Resumen de IA
La suplantación de identidad de correo electrónico en WordPress ocurre cuando los correos electrónicos parecen provenir de tu dominio pero carecen de la autenticación adecuada, lo que provoca fallos en la entrega y riesgos de seguridad.
Tus formularios de contacto podrían estar configurando las direcciones de correo electrónico de los visitantes como remitente, tu servidor podría estar enviando correo no autenticado o tu dominio simplemente carece de los registros DNS que demuestran la propiedad legítima.
La suplantación de identidad (spoofing) se manifiesta en WordPress de dos maneras relacionadas. O bien tus propios correos electrónicos fallan en la autenticación y son bloqueados o marcados como spam, o bien los atacantes explotan tu dominio desprotegido para enviar mensajes de phishing que parecen provenir de ti. Ambos problemas se resuelven con la misma configuración de autenticación, pero saber cuál estás abordando te ayuda a priorizar la solución.
En esta guía, configurarás WP Mail SMTP con la autenticación adecuada, configurarás tus registros DNS con SPF, DKIM y DMARC, y corregirás la forma en que tus formularios de contacto manejan las direcciones del remitente, para que tus correos electrónicos lleguen realmente y sea más difícil suplantar tu dominio.
Cómo solucionar problemas de suplantación de identidad de correos electrónicos en WordPress
Comenzaremos entendiendo cómo se ve la suplantación de identidad de correos electrónicos en WordPress y por qué ocurre. Luego, configurarás WP Mail SMTP con la autenticación adecuada, que es el método más fiable para eliminar los problemas de suplantación y asegurar que tus correos electrónicos lleguen a su destino.
Si no estás seguro de dónde encaja tu problema, la siguiente tabla relaciona el síntoma con el paso que lo soluciona.
| Síntoma que estás experimentando | Causa más probable | Dónde empezar |
|---|---|---|
| Correos electrónicos que llegan a carpetas de spam | Sin autenticación en el correo saliente | Paso 3 + Paso 4 |
| Envíos de formularios de contacto que no llegan | Dirección de correo electrónico del visitante utilizada como dirección de origen | Paso 4 (Forzar correo de origen) |
| Rebotes de correos electrónicos que no enviaste | El dominio está siendo suplantado activamente | Paso 3 (DMARC con p=reject) |
| Informes de phishing que mencionan tu dominio | Sin aplicación de DMARC | Paso 3 (Política DMARC) |
| Advertencias de "Remitente no verificado" en Gmail | Falta SPF o DKIM | Paso 2 + Paso 3 |
| La prueba de WP Mail SMTP muestra una advertencia de entregabilidad | Uno o más registros mal configurados | Paso 2 + Paso 6 |
- Paso 1: Comprender la suplantación de identidad de correos electrónicos en WordPress
- Paso 2: Diagnostica el estado actual de autenticación de tu correo electrónico
- Paso 3: Configura los registros de autenticación de correo electrónico (Nivel DNS)
- Paso 4: Instala y configura WP Mail SMTP
- Paso 5: Configuración de BIMI (Avanzado)
- Paso 6: Prueba tu configuración de correo electrónico
Paso 1: Comprender la suplantación de identidad de correos electrónicos en WordPress
La suplantación de correo electrónico en WordPress ocurre cuando tu sitio envía correos que parecen legítimos pero no pueden demostrar su autenticidad a los servidores de correo receptores.
Esto sucede porque WordPress utiliza la función de correo básico de PHP por defecto, que envía mensajes sin los protocolos de autenticación adecuados.
El escenario de suplantación más común involucra los formularios de contacto. Cuando alguien completa tu formulario de contacto, muchos complementos establecen automáticamente su dirección de correo electrónico como remitente "De".
Otro problema frecuente es que WordPress envía correos del sistema (restablecimientos de contraseña, registros de usuarios, confirmaciones de pedidos) utilizando el nombre de tu dominio pero sin las firmas criptográficas que demuestran que el mensaje realmente provino de tu servidor.
Proveedores de correo como Gmail y Outlook rechazan cada vez más estos mensajes no autenticados, un problema que se aborda en nuestra guía sobre cómo entender la entregabilidad del correo electrónico.
La causa raíz es siempre la misma: a tus correos electrónicos les faltan las firmas digitales y los registros DNS que requiere la seguridad moderna del correo electrónico.
La solución tiene dos partes. Mueve el envío a SMTP autenticado y publica los registros de autenticación de correo electrónico adecuados en tu DNS. Cubriremos ambos en los pasos a continuación.
Soluciona tus correos de WordPress ahora
Paso 2: Diagnostica el estado actual de autenticación de tu correo electrónico
Antes de solucionar tus problemas de suplantación, necesitas comprender exactamente qué está fallando en tu configuración de correo electrónico actual. Comienza comprobando si tu dominio ya tiene registros de autenticación de correo electrónico configurados.
Utiliza una herramienta de búsqueda de registros SPF para ver si tienes un registro SPF. Simplemente introduce el nombre de tu dominio y haz clic en "SPF Record Lookup". Si no se encuentra ningún registro, como en la captura de pantalla a continuación, eso es un problema.
A continuación, comprueba los registros DKIM utilizando MXToolbox’s DKIM Lookup. Necesitarás conocer tu selector DKIM, que varía según el proveedor de correo electrónico. Los selectores comunes incluyen "default", "google", "selector1" o el selector específico de tu proveedor.
Después de eso, verifica tu política DMARC con MXToolbox’s DMARC Lookup. La ausencia de un registro DMARC es una de las causas más comunes de vulnerabilidad a la suplantación de correo electrónico.
Autenticar correo electrónico de prueba con un mensaje real
Otra forma de comprobar rápidamente el estado de autenticación de su correo electrónico es enviar un correo electrónico de prueba a Gmail y comprobar las cabeceras del mensaje (haga clic en los tres puntos y luego en Mostrar original).
Paso 3: Configura los registros de autenticación de correo electrónico (Nivel DNS)
La autenticación de correo electrónico se realiza a nivel de DNS, donde se publican registros que indican a los servidores de correo receptores cómo verificar los correos electrónicos de su dominio.
Tres protocolos trabajan juntos para prevenir la suplantación de identidad. SPF autoriza los servidores de envío, DKIM añade firmas digitales y DMARC establece políticas para el manejo de fallos de autenticación. Así es como encaja cada uno.
| Protocolo | Qué hace | Qué falla si falta |
|---|---|---|
| SPF | Enumera los servidores permitidos para enviar correo desde su dominio | Cualquier servidor puede enviar correos electrónicos haciéndose pasar por usted |
| DKIM | Añade una firma criptográfica para que los receptores puedan verificar que el mensaje no ha sido alterado | Los receptores no pueden confirmar que el mensaje provino de su servidor o que llegó intacto |
| DMARC | Indica a los servidores receptores qué hacer cuando SPF o DKIM fallan, y le envía informes | Los mensajes suplantados se siguen entregando y usted no tiene visibilidad sobre quién envía correos en su nombre |
Necesita los tres. SPF por sí solo no detendrá la suplantación de identidad porque no sobrevive al reenvío, y DKIM por sí solo no indica a nadie qué hacer con los fallos. DMARC los une.
Configurar registros SPF
Los registros SPF (Sender Policy Framework) especifican qué servidores de correo están autorizados para enviar correos electrónicos en nombre de su dominio. Sin un registro SPF, cualquier servidor puede afirmar que envía correos electrónicos desde su dominio.
La mayoría de los sitios de WordPress necesitan autorizar múltiples fuentes de envío: su proveedor de alojamiento web para correos electrónicos del sistema, su proveedor de SMTP para envíos autenticados y, a veces, servicios de terceros como plataformas de marketing.
Esto a menudo conduce a múltiples registros SPF, lo que rompe la autenticación. La clave es crear un único registro SPF que incluya todos sus remitentes legítimos.
Añadirá esto como un registro TXT en el DNS de su dominio, típicamente comenzando con v=spf1 y terminando con ~all para rechazar remitentes no autorizados.
Configurar autenticación DKIM
DKIM (DomainKeys Identified Mail) añade una firma criptográfica a sus correos electrónicos que los servidores receptores pueden verificar con una clave pública almacenada en su DNS.
Su proveedor de SMTP generará claves DKIM para usted, pero a veces el registro DNS resultante es demasiado largo para una única entrada TXT.
Cuando esto sucede, necesitará dividir el registro DKIM en múltiples entradas DNS manteniendo el formato correcto que esperan los servidores de correo.
El registro DKIM incluye la clave pública de su proveedor y se publica como un registro TXT en un subdominio específico, normalmente algo como selector1._domainkey.sudominio.com.
Implementar política DMARC
DMARC (Domain-based Message Authentication, Reporting, and Conformance) une SPF y DKIM y, al mismo tiempo, indica a los servidores receptores qué hacer cuando los correos electrónicos fallan la autenticación.
Es su defensa principal contra la suplantación de dominio. Un registro DMARC establece una política que puede poner en cuarentena los correos electrónicos sospechosos, rechazarlos por completo o simplemente monitorearlos sin tomar medidas.
Comience con una política de monitoreo (p=none) para recopilar datos sin afectar la entrega, luego avance gradualmente a p=quarantine y finalmente a p=reject a medida que verifica que los correos electrónicos legítimos pasan la autenticación. Yo esperaría en p=none durante al menos dos semanas antes de endurecerla, más tiempo si tiene varias fuentes de envío o realiza campañas de marketing regulares. Los informes agregados de DMARC le mostrarán cualquier cosa que haya olvidado autorizar antes de que una política más estricta comience a bloquear correos reales.
Paso 4: Instala y configura WP Mail SMTP
WP Mail SMTP reemplaza la función de correo predeterminada poco confiable de WordPress con envío SMTP autenticado, lo cual es esencial para prevenir la suplantación de correo electrónico.
Si tiene WP Mail SMTP Pro, inicie sesión en su cuenta y navegue a la pestaña Descargas para obtener el último archivo del plugin. La versión Pro incluye funciones avanzadas y registro de correo electrónico que ayudan a identificar y resolver problemas de entregabilidad.
En su panel de WordPress, vaya a Plugins » Añadir nuevo » Subir plugin, suba el archivo zip y haga clic en Instalar ahora. Una vez instalado, active el plugin inmediatamente.
El Asistente de Configuración aparece automáticamente después de la activación y es esencial para solucionar problemas de suplantación de correo electrónico. No omita este paso.
Haga clic en Empecemos para iniciar el proceso de configuración que eliminará sus vulnerabilidades de suplantación.
Normalmente elijo un proveedor transaccional como SendLayer, SMTP.com o Brevo por su velocidad y fiabilidad, ya que manejan colas y límites de tasa mejor que el webmail básico.
Una vez que haya elegido su proveedor de correo electrónico, haga clic en el enlace de abajo para abrir la documentación correspondiente. Tenemos una guía completa para cada remitente para que pueda conectar fácilmente su sitio de WordPress:
| Enviadores disponibles en todas las versiones | Enviadores en WP Mail SMTP Pro |
|---|---|
| SendLayer | Amazon SES |
| SMTP.com | Microsoft 365 / Outlook.com |
| Brevo | Zoho Mail |
| Google Workspace / Gmail | |
| Mailjet | |
| Mailgun | |
| Postmark | |
| SendGrid | |
| SMTP2GO | |
| SparkPost | |
| Elastic Email | |
| Otro SMTP |
Siga los pasos en pantalla para conectar su cuenta, luego complete los campos que solicite el remitente. Dependiendo de su elección, pegará una clave API, iniciará sesión con OAuth o aprobará el envío desde su dominio.
Durante la configuración de WP Mail SMTP, encontrarás la opción Forzar correo del remitente ubicada debajo del campo de configuración principal Correo del remitente.
WordPress utiliza normalmente la dirección de correo electrónico de administrador de tu sitio para los mensajes salientes, pero esto crea problemas de autenticación cuando diferentes plugins intentan usar distintas direcciones de remitente.
Los formularios de contacto, los correos de registro de usuarios y las notificaciones de comercio electrónico pueden intentar utilizar diferentes direcciones de remitente. Las diferentes direcciones de remitente rompen la autenticación y activan indicadores de suplantación.
La opción Forzar correo del remitente estandariza todos los mensajes salientes para que utilicen la dirección del dominio autenticado que estableciste en el campo Correo del remitente.
Paso 5: Configuración de BIMI (Avanzado)
BIMI (Brand Indicators for Message Identification) es un protocolo avanzado antisuplantación que muestra el logotipo de tu marca directamente en los clientes de correo de los destinatarios cuando tus mensajes superan las comprobaciones de autenticación.
Esta verificación visual añade una confirmación rápida además de la autenticación que ya has configurado. Los destinatarios ven tu logotipo junto a los mensajes legítimos, lo que hace que los mensajes suplantados sin él parezcan más obviamente falsos.
Para obtener instrucciones detalladas de implementación, requisitos de logotipo, formato de registros DNS y configuración del certificado de marca verificada, consulta nuestra guía completa sobre qué es BIMI y cómo implementarlo.
Paso 6: Prueba tu configuración de correo electrónico
Una vez que todo esté configurado, utiliza la función de prueba integrada de WP Mail SMTP para evaluar la entregabilidad de tu correo electrónico. Ve a Herramientas y haz clic en la pestaña Prueba de correo electrónico para empezar.
En esta pantalla, personaliza la dirección del destinatario para tu correo electrónico de prueba y pulsa Enviar correo electrónico.
Si todo está configurado correctamente, verás un mensaje verde.
Si WP Mail SMTP detecta algún problema, mostrará una advertencia.
Debajo de la advertencia, verás información sobre los pasos que debes seguir para mejorarla.
La guía de solución de problemas comunes de WP Mail SMTP cubre soluciones para problemas de configuración habituales.
Sigue monitorizando después del lanzamiento
Superar una única prueba significa que tus registros son válidos hoy. No te dice qué sucederá la próxima semana cuando un nuevo plugin empiece a enviar correos, o cuando una plataforma de marketing que olvidaste sea marcada por falta de DKIM. Dos herramientas gratuitas merecen ser revisadas semanalmente durante el primer mes después de la configuración.
Los informes agregados de DMARC llegan como archivos XML a la dirección que introduzcas en la etiqueta rua= de tu registro DMARC. Enumeran cada IP que envió correos electrónicos pretendiendo ser tu dominio durante las 24 horas anteriores, con los resultados de pase o fallo de SPF y DKIM para cada una. El XML sin procesar es difícil de leer, pero los analizadores gratuitos como DMARC Digests de Postmark o las herramientas de dmarcian convierten los informes en algo legible. Si ves correos electrónicos autenticados provenientes de una IP que no reconoces, se trata de un servicio olvidado que necesitas autorizar o de alguien que está suplantando activamente tu dominio.
Google Postmaster Tools te muestra lo que Gmail piensa de tu dominio de envío: tasa de spam, reputación de IP, tasas de éxito de autenticación y el nuevo panel de Estado de Cumplimiento que marca los fallos en los requisitos para remitentes masivos. Nuestra guía sobre cómo configurar Google Postmaster Tools te explica cómo verificar tu dominio y leer los informes.
Preguntas frecuentes sobre cómo solucionar la suplantación de correo electrónico en WordPress
Solucionar la suplantación de correo electrónico en WordPress es un tema de gran interés para nuestros lectores. Aquí tienes respuestas a algunas consultas comunes al respecto:
¿Qué es la suplantación de correo electrónico en WordPress?
La suplantación de correo electrónico en WordPress ocurre cuando los correos electrónicos parecen provenir de tu dominio pero carecen de la autenticación adecuada, lo que provoca fallos en la entrega y riesgos de seguridad.
Esto sucede porque WordPress utiliza la función de correo básica de PHP por defecto, que envía mensajes sin los protocolos de autenticación SPF, DKIM o DMARC que demuestran la legitimidad del correo electrónico.
¿Cómo sé si se están suplantando mis correos electrónicos de WordPress?
Busca estas señales:
- las notificaciones del formulario de contacto no llegan a los destinatarios
- los correos electrónicos aterrizan constantemente en las carpetas de spam
- recibes mensajes de rebote sobre fallos de autenticación
- los proveedores de correo electrónico muestran advertencias de "remitente no verificado"
- tu dominio aparece en informes de phishing que tú no enviaste.
Prueba enviando un correo electrónico a Gmail y revisando Mostrar original para ver los resultados PASS/FAIL de SPF, DKIM y DMARC.
¿Cómo sé si alguien está suplantando mi dominio?
La señal más clara son los mensajes de rebote o las respuestas automáticas de ausencia para correos que nunca enviaste. Los informes de clientes sobre mensajes sospechosos "tuyos" son otra señal de alarma. La respuesta definitiva proviene de los informes agregados de DMARC, que enumeran cada IP que envía correos bajo tu dominio. Si ves correos autenticados de IPs que no reconoces, tu dominio está siendo suplantado. Cambia tu política DMARC a p=reject una vez que hayas confirmado que todos tus remitentes legítimos están pasando la autenticación.
¿Cuál es la diferencia entre un correo electrónico hackeado y un correo electrónico suplantado?
Una cuenta de correo hackeada significa que un atacante realmente obtuvo acceso a tu buzón, generalmente a través de una contraseña robada. Verás mensajes desconocidos en tu carpeta de Enviados y alertas de inicio de sesión desde lugares en los que nunca has estado. La suplantación de identidad no requiere ningún acceso. El atacante falsifica la dirección del remitente en un mensaje que envía desde su propio servidor, por lo que tu cuenta nunca se ve afectada. Los mensajes suplantados nunca aparecen en tu carpeta de Enviados. Los registros de autenticación (SPF, DKIM, DMARC) evitan la suplantación de identidad. Las contraseñas seguras y la autenticación de dos factores evitan el hackeo de cuentas.
¿Cómo soluciono los problemas de suplantación de identidad de correo electrónico en WordPress?
Instala el plugin WP Mail SMTP, configúralo con un proveedor de SMTP profesional como SendLayer, configura los registros SPF, DKIM y DMARC en tu DNS, habilita la opción "Forzar correo electrónico de" para usar la dirección de tu dominio autenticado y prueba la autenticación de correo electrónico usando la función de prueba de WP Mail SMTP.
¿Cuánto tiempo se tarda en solucionar la suplantación de identidad de correo electrónico en WordPress?
El lado del plugin lleva alrededor de 30 minutos. Instalar WP Mail SMTP, conectar tu proveedor de correo y habilitar "Forzar correo electrónico de" generalmente se hace en menos de media hora, incluyendo el envío de prueba. El lado del DNS es más lento. Los registros SPF y DKIM suelen propagarse en unas pocas horas, pero pueden tardar hasta 48. La aplicación de DMARC es un proceso más largo: comienza con p=none y revisa los informes durante al menos dos semanas antes de pasar a p=quarantine, y luego otras dos semanas antes de p=reject. El camino completo desde una configuración rota hasta la aplicación completa de DMARC suele ser de cuatro a seis semanas.
¿Puede SPF por sí solo detener la suplantación de identidad de correo electrónico?
No. SPF solo indica a los servidores receptores qué IPs tienen permitido enviar correos desde tu dominio. No sobrevive al reenvío (si alguien reenvía tu mensaje, el nuevo servidor de envío falla la verificación SPF) y no indica a los receptores qué hacer cuando una verificación falla. Necesitas DKIM para firmar criptográficamente los mensajes y DMARC para establecer una política sobre los fallos. Los tres trabajando juntos es lo que realmente evita la suplantación de identidad.
¿Pueden los formularios de contacto de WordPress causar suplantación de identidad de correo electrónico?
Sí, los formularios de contacto comúnmente causan suplantación de identidad cuando usan la dirección de correo electrónico del visitante como remitente From, haciendo que parezca que el visitante envió el correo directamente en lugar de que tu sitio web reenvíe su mensaje.
Soluciona esto usando WP Mail SMTP con Forzar correo electrónico de habilitado y configurando los correos electrónicos del visitante en el campo Reply-To en su lugar.
¿Qué proveedores de SMTP evitan la suplantación de identidad de correo electrónico en WordPress?
Proveedores de SMTP profesionales como SendGrid, Mailgun, Amazon SES, Postmark y SMTP.com evitan la suplantación de identidad al proporcionar autenticación adecuada, firma DKIM e infraestructura de entrega.
Evita usar proveedores de correo web básicos como cuentas personales de Gmail, ya que carecen de las funciones de autenticación necesarias para el envío de WordPress.
¿Puede el hosting compartido causar problemas de suplantación de identidad de correo electrónico en WordPress?
Sí, el hosting compartido a menudo causa suplantación de identidad porque varios sitios web comparten la misma dirección IP del servidor, lo que dificulta la autenticación SPF, y la mayoría de los hosts compartidos no configuran DKIM ni proporcionan una autenticación de correo electrónico adecuada.
Soluciona esto usando WP Mail SMTP con un proveedor de servicios de correo dedicado en lugar de depender de los servidores de correo de tu proveedor de hosting.
A continuación, aprende cómo solucionar retrasos en el correo de WordPress
¿Tus correos de WordPress llegan con 20 minutos de retraso? ¿O peor aún, llegan horas después de que alguien envió un formulario o completó una compra? Consulta esta guía para descubrir qué está causando realmente los retrasos en tu sitio y cómo solucionarlos para que tus correos se envíen al instante.
Soluciona tus correos de WordPress ahora
¿Listo para arreglar tus correos electrónicos? Empieza hoy mismo con el mejor plugin SMTP de WordPress. Si no tienes tiempo para arreglar tus correos electrónicos, puedes obtener asistencia completa de configuración White Glove como compra adicional, y hay una garantía de devolución de dinero de 14 días para todos los planes de pago.
Si este artículo te ha sido útil, síguenos en Facebook y Twitter para obtener más consejos y tutoriales de WordPress.
