Checklist de 20 minutos para proteger tu dominio, a tu equipo y tus formularios contra phishing y suplantación
Por qué esto importa para tu empresa
Las campañas de suplantación (phishing) aprovechan brechas de terceros y descuidos internos para robar cuentas, desviar clientes y afectar la reputación de tu dominio. Si usas Gmail/Google Workspace en tu negocio, hoy mismo puedes reducir drásticamente el riesgo con acciones puntuales.
Checklist de 20 minutos (implementación exprés)
Sugerido para dueños, gerentes y administradores de TI.
0–5 min | Activa y exige verificación en 2 pasos (2SV) para todo el equipo
- Obliga 2SV en la consola de administración.
- Prioriza llaves de seguridad/passkeys para puestos críticos (finanzas, ventas, administración de campañas).
5–8 min | Revisa accesos de terceros (OAuth) y reenvíos automáticos
- Revoca apps que ya no uses.
- Deshabilita reenvío automático a correos personales externos salvo casos justificados.
8–12 min | Autenticación de dominio: SPF, DKIM y DMARC
Publica o valida estos registros DNS para tu dominio (ejemplos genéricos que puedes ajustar):
- SPF (TXT)
v=spf1 include:_spf.google.com -all
(Incluye todos tus emisores legítimos; usa -all para política estricta cuando estés seguro.) - DKIM
Genera una clave 2048-bit y habilítala en tu dominio desde la consola de Google Workspace (selector típico: google). - DMARC (TXT)
_dmarc.tu-dominio.com IN TXT "v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@tu-dominio.com; ruf=mailto:dmarc@tu-dominio.com; fo=1; aspf=s; adkim=s"
(Empieza en p=quarantine si ya autenticaron bien; si apenas auditas, inicia con p=none y sube a quarantine/reject tras 1–2 semanas de monitoreo.)
12–15 min | Entrega segura en tránsito
- Activa políticas de TLS requerido hacia dominios sensibles (bancos, SAT, proveedores clave).
- Planifica MTA-STS y TLS-RPT para forzar cifrado y recibir reportes de fallas de transporte.
15–17 min | Formularios web y sitio
- Habilita CAPTCHA (v3 o Enterprise), valida inputs y bloquea autoenvíos masivos.
- Revisa que tus landing pages de campañas usen HTTPS válido y no mezclen contenido inseguro.
17–20 min | Alertas y monitoreo
- Configura Postmaster Tools para vigilar reputación, spam rate (<0.1%) y autenticación.
- Activa alertas de inicio de sesión sospechoso y de cambios de recuperación de cuenta.
Señales de suplantación que tus colaboradores deben reconocer
- Remitente que “parece” legítimo, pero con dominio lookalike (ej. s1tesupremacy.com).
- Enlaces que apuntan a dominios distintos al que muestra el texto.
- Archivos adjuntos “urgentes” (PDF/ZIP) con macros o abreviaturas extrañas.
- Solicitudes de cambio de CLABE, facturación o contraseñas “por emergencia”.
Errores comunes que hunden tu reputación de correo
- No alinear From con el dominio autenticado (rompe DMARC).
- Usar IPs/servicios de envío no incluidos en SPF.
- Firmas DKIM cortas (1024) en proveedores que ya admiten 2048.
- No dar de baja listas viejas (sube el spam rate y te hunde en filtros).
Cómo medimos que quedaste protegido
- Autenticación: 100% de envíos con SPF/DKIM válidos y DMARC aligned.
- Reputación: spam rate <0.10% en Postmaster, sin picos >0.30%.
- Entrega: rebotes por política 5.7.26 desaparecen en campañas legítimas.
- Transporte: conexiones salientes TLS consistentes a socios críticos; planeación de MTA-STS en curso.
Siguiente movimiento recomendado (sin excusas)
- Auditoría de DNS y remitentes en 24 h.
- Endurecimiento (2SV, SPF/DKIM/DMARC, TLS) en 48 h.
- Capacitación antiphishing de 30 minutos para tu equipo comercial y de finanzas.
¿Quieres que lo hagamos por ti y sin interrumpir tus operaciones?
www.SiteSupremacy.com implementa tu hardening de correo y dominio (2SV, SPF/DKIM/DMARC, TLS, políticas de reenvío y monitoreo) en 48 horas, con reporte técnico y capacitación rápida para tu equipo.
Incluye diagnóstico gratuito de 15 minutos para detectar exposición y un plan de acción inmediato.
Escríbenos hoy y evita pérdidas por suplantación, robo de leads o bloqueo de envíos.