riesgo de interacción accidental en el futuro.
No te bloquees a ti mismo. Bloquear tu propia dirección suele romper reglas legítimas (p. ej., alertas de tu ERP) y no evita suplantaciones.

Pro tip: si algún enlace del mensaje te genera curiosidad, no lo abras. Cuando tengas dudas, copia la URL (sin hacer clic) y analízala con herramientas de tu equipo de TI o con un navegador aislado de pruebas. Para usuarios finales, lo más seguro es no abrirla jamás.

Comprueba que tu cuenta no fue hackeada

Realiza este mini-chequeo. Si detectas algo sospechoso, trata la situación como compromiso real:

Cambia tu contraseña por una única y robusta (larga, aleatoria, almacenada en un gestor).
Activa 2FA/MFA (aplicación OTP o llave física preferible a SMS).
Revisa inicios de sesión recientes en la página de seguridad de tu proveedor; busca ubicaciones o dispositivos desconocidos.
Revisa reglas y reenvíos: elimina reglas que mueven o reenvían todo, direcciones de reenvío desconocidas o respuestas automáticas extrañas.
Explora “Enviados” y “Borradores”: si hay correos que no enviaste, es señal de compromiso.

Qué revisar	Dónde	Señal de alerta	Acción
Sesiones e inicios de sesión	Centro de seguridad del proveedor	Accesos desde países o dispositivos que no reconoces	Cerrar sesiones, forzar cerrar sesión en todos los dispositivos, cambiar contraseña y habilitar 2FA
Reglas y reenvíos	Configuración de correo	Regla que reenvía todo a un dominio externo, o que oculta correos	Eliminar reglas dudosas, quitar reenvíos, revisar auditoría si está disponible
Carpetas Enviados/Borradores	Cliente/webmail	Mensajes que no enviaste o borradores extraños	Informar a TI, restablecer credenciales y 2FA, alertar a contactos si procede
Aplicaciones conectadas	Panel de seguridad/OAuth	Apps con permisos excesivos	Revocar accesos, reautorizar únicamente apps de confianza

Cómo reportar correctamente (aunque el remitente “seas tú”)

Reportar con el método adecuado mejora la eficacia de los filtros globales y de tu organización:

Usa el botón “Reportar phishing” de tu cliente o webmail: suele estar disponible aunque el campo From: sea tu propia dirección.
Si el botón no aparece o falla: abre el correo y elige Reenviar como adjunto (.eml/.msg) a la casilla de abuso de tu proveedor o al canal corporativo de respuesta a incidentes.
No reenvíes copiando y pegando el contenido en un nuevo correo: al hacerlo pierdes las cabeceras técnicas (Received:, Authentication-Results:, Return-Path:) que necesita el equipo anti‑abuso.

Plantilla breve para reporte interno

Asunto: Reporte de phishing (suplantación de mi dirección)
Resumen: Recibí un correo donde el From: aparece como mi propia cuenta. No hice clic ni abrí adjuntos.
Acciones realizadas: Reportado como phishing; adjunto el .eml/.msg con cabeceras completas.
Observaciones: El encabezado Authentication-Results muestra dmarc=fail y spf=fail.

Cómo confirmar el spoofing leyendo cabeceras

En un mensaje suplantado, las cabeceras suelen revelar que la autenticación no pasó o que el camino del mensaje no coincide con tu proveedor. Busca especialmente Authentication-Results, Received-SPF, Return-Path y el “salto” entre servidores Received:.

Ejemplo de cabeceras (resumen didáctico)

Authentication-Results: mail.tudominio.tld;
    spf=fail (sender IP 203.0.113.5) smtp.mailfrom=evil@malici0so.tld;
    dkim=none (no signature);
    dmarc=fail (p=reject) header.from=tu-dominio.tld
Return-Path: &lt;bounce@malici0so.tld&gt;
From: "Tu Nombre" &lt;tu@tu-dominio.tld&gt;
Sender: &lt;otra-cuenta@malici0so.tld&gt;
Received: from unknown (HELO smtp.malici0so.tld) (203.0.113.5) by mx.tudominio.tld ...

spf=fail: la IP emisora no está autorizada para enviar en nombre de tu dominio.
dkim=none o fail: el mensaje no trae firma DKIM válida de tu dominio.
dmarc=fail: la política DMARC determina que SPF y/o DKIM no alinean con el From: del dominio.

Cómo abrir cabeceras completas en los clientes más comunes

Gmail: abre el mensaje → menú de tres puntos → Mostrar original. Copia/guarda como .eml si vas a reportar.
Outlook web/desktop: abre el mensaje → Ver origen del mensaje o Ver detalles del encabezado. En escritorio, también puedes Guardar como .msg.
Apple Mail: Ver → Mensaje → Todas las cabeceras. Exporta como .eml.

Reducir o evitar futuras suplantaciones

La suplantación se mitiga combinando autenticación de correo (SPF, DKIM, DMARC), higiene de cuentas y, si procede, reglas avanzadas. Aquí tienes un plan por escenario:

Si usas un dominio propio

Configura los tres pilares en DNS. Un enfoque recomendado es empezar en modo monitoreo y evolucionar hasta cuarentena/rechazo cuando tengas inventariadas todas tus fuentes legítimas de envío (tu servidor, tu proveedor de email, y servicios externos como CRM, marketing, etc.).

Control	Qué valida	Ejemplo de registro DNS	Notas clave
SPF	Que la IP/host emisor está autorizado	`v=spf1 mx a ip4:203.0.113.42 -all` Google Workspace: `v=spf1 include:_spf.google.com -all` Microsoft 365: `v=spf1 include:spf.protection.outlook.com -all`	Limita a tus fuentes; evita múltiples registros SPF; usa `~all` en transición y `-all` al finalizar la limpieza
DKIM	Firma criptográfica por dominio	`selector1._domainkey.tu-dominio.tld CNAME ...` o registro TXT con la clave pública	Actívalo en tu plataforma; usa selectores rotativos; verifica que los mensajes salgan firmados
DMARC	Alineación de SPF/DKIM con el From	`_dmarc.tu-dominio.tld TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@tu-dominio.tld; ruf=mailto:dmarc@tu-dominio.tld; fo=1; aspf=s; adkim=s; pct=100"`	Empieza con `p=none` para observar; sube a `p=quarantine` y luego `p=reject` cuando todo lo legítimo alinee

Políticas DMARC típicas

Política	Comportamiento	Uso recomendado
`p=none`	Solo reporta, no bloquea	Fase de descubrimiento y ajuste
`p=quarantine`	Envía a spam/bandeja de cuarentena	Fase intermedia; reduce riesgo sin cortar de raíz
`p=reject`	Rechaza en SMTP	Objetivo final para frenar suplantaciones

Si usas Gmail, Outlook o Yahoo (dominios de terceros)

Estos servicios ya aplican SPF/DKIM/DMARC para sus dominios. Aun así, correos falsos pueden colarse en Spam o, ocasionalmente, en la bandeja. Mantén 2FA, contraseñas únicas y reporta cada intento para fortalecer los filtros globales.

Regla avanzada opcional basada en cabeceras

Si administras Microsoft 365/Exchange o un servidor propio, puedes crear una regla que mueva a spam los correos que fingen ser “From: tú” pero fallan DMARC o SPF. Ejemplo conceptual:

Condiciones:
 - El campo From contiene @tu-dominio.tld
 - Y el encabezado "Authentication-Results" contiene "dmarc=fail" OR "spf=fail"

Acción:

- Mover a "Correo no deseado" o Cuarentena
- (Opcional) Agregar texto al asunto: "\[SPOOF]"

En servicios que no permiten reglas por cabecera (p. ej., cuentas gratuitas de algunos proveedores), omite esta técnica; no intentes “bloquearte a ti mismo”.

Higiene de seguridad

No reutilices contraseñas; usa un gestor de contraseñas.
Prefiere 2FA con app o llave física frente a SMS.
Desconfía de urgencias, amenazas o solicitudes de pagos imprevistos.
Forma a tu equipo y realiza simulaciones de phishing periódicas.

Señales de compromiso real

Actúa de inmediato si observas:

Inicios de sesión desconocidos que reaparecen tras cambiar la contraseña.
Rebotes o quejas de contactos por spam supuestamente “enviado por ti”.
Cambios en datos de recuperación, reglas o reenvíos que no creaste.
Mensajes en Enviados que no reconoces.

Medidas de contención recomendadas

Cierra todas las sesiones activas desde el panel de seguridad.
Revoca dispositivos y aplicaciones conectadas (OAuth).
Restablece la contraseña y cambia el segundo factor si sospechas robo de 2FA (re‑enrola llaves/apps).
Revisa y elimina reglas y reenvíos inapropiados.
Considera avisar a tus contactos con un mensaje breve (plantilla abajo).

Plantilla para aviso a contactos

Hola,
Detecté actividad sospechosa relacionada con mi correo. Si recibiste mensajes extraños de mi dirección, por favor elimínalos sin abrir enlaces ni adjuntos. Ya tomé medidas (contraseña cambiada y 2FA activo).
Gracias por tu comprensión.

Mitos y errores comunes

Mito	Realidad	Qué hacer
“Si el From es mi dirección, seguro me hackearon”	La mayoría de las veces es spoofing del campo `From`	Aplica el mini‑chequeo; si todo está normal, reporta y elimina
“Bloquear mi propio email soluciona el problema”	Bloquearte rompe flujos legítimos y no impide suplantaciones	Usa reglas basadas en DMARC/SPF en lugar de bloquear tu dirección
“SPF solo ya me protege del todo”	Necesitas la trilogía: SPF + DKIM + DMARC con alineación	Configura los tres y evoluciona a `p=reject` cuando sea seguro
“Cambiar la contraseña siempre basta”	Si hay reglas de reenvío o apps maliciosas, seguirás expuesto	Revoca sesiones y apps, revisa reglas, activa 2FA

Guía rápida para equipos técnicos

Inventario de emisores: catálogo de todos los servicios que envían en nombre del dominio (MTA propio, M365/GWS, herramientas de marketing, CRM, helpdesk, etc.).
SPF: consolidar en un único registro TXT por dominio; evitar exceder el límite de 10 lookups; usar mecanismos ip4, a, mx, include bien justificados.
DKIM: habilitar firma en todos los emisores legítimos; selectores por servicio (p. ej., s1, s2), rotación periódica de claves.
DMARC: iniciar con p=none + rua/ruf; analizar reportes; avanzar a quarantine y reject.
Monitoreo: recolectar aggregate y forensic; ajustar alineación (aspf/adkim).
Responder: canal interno para reportes de usuarios con adjuntos .eml/.msg; playbooks de contención y comunicación.

Ejemplo de secuencia de despliegue DMARC

Publicar v=DMARC1; p=none; rua=... y validar recepción de reportes.
Corregir fuentes que no firman DKIM o no pasan SPF.
Elevar a p=quarantine; pct=25 → pct=50 → pct=100.
Elevar a p=reject cuando no queden emisores legítimos fuera de alineación.

Preguntas frecuentes

¿Por qué me llega un “correo mío” con amenazas o extorsión?

Es una táctica de miedo. Los actores usan suplantación para que parezca que controlan tu cuenta. Si el mensaje no tiene pruebas verificables y las cabeceras indican fallos de autenticación, se trata de spoofing. Aun así, realiza el mini‑chequeo y activa 2FA.
¿Conviene responder al remitente pidiendo explicaciones?

No. Responder confirma que tu buzón está activo y puede ocasionar más spam. Reporta y elimina.
¿Qué hago si soy administrador y un partner legítimo no pasa DMARC?

Coordina la habilitación de DKIM/actualización de SPF del servicio emisor y, mientras tanto, añade excepciones temporales muy acotadas (por IP o identificadores DKIM), con fecha de caducidad. Evita reglas demasiado amplias.
¿Puedo bloquear todos los correos cuyo From sea igual a mi dirección?

No es recomendable: podrías bloquearte mensajes legítimos (notificaciones, envíos automatizados internos). Es mejor filtrar por cabeceras de autenticación fallida.
¿Los filtros antispam perfectos existen?

No. Siempre habrá intentos que se cuelan o falsos positivos. La combinación de autenticación fuerte, reporte constante, formación de usuarios y 2FA reduce drásticamente el riesgo.

Checklist operativo

No hagas clic ni abras adjuntos.
Reporta como phishing o spam.
Si es necesario, reenvía el .eml/.msg con cabeceras completas al canal de abuso.
Elimina y vacía Spam/Papelera.
Ejecuta el mini‑chequeo: contraseña, 2FA, sesiones, reglas, Enviados/Borradores, apps conectadas.
Como administrador, refuerza SPF, DKIM y DMARC; define reglas basadas en cabeceras.

Errores que debes evitar

Bloquear tu propia dirección como único “arreglo”.
Asumir que cambiar la contraseña lo soluciona todo sin revisar reglas/reenvíos.
Reenviar el contenido pegado en un nuevo mensaje (pierdes cabeceras críticas).
Publicar múltiples registros SPF o exceder 10 lookups en SPF.
Postergar indefinidamente el paso de p=none a p=reject en DMARC.

Glosario breve

SPF: lista en DNS de servidores autorizados a enviar por tu dominio.
DKIM: firma criptográfica que permite validar integridad y origen del mensaje.
DMARC: política que indica cómo tratar mensajes cuando SPF/DKIM no alinean con el From.
Spoofing: suplantación del From u otros campos del mensaje.
2FA/MFA: segundo factor de autenticación además de la contraseña.

Conclusión

Cuando te llega “un correo tuyo” que en realidad es phishing, lo más probable es que se trate de spoofing y no de un hackeo. Aun así, conviene ejecutar un chequeo de seguridad rápido, reportar el mensaje de forma correcta (idealmente adjuntando el .eml/.msg para preservar cabeceras) y reforzar controles como 2FA y la trilogía SPF/DKIM/DMARC. Si administras un dominio, apunta a una política DMARC restrictiva (p=reject) una vez que todas las fuentes legítimas estén alineadas. Con estas prácticas, reducirás de forma drástica la probabilidad de que futuras suplantaciones lleguen a tu bandeja o afecten a tus contactos.