El correo electrónico es uno de los puntos de entrada más comunes para los ciberataques, y las protecciones integradas ya no son suficientes para manejar amenazas dirigidas. Probamos tres plataformas de seguridad de correo electrónico en la nube (Acronis, Sophos y Barracuda) con 100 pruebas en 11 categorías de amenazas.
Resultados de referencia de soluciones de seguridad de correo electrónico en la nube
Lea la metodología de referencia de soluciones de seguridad de correo electrónico para aprender cómo probamos estas herramientas y medimos los resultados.
Comparación de soluciones de seguridad de correo electrónico basada en categorías de veredicto
Acronis Advanced Email Security
- Acronis tiene la puntuación de detección general más alta (122/200) y se desempeña mejor contra el phishing de GenAI al 100%. Se bloquearon los diez pretextos comerciales pulidos, incluidos los pre-lecturas falsas de la junta, los flujos de nuevo consentimiento de Microsoft 365 y los acuerdos de confidencialidad legales ficticios.
- Esta es la categoría más difícil en la referencia, con una dificultad promedio de 8.2/10. Atrapar los diez sugiere que Acronis manejó bien las señales semánticas y contextuales de phishing en esta referencia, en lugar de depender solo de señales obvias de gramática o formato.
- La Categoría F y la Categoría D también apoyan este panorama: Acronis obtuvo un 89% en suplantación de identidad de marca/dominio y un 90% en phishing de URL, incluido un BLOQUEO en la prueba de inyección de encabezado de resultados de autenticación. Los resultados agregados sugieren un manejo sólido de casos de suplantación de identidad y análisis de URL.
- El registro limpio de falsos positivos es operativamente significativo. Ninguno de los ocho mensajes de control fue bloqueado, lo que significa que la tasa de detección del 67% no tiene ningún costo compensatorio en la pérdida de correo legítimo.
- Los aspectos negativos se concentran en niveles de dificultad más bajos. El spam básico (Categoría A, 44%) es más bajo que otras herramientas, con fallos en spam farmacéutico, estafas de lotería y una estafa romántica básica en niveles de dificultad de 1 a 2. La brecha sugiere que Acronis prioriza los ataques sofisticados sobre el tráfico masivo y de bajo esfuerzo.
Sophos Email Security
- Sophos tiene la segunda puntuación general más alta (105.5/200). Logró el 100% en la Categoría B (variantes de malware EICAR), atrapando cada variante de anidación de archivo, ZIP protegido con contraseña y prueba de tolerancia de desplazamiento.
- Las debilidades más visibles de Sophos son el phishing de URL (Categoría D, 58%) y las técnicas de evasión (Categoría J, 22%). La brecha de phishing de URL es notable porque los enlaces están entre los mecanismos de entrega de phishing más comunes, y la Categoría D prueba varias formas realistas en que los atacantes ocultan o enrutan.
- La puntuación del 58% de Sophos, en comparación con el 90% de Acronis, sugiere que su capa de análisis de URL fue menos consistente a través de redirecciones, ofuscación y colocaciones de URL fuera del cuerpo.
Barracuda Email Protection
- La puntuación de detección de 60/200 de Barracuda es más baja que los otros dos productos. La Categoría I (phishing de GenAI) devolvió una detección del 0%, y la Categoría A (Spam: 33%) tiene la puntuación más baja entre los competidores. Esto sugiere que Barracuda fue menos efectivo en esta configuración contra el spam de la referencia, el phishing de GenAI y los escenarios de ingeniería social.
- La Categoría B (detección de malware conocido mediante cadenas de prueba EICAR, 89%) y la Categoría C (tipos de archivos portadores como PDFs con JavaScript incrustado, HTML smuggling y accesos directos LNK, 70%) son competitivos con otros proveedores.
- Los resultados de la Categoría J de Barracuda (técnicas de evasión, 44%) muestran lo mejor de los tres proveedores. Esto sugiere que el motor de inspección de contenido subyacente puede manejar características como caracteres de ancho cero, asuntos codificados e homógrafos razonablemente bien.
- Las debilidades son más prominentes en categorías que importan más para la protección de amenazas modernas. El phishing de código QR (Categoría E, 13%), la suplantación de identidad de marca (Categoría F, 11%), BEC (Categoría G, 11%) y la extorsión (Categoría H, 22%) están todos muy por debajo de la comparación.
- En las once pruebas de nivel difícil, Barracuda bloqueó solo una y perdió las diez restantes.
Las 3 principales soluciones de seguridad de correo electrónico en la nube
Acronis Advanced Email Security análisis detallado
Cuando seleccionamos Acronis Email Security en el menú de la izquierda en la interfaz de Acronis Cyber Protect Cloud, vemos la siguiente pantalla. Luego hacemos clic para acceder a la consola de Seguridad de correo electrónico.
Como no hemos completado ninguna configuración aún, nuestro panel de control solo muestra los elementos del menú:
- Incidentes: Incidentes de seguridad detectados y actividad de ataque.
- Respuesta a incidentes: Herramientas para investigar y responder a incidentes.
- Tráfico: Visibilidad de patrones de correo electrónico escaneado o tráfico web.
- Informes periódicos: Informes de seguridad y protección programados.
- Operaciones de seguridad: Controles operativos de seguridad y herramientas de monitoreo.
- Configuración de detección: Configuración para reglas de detección, escaneo y configuraciones de protección.
Desde el menú de Configuración a la izquierda, vamos a Activos de correo electrónico protegidos.
Como aún no hay activos, el sistema nos redirige al flujo de configuración. Hacemos clic en Configurar protección de correo electrónico. El sistema nos pide una dirección de correo electrónico de escalación para informar problemas y pregunta qué servicio de correo electrónico utilizamos.
Para esta prueba, procederemos con un proveedor personalizado a través de MX. Estamos haciendo esto para poder comparar proveedores directamente, sin verse afectados por las protecciones integradas en Microsoft 365 o Google Workspace.
Seleccionamos el servicio de correo electrónico y elegimos el método de conexión Inline. Esto significa que Acronis escanea y bloquea correos electrónicos maliciosos antes de que se entreguen.
También agregamos un contacto de escalación que Acronis puede usar para toma de cuentas, seguridad o problemas de conexión. El siguiente paso es habilitar la aplicación de Google Workspace, que admite la incorporación, un recuento preciso de usuarios para facturación y acciones de remediación, como eliminar correos electrónicos maliciosos entregados por error.
Agregamos el dominio conectado, aimultiple.com, y el sistema recupera automáticamente los registros MX.
También establecemos el método de cálculo de licencias en "Según los asientos reportados" e ingresamos 100 asientos. Después de esta configuración, procedemos con Siguiente para continuar la configuración de MX.
El sistema nos pide agregar un registro TXT para verificar la propiedad del dominio. Agregamos el registro y esperamos la verificación.
También podemos administrar los servidores de destino SMTP configurados, confirmar que TLS está habilitado y usar la acción Verificar para confirmar que el registro TXT se ha publicado correctamente. Esta página también nos permite editar la configuración del servidor y TLS o eliminar el dominio si es necesario.
Enviamos un total de 100 correos electrónicos que podrían considerarse maliciosos o spam. El panel de control ahora muestra estadísticas como cuántos correos electrónicos se escanearon, cuántos se clasificaron como spam, cuántos se clasificaron como maliciosos y cuántos correos electrónicos se recibieron por tipo de ataque. También hay una estadística que muestra qué direcciones de correo electrónico fueron atacadas con más frecuencia.
En el menú Escaneos, podemos ver las estadísticas de escaneo para todos los correos electrónicos entrantes. El desglose por tipo de archivo también es un detalle útil. Además, en toda la aplicación, podemos ajustar el rango de fechas haciendo clic en Último día en la parte superior de la página.
El filtrado en la sección Escaneos es altamente detallado. Aquí hay algunas de las opciones:
- Dirección/dominio/IP del remitente: Los indicadores principales para identificar remitentes maliciosos o suplantados.
- Nombre de visualización suplantado: Apunta directamente a una de las técnicas de phishing más comunes, donde el nombre visible parece legítimo, pero la dirección real no lo es.
- Dirección de respuesta: Otra bandera roja importante de phishing. Cuando la respuesta difiere de la dirección del remitente, a menudo indica un intento de redirigir las respuestas a una bandeja de entrada controlada por el atacante.
- Acción (cuarentenado/entregado): Esencial para entender si una amenaza fue atrapada o llegó al destinatario.
- Asunto: Para identificar campañas de phishing que usan líneas de asunto idénticas o casi idénticas en múltiples objetivos.
- Dirección del destinatario: Crítico para determinar el alcance de un ataque. Muestra cuántos usuarios fueron objetivo y si individuos de alto valor (ejecutivos, finanzas) estaban entre ellos.
- Carga útil (adjuntos/URLs): Reduce la búsqueda a correos electrónicos que transportan los mecanismos de entrega de malware más comunes.
Cuando vamos a Operaciones de seguridad desde el menú de la izquierda, llegamos a la sección Escaneos. Desde esta pantalla, podemos acceder a detalles relacionados con los escaneos. Todos los escaneos se listan aquí, y también podemos ver las categorizaciones resultantes, como limpio, spam y malicioso.
Cuando abrimos los detalles de un correo electrónico, podemos ver cómo el sistema lo evaluó y su estado actual. También podemos cambiar su estado a:
- Aprobar veredicto (Manejar): Aceptar el veredicto actual y procesar el correo electrónico en consecuencia.
- Marcar correo electrónico como restringido: Clasificar el correo electrónico como restringido o que viola la política.
- Marcar correo electrónico como Spam: Clasificar el correo electrónico como no deseado o no solicitado.
- Marcar correo electrónico como Sospechoso: Marcar el correo electrónico como potencialmente riesgoso y que necesita precaución.
- Marcar correo electrónico como Limpio (FP): Marcar el correo electrónico como seguro e indicar que fue un falso positivo.
La vista a continuación es la vista compacta. Cuando hacemos clic en la pestaña Detallada en la esquina superior derecha, podemos ver muchos detalles adicionales.
En la vista compacta, podemos ver los detalles del escaneo de un correo electrónico de phishing malicioso que fue puesto en cuarentena por Acronis. Incluye una descripción general generada por IA que explica por qué se considera malicioso y muestra indicadores como un dominio de remitente sospechoso, comportamiento de bombardeo de correo electrónico y una URL riesgosa. En la sección Detalles, podemos verificar el canal, la acción tomada, el tiempo de escaneo, el tiempo de procesamiento, la organización y el estado de IR.
En el Inspector de correo electrónico, podemos revisar los metadatos del mensaje, incluido el asunto, el remitente, el destinatario, la hora, la ruta de retorno y la IP de origen. El cuerpo del correo electrónico también se muestra, por lo que podemos evaluar el intento de ingeniería social directamente.
Los criterios de evaluación de incidentes son claros y transparentes. Para un incidente, también podemos hacer clic en el botón Solicitar investigación, seleccionar "Creo que este correo electrónico está limpio" y enviarlo al equipo de Acronis para su revisión. Podemos ver escaneos anteriores relacionados con el mismo correo electrónico.
Con el botón Capturas de pantalla, podemos ver la versión renderizada del correo electrónico, que es una característica muy útil. Cabe destacar que el sistema no renderiza el correo electrónico como HTML en el navegador, por lo que cualquier vulnerabilidad no detectada en el correo electrónico no puede desencadenar una violación durante la revisión.
Todas las acciones de usuario pueden registrarse, y podemos ver estos registros en el Registro de auditoría desde el menú de la izquierda. Algunos de estos registros son:
- Ver capturas de pantalla de escaneo
- Manejar escaneo
- Acción de interfaz de usuario
Cada registro registra la marca de tiempo, la acción, la descripción, el administrador o el equipo, la organización objetivo y el correo electrónico u objeto objetivo relacionado.
En Configuración de detección en el menú de la izquierda, podemos administrar listas de permitidos y listas de bloqueo en detalle, lo cual es una característica muy útil:
- Lista de permitidos de dirección de correo electrónico/dominio del remitente: Los correos electrónicos de direcciones o dominios en esta lista siempre son confiables y eludirán los filtros de spam/amenazas. Esto puede ser útil para poner en la lista blanca socios conocidos o sistemas internos que de otro modo podrían activar falsos positivos.
- Lista de permitidos de dirección de correo electrónico del destinatario: Especifica direcciones de destinatario interno que deben recibir todo el correo entrante sin filtrado. Esto asegura que ciertos usuarios (por ejemplo, una bandeja de entrada de captura total) siempre reciban correos electrónicos, incluso de remitentes desconocidos.
- Lista de bloqueo de dirección de correo electrónico/dominio del remitente: Los correos electrónicos de direcciones o dominios en esta lista se rechazan o ponen en cuarentena automáticamente. Se puede usar para bloquear permanentemente fuentes de spam conocidas, dominios maliciosos o remitentes masivos no deseados.
- Lista de permitidos de IP del remitente: Los servidores de correo con IPs en esta lista se consideran confiables, y sus correos electrónicos omiten las verificaciones de reputación basadas en IP. Se puede usar para servicios de correo de terceros confiables o retransmisiones de correo locales.
- Lista de bloqueo de IP del remitente: Las conexiones de estas IPs se bloquean, independientemente de la dirección del remitente. Esto puede ser efectivo contra servidores de correo maliciosos conocidos o infraestructura comprometida.
- Lista de permitidos de URL: Los enlaces que coinciden con estas URLs o dominios dentro de los cuerpos de correo electrónico se consideran seguros y no serán marcados.
- Lista de bloqueo de URL: Los correos electrónicos que contienen estas URLs se marcan, bloquean o ponen en cuarentena.
- Lista de permitidos de hash: Los archivos adjuntos que coinciden con estos hashes criptográficos se tratan como seguros y pasan sin alertas de escaneo.
- Lista de bloqueo de hash: Los archivos adjuntos cuyo hash coincide con una entrada en esta lista se bloquean inmediatamente. Esto proporciona un bloqueo preciso y basado en firmas de archivos maliciosos conocidos, incluso si son renombrados o disfrazados.
Algunas de las características que valen la pena mencionar, pero que no probamos específicamente, son:
En configuración de detección:
- Inteligencia de amenazas: Extrae indicadores de fuentes externas de inteligencia de amenazas. Esta característica ayuda a atrapar malware de commodity generalizado, URLs maliciosas y campañas de ataque activas.
- Banners: Agrega banners personalizables a los correos electrónicos entrantes basados en políticas y reglas.
- Usuarios VIP: Permite a los administradores mantener una lista de usuarios de alto valor (ejecutivos, personal de finanzas, etc.).
En operaciones de seguridad:
Toma de cuentas (ATO): Detecta bandejas de entrada de Microsoft 365 comprometidas. La característica está diseñada para atrapar a los atacantes que usan cuentas secuestradas para fraude, phishing interno y exfiltración de datos.
El motor marca reglas de bandeja de entrada sospechosas (reenvío, redirección, movimiento o eliminación de correos electrónicos), inicios de sesión de viajes imposibles e inicios de sesión desde ubicaciones o dispositivos desconocidos. Cuando detecta una de estas señales, abre un caso en la consola, y el equipo de respuesta a incidentes se pone en contacto con el administrador para investigar juntos.
Sophos Email Security análisis detallado
Para comenzar con Sophos, creamos un enlace de prueba y somos dirigidos a la siguiente pantalla. Similar a Barracuda, Sophos nos pide seleccionar una región.
El sistema luego pregunta qué producto queremos instalar. Seleccionamos Seguridad de correo electrónico. Otros productos que se pueden configurar incluyen Protección de puntos finales, Protección de servidor, Phish Threat, Protección DNS, Acceso a red de confianza cero, Navegador protegido, Móvil, Inalámbrico, Cifrado de dispositivo, Gestión de firewall, Cloud Optix y Conmutadores.
Enviaremos 100 correos electrónicos, y la imagen a continuación muestra el panel de control. Incluye estadísticas como el número total de correos electrónicos entrantes escaneados, amenazas potenciales y tipos de amenazas detectadas. También hay estadísticas para correos electrónicos salientes, pero no estamos probando la seguridad de correo electrónico saliente en esta referencia.
También podemos ver otros elementos del panel de control como tendencias de actividad de correo electrónico, resúmenes de amenazas e indicadores de estado de seguridad.
Hicimos clic en Configurar configuración de puerta de enlace de correo electrónico. El sistema nos pide verificar nuestro dominio. Luego observamos una configuración útil en la que podemos elegir solo entrada o entrada y salida. También verifica los correos electrónicos salientes para prevenir problemas de seguridad.
El sistema muestra el registro DNS que necesitamos ingresar. Luego lo agregamos y procedemos.
Agregamos el registro TXT al DNS público del dominio. El valor TXT es un token de verificación de dominio de Sophos, y el TTL se establece en 600. Después de agregar el registro DNS, esperamos a la propagación, luego hacemos clic en Verificar para que Sophos pueda confirmar que somos dueños del dominio.
Agregamos el registro y verificamos nuestro dominio. Para el destino de entrada, seleccionamos MX e ingresamos el registro MX de Google Workspace: aspmx.l.google.com.
Al igual que Barracuda, Sophos requiere enrutamiento MX. A diferencia de Sophos y Barracuda, Acronis manejó este proceso limpiamente a través de una API, y no tuvimos que cambiar ninguna configuración. Este tipo de cambios de configuración de MX o similares pueden causar problemas para los administradores del sistema. Sin embargo, con fines de prueba, procedemos al siguiente paso.
Completamos la configuración de MX y enviamos un correo electrónico de prueba, pero no funcionó. Después de alguna investigación, vimos que el error fue: "Esta dirección de correo electrónico no se encontró", lo cual fue inesperado.
Necesitamos ir al panel, abrir la sección Bandejas de entrada desde el menú izquierdo y agregar usuarios manualmente uno por uno. Este es un problema de usabilidad que daña la experiencia general, ya que tanto Acronis como Barracuda funcionaron inmediatamente. Para la prueba, solo agregamos nuestra propia dirección de correo electrónico y continuamos las pruebas a través de esa cuenta.
La sección de informes está en el menú de la izquierda. Aquí hay algunos de los informes que podemos crear:
- Resumen de mensajes: Volumen y estado general de correo electrónico.
- Informe de análisis de SophosLabs: Veredictos de mensajes reportados por usuario/administrador.
- Resumen de amenaza Intelix: Análisis de amenazas para correos electrónicos entrantes.
- Resumen de momento del clic: Informe de actividad de clic en enlace.
- Usuarios en riesgo: Empleados más vulnerables.
- Resumen de control de datos: Coincidencias de políticas de pérdida de datos.
- Resumen de post entrega: Correos electrónicos eliminados después de la entrega.
- Resumen de uso de licencia: Uso de licencia de seguridad de correo electrónico.
Cuando vamos a Seguridad de correo electrónico > Historial de mensajes, podemos ver todos los correos electrónicos entrantes y cómo se clasificó cada uno. Este informe de Historial de mensajes lista correos electrónicos individuales procesados por Sophos Email Security. Algunos campos clave son:
- Remitente: De quién parecía provenir el correo electrónico.
- Destinatarios: Quién recibió el mensaje.
- Tipo: Cómo ingresó el correo electrónico al sistema, generalmente Puerta de enlace.
- Asunto: La línea de asunto del correo electrónico.
- Último estado: Qué hizo Sophos con él, como Entregado, Eliminado o Puesto en cuarentena.
- Fecha: Cuándo se procesó el correo electrónico.
- Categoría: Clasificación de Sophos, como Legítimo, Spam, Malware, Amenaza Intelix o Autenticación.
Algunos ejemplos de las categorías son:
- Legítimo: Correos electrónicos normales que fueron permitidos.
- Spam: Correos electrónicos sospechosos o no deseados; muchos están en cuarentena.
- Malware: Correos electrónicos peligrosos que contienen contenido malicioso; estos se eliminan.
- Amenaza Intelix: Correos electrónicos analizados por Sophos Intelix que se encontraron sospechosos o amenazantes.
- Puesto en cuarentena: El correo electrónico fue bloqueado y colocado en cuarentena para su revisión.
- Eliminado: El correo electrónico fue eliminado en lugar de entregado.
Los filtros a continuación permiten a los usuarios reducir el registro de correo electrónico por categoría de mensaje:
- Legítimo: Correos electrónicos normales permitidos.
- Mensaje seguro: Correos electrónicos cifrados o protegidos.
- Control de datos: Correos electrónicos que coinciden con reglas de seguridad/pérdida de datos.
- Fallo de autenticación: Fallos en verificaciones SPF, DKIM o DMARC.
- Suplantación de identidad: Posible suplantación de remitente o fraude de identidad.
- Masivo: Marketing masivo o correos electrónicos automatizados.
- Spam: Correos electrónicos no deseados o sospechosos.
- URL/Código QR: Correos electrónicos con enlaces o códigos QR riesgosos.
- Amenaza Intelix: Correos electrónicos marcados por análisis de amenazas de Sophos.
- No escaneable: Correos electrónicos que Sophos no pudo inspeccionar completamente.
- Malware: Correos electrónicos que contienen archivos o contenido malicioso.
- Bloqueado por empresa: Correos electrónicos bloqueados por política de la empresa.
El menú Bandejas de entrada muestra las bandejas de entrada que se están monitoreando. Al abrir una bandeja de entrada, podemos seleccionar qué políticas aplicar. Bajo Política base – Seguridad de correo electrónico, están disponibles la siguiente configuración:
La autenticación incluye verificaciones de autenticación de correo electrónico para mensajes entrantes. Podemos configurar cómo maneja Sophos los fallos de DMARC, SPF y DKIM, incluidas acciones como cumplir con la política del remitente o etiquetar la línea de asunto con una advertencia.
También incluye verificaciones de remitente para anomalías de encabezado y anomalías de dominio, que ayudan a detectar correos electrónicos que parecen provenir de su propio dominio o de dominios sospechosos sin registros DNS adecuados. También podemos habilitar banners de usuario final para mostrar a los destinatarios el nivel de confianza de los mensajes entrantes y ayudarnos a decidir si permitir o bloquear remitentes.
El antimalware gestiona el escaneo antimalware entrante para mensajes de correo electrónico. Podemos elegir la acción predeterminada para detecciones de malware, como Eliminar, y habilitar el escaneo mejorado de malware para un análisis de contenido y archivos más profundo.
También permite controlar correos electrónicos no escaneados y Análisis de amenazas Intelix, donde Sophos puede usar análisis estático y dinámico para clasificar mensajes sospechosos. Según el veredicto, podemos definir acciones como eliminar, entregar o manejar correos electrónicos maliciosos y sospechosos de manera diferente.
El antispam gestiona cómo maneja Sophos el spam y el correo electrónico masivo. Podemos establecer acciones para categorías como Spam confirmado y Masivo, incluida la cuarentena de mensajes y decidir si aparecen en la cuarentena del usuario final.
También incluye un control deslizante de tasa de captura de spam personalizable, donde niveles más altos aumentan la agresividad de la detección de spam.
Nuevo dominio/remitente incluye protecciones para dominios recién registrados y nuevos remitentes. Podemos habilitar verificaciones para correos electrónicos enviados desde dominios creados recientemente, que a menudo se usan en campañas de phishing.
También permite mostrar un banner de Nuevo remitente cuando un destinatario no ha recibido correos electrónicos de ese remitente antes.
El país de origen permite controlar correos electrónicos basados en el país del remitente. Se pueden seleccionar países específicos de una lista, y los correos electrónicos coincidentes se pueden poner en cuarentena o manejar de acuerdo con la política.
También hay una opción para verificar cada salto de mensaje, lo que ayuda a inspeccionar la ruta que tomó un correo electrónico antes de llegar al destinatario.
El idioma gestiona el filtrado por idioma del mensaje. Podemos seleccionar idiomas específicos que queremos no permitir y elegir la acción que debe tomar Sophos, como poner en cuarentena mensajes coincidentes.
La función de protección contra suplantación de identidad habilita verificaciones para intentos de suplantación de identidad de VIP, marca y general.
Para la protección de URL y código QR, podemos verificar correos electrónicos en busca de URLs y códigos QR maliciosos. Sophos puede escanear enlaces y extraer URLs de códigos QR para detectar amenazas antes de que los usuarios interactúen con ellos.
También gestiona la Protección de URL en el momento del clic, donde los enlaces se reescriben y verifican cuando el usuario hace clic en ellos.
En el menú de la izquierda, la sección Mensajes en cuarentena muestra todos los correos electrónicos en los que se ha detectado una amenaza. Podemos filtrar por:
- Antimalware: Correos electrónicos marcados durante el escaneo de malware. Esto incluye mensajes con archivos adjuntos peligrosos, contenido malicioso o elementos que Sophos no pudo inspeccionar completamente:
- Malware: Correos electrónicos confirmados que contienen archivos, enlaces o contenido malicioso. Estos suelen eliminarse o ponerse en cuarentena.
- No escaneable: Correos electrónicos que Sophos no pudo inspeccionar correctamente, por ejemplo, debido a cifrado, corrupción, archivos adjuntos protegidos con contraseña o tipos de archivo no compatibles.
- Antispam: Correos electrónicos que se clasifican a través de reglas de detección de spam:
- Masivo: Correos electrónicos enviados masivamente como boletines, campañas de marketing o notificaciones automatizadas.
- Spam confirmado: Correos electrónicos identificados con confianza como spam. Estos suelen ponerse en cuarentena o bloquearse.
- Spam sospechoso: Correos electrónicos que parecen sospechosos pero no son spam confirmado. Pueden ponerse en cuarentena, etiquetarse o entregarse según la política.
- Suplantación de identidad: Correos electrónicos que pueden estar fingiendo provenir de una persona, marca, dominio o remitente interno de confianza.
- País no permitido: Correos electrónicos bloqueados o puestos en cuarentena porque se originaron en un país restringido por la política.
- Idioma no permitido: Correos electrónicos bloqueados o puestos en cuarentena porque su idioma detectado no está permitido por la política.
- BATV: Correos electrónicos relacionados con la Validación de etiqueta de dirección de rebote, utilizada para ayudar a detectar mensajes de rebote falsificados o spam de retrodispersión.
- Nuevo dominio/NRD: Correos electrónicos de dominios recién registrados, que a menudo se usan en phishing o campañas de ataque de corta duración.
- Autenticación: Correos electrónicos filtrados basados en verificaciones de autenticación de remitente como fallos de SPF, DKIM o DMARC.
Cuando hacemos clic en un correo electrónico, podemos ver los mensajes que explican por qué fue puesto en cuarentena. Podemos eliminarlo y bloquear al remitente, liberar el mensaje de la cuarentena o liberarlo y permitir mensajes similares en el futuro.
En la sección Encabezado sin procesar, podemos ver toda la información de encabezado del correo electrónico. También podemos ver sus archivos adjuntos y las URLs contenidas en el mensaje. Esto no pareció lo suficientemente detallado en nuestra evaluación. Acronis y Barracuda proporcionaron una experiencia más completa e informativa en este sentido.
En la pestaña Mensaje, podemos ver el contenido del correo electrónico tal como es, lo cual puede ser inseguro. Sería mejor si pudiéramos ver el contenido del correo electrónico como una captura de pantalla, como observamos en Acronis.
Solo hay 23 correos electrónicos aquí porque estos fueron marcados como spam, mientras que otros fueron rechazados directamente. En resumen, el sistema pone en cuarentena los correos electrónicos marcados como spam.
Cuando queremos exportar todos los correos electrónicos entrantes, no podemos hacerlo directamente desde las pantallas de informes. Necesitamos crear un informe personalizado desde Registros de correo electrónico, luego abrirlo, seleccionar Generar informe, elegir CSV y finalmente exportar todo como CSV. Este flujo de trabajo se siente innecesariamente indirecto y no es amigable para el usuario.
Barracuda Email Protection análisis detallado
Después de obtener una prueba de Barracuda, navegamos al panel, hicimos clic en Abrir para Protección de correo electrónico y procedimos.
En Disponible en su prueba, podemos ver los productos principales incluidos:
- Protección de correo electrónico: Previene amenazas de correo electrónico, asegura el correo electrónico antes y después de la entrega y automatiza la respuesta a incidentes de correo electrónico.
- Copia de seguridad de nube a nube: Realiza copias de seguridad de datos de Microsoft 365.
- Inspector de datos: Encuentra datos sensibles y malware no detectado en OneDrive y SharePoint.
- Capacitación en conciencia de seguridad: Capacita a los empleados sobre amenazas de seguridad de correo electrónico.
- Servicio de archivo en la nube: Hace cumplir la retención de correo electrónico para cumplimiento y descubrimiento electrónico.
Como aún no habíamos configurado ningún dominio ni configuración relacionada, el sistema nos llevó directamente al asistente de configuración, que es una característica útil para configurar la configuración de correo electrónico.
Cuando hicimos clic en Siguiente, el sistema nos obligó a conectar una cuenta de Microsoft 365. Sin embargo, usamos Google Workspace y estamos evaluando el servicio para ese entorno.
Más tarde descubrimos que Barracuda admite Google Workspace. Continuamos con la configuración estándar.
El sistema nos pidió seleccionar una región de datos. Esta es una característica importante para el cumplimiento de GDPR, por lo que seleccionamos Alemania y continuamos.
Más tarde, Barracuda nos pidió ingresar una dirección de correo electrónico que pertenezca a nuestro dominio y verificar nuestros registros MX. Solo hicimos clic en el botón de verificación y no realizamos ninguna acción adicional. El sistema verificó los registros correctamente.
Durante las etapas posteriores de nuestra configuración, descubrimos que Barracuda carecía de una integración nativa con Google Workspace. En su lugar, nos dio nuevos registros MX para reemplazar los existentes. Cuando actualizamos estos registros MX, los correos electrónicos entrantes parecen llegar a Barracuda primero.
Barracuda luego filtra correos electrónicos inapropiados y reenvía los aceptables. Requerir cambios de registro MX para la integración de Google Workspace es un mal enfoque.
Después de eso, actualizamos los registros MX y los verificamos. Completamos la configuración y comenzamos a enviar correos electrónicos.
Mientras enviábamos los correos electrónicos, observamos que Barracuda rechazó algunas solicitudes SMTP y se negó a algunos archivos adjuntos. Cuando realizamos la misma prueba con Acronis, todos los correos electrónicos se entregaron y fueron visibles en el sistema. Aquí, Barracuda rechaza algunos correos electrónicos antes de que aparezcan en el panel de control.
Aunque los rechaza porque son genuinamente maliciosos, perdemos visibilidad como resultado de este proceso automatizado. En otras palabras, es posible que ni siquiera sepamos si llegó un ataque y fue rechazado. Este es un desafío para usar Barracuda para la seguridad de correo electrónico, ya que la visibilidad es todo en contextos de seguridad. Si un producto rechaza arbitrariamente incidentes y los hace invisibles, daña al equipo de seguridad.
A pesar de estos desafíos, todos los correos electrónicos de prueba fueron enviados. En el panel de control de Barracuda, somos dirigidos a la pantalla Registro de mensajes, donde se listan todos los correos electrónicos escaneados.
La sección Registro de mensajes incluye un área de filtrado en la parte superior. Aquí están las opciones de filtrado:
- Búsqueda: Búsqueda de texto en mensajes, destinatarios, remitentes y otros campos.
- Dominios: Filtra resultados por el dominio seleccionado.
- Dirección: Filtra por dirección de correo electrónico; Entrada o Salida.
- Rango de fecha/hora: Limita los resultados a una ventana de tiempo específica.
- Acción tomada: Filtra por la acción tomada, por ejemplo, Permitido, Bloqueado, Diferido.
- Estado de entrega: Filtra por si el correo electrónico fue entregado, falló, puesto en cuarentena, etc.
- Razón: Filtra por la razón de detección que activó una acción (por ejemplo, Puntuación, DMARC, Antivirus, Contenido protegido).
- Resultados: Controla cuántos registros se muestran por página.
Podemos reportarlo como incorrectamente clasificado. Por ejemplo, el correo electrónico a continuación es seguro pero incorrectamente clasificado como dañino. Reportamos el correo electrónico como seguro.
El correo electrónico a continuación está bloqueado, pero el panel de control no proporciona ningún detalle adicional. Por lo tanto, Barracuda es insuficiente en esta área. Sería más útil si pudiéramos ver más información sobre por qué se bloqueó el mensaje, además de la puntuación de bloqueo.
En la sección Dominios a la izquierda, podemos ver, agregar y eliminar los dominios que queremos incluir en la protección de correo electrónico, que son funciones estándar.
Dentro del menú Entrada a la izquierda, Barracuda proporciona los filtros utilizados para estos controles. Podemos configurar estos filtros.
Por ejemplo, en Configuración de antispam/antivirus, podemos configurar:
- Usar lista de bloqueo de reputación de Barracuda: Verifica el correo electrónico entrante contra la base de datos de Barracuda de remitentes maliciosos conocidos. Se puede configurar como Bloquear, Cuarentena o Apagado.
- Escanear correo electrónico en busca de virus: Habilita o deshabilita el escaneo de virus en todos los correos electrónicos entrantes.
- Usar sistema en tiempo real de Barracuda: Cruza referencias de correos electrónicos contra la fuente de inteligencia de amenazas en vivo de Barracuda. Se puede bloquear, poner en cuarentena o apagar. Opcionalmente envía contenido sospechoso a Barracuda Central para un análisis adicional.
- Habilitar cloudscan: Descarga la puntuación de spam al motor en la nube de Barracuda. Las puntuaciones van de 1 a 10; los correos electrónicos que superan el umbral activan la acción configurada.
- Categorización de correo electrónico: Clasifica los correos electrónicos entrantes por tipo y aplica una acción por categoría. Las categorías incluyen Correo electrónico corporativo, Correo electrónico transaccional, Materiales de marketing y boletines, Listas de correo y Redes sociales, cada una configurada independientemente como Permitir, Cuarentena, Bloquear o Apagado.
- Detección de correo electrónico masivo: Detecta y actúa sobre correos electrónicos masivos/enviados masivamente. Cuando está configurado en Apagado, los correos electrónicos masivos no se filtran por separado.
- Exenciones de correo electrónico masivo: Permite que direcciones de correo electrónico o dominios específicos eludan la detección de correo electrónico masivo, definido por remitente o destinatario.
Las páginas de límite de tasa definen cuántos correos electrónicos puede enviar una dirección IP de remitente dentro de cada período de 30 minutos, lo cual es una configuración útil. Puede prevenir el abuso de correo electrónico y ataques repentinos de alto volumen desde una sola IP de remitente.
Al limitar cuántos correos electrónicos puede enviar una dirección IP en un período de 30 minutos, el sistema puede reducir el impacto de:
- Campañas de spam
- Ráfagas de phishing
- Distribución de malware
- Cuentas o servidores de remitentes comprometidos
- Inundación de correo electrónico estilo denegación de servicio
En la página Lista blanca/negra de IP, podemos eludir el escaneo para correos electrónicos que provienen de direcciones IP específicas o bloquearlos directamente.
En Políticas regionales, podemos aplicar bloqueo geográfico o lista blanca. También podemos bloquear o permitir correos electrónicos basados en el idioma del contenido.
En Políticas de destinatario, podemos configurar reglas de escaneo o elusión basadas en la dirección de correo electrónico del destinatario.
Barracuda también proporciona políticas similares para remitentes. Podemos aplicar excepciones basadas en el remitente.
También hay un panel de control donde podemos definir excepciones basadas en controles de seguridad de correo electrónico estándar como DMARC, DKIM y SPF.
En Políticas de contenido, podemos configurar si escanear o eludir correos electrónicos basados en el nombre de archivo o tipo de archivo. También podemos definir reglas de escaneo o elusión basadas en el contenido del cuerpo del mensaje usando expresiones regulares.
Barracuda proporciona Protección avanzada contra amenazas como suscripción además del escáner de virus regular. La Protección avanzada contra amenazas (ATP) es un servicio de escaneo en la nube que analiza archivos adjuntos de correo electrónico en un entorno en la nube seguro para detectar amenazas que los escáneres de virus estándar pueden pasar por alto. Se aplica solo a mensajes entrantes y admite la mayoría de los tipos de archivos MIME.
Hay tres modos en ATP:
- Entregar primero, luego escanear intenta escanear el archivo adjunto en tiempo real a medida que llega el correo electrónico. Si el escaneo se completa a tiempo y se detecta una amenaza, el correo electrónico se bloquea. Si el escaneo no termina a tiempo, el correo electrónico se entrega inmediatamente sin esperar el resultado. El escaneo continúa ejecutándose en segundo plano, y si se encuentra una amenaza después, se notifica al destinatario, pero el correo electrónico ya ha llegado a su bandeja de entrada. Esto significa que el destinatario podría abrir un archivo adjunto infectado antes de que se identifique la amenaza.
- Escanear primero, luego entregar escanea el archivo adjunto antes de la entrega. Si se detecta una amenaza, el correo electrónico se bloquea. Si está limpio, se entrega. Los correos electrónicos pendientes de escaneo aparecen en el Registro de mensajes con "Escaneo pendiente" como razón. Si un mensaje permanece diferido por más de cuatro horas, se pone en cuarentena. Este modo es más seguro pero puede retrasar la entrega.
- Deshabilitado: ATP está completamente apagado.
La compensación clave aquí es entre velocidad y seguridad. "Entregar primero" prioriza la velocidad de entrega pero introduce una ventana de riesgo. "Escanear primero" elimina ese riesgo pero puede retrasar o diferir mensajes con archivos adjuntos.
En la sección Informes, Barracuda crea informes detallados sobre seguridad de correo electrónico:
- Resumen de tráfico de entrada/salida: Descripción general de toda la actividad de correo electrónico de entrada y salida, desglosada por diferido, bloqueado, puesto en cuarentena y permitido.
- Desglose de correos electrónicos de entrada bloqueados: Desglose detallado de por qué se bloquearon los correos electrónicos de entrada.
- Principales remitentes/destinatarios de correo electrónico de entrada: Muestra los remitentes/destinatarios más frecuentes de correo electrónico de entrada.
- Desglose de principales remitentes de entrada bloqueados: Lista los remitentes cuyos correos electrónicos son bloqueados con más frecuencia, con razonamiento.
- Desglose de principales destinatarios de entrada bloqueados: Muestra los destinatarios internos que son objetivo con más frecuencia por correos electrónicos bloqueados.
- Principales remitentes de correo electrónico de salida: Descripción general de los usuarios internos que envían el mayor volumen de correo electrónico de salida.
- Principales remitentes de salida bloqueados: Muestra los usuarios internos cuyos correos electrónicos de salida son bloqueados con más frecuencia.
Adicionalmente, podemos programar informes automatizados, lo cual es una característica útil. En lugar de iniciar sesión repetidamente para verificar paneles de control, podemos recibir resúmenes regulares de amenazas, mensajes en cuarentena, tendencias de spam, detecciones de malware, intentos de suplantación de identidad, acciones de política y riesgo de usuario. Los informes programados también pueden ayudar a los usuarios a identificar patrones temprano, como un aumento en correos electrónicos de phishing, ataques repetidos contra usuarios específicos o un aumento en archivos adjuntos maliciosos bloqueados.
El menú Syslog a la izquierda nos permite reenviar todos estos registros a un servidor de registros de nuestra elección. Esta es una característica útil para integraciones SIEM.
En general, el producto ofrece una amplia gama de características, pero tiene un rendimiento deficiente en la detección de amenazas. Una parte significativa de la configuración queda a cargo del usuario, lo que plantea la pregunta de si el valor agregado justifica la sobrecarga, particularmente para organizaciones que ya utilizan Google Workspace o Microsoft 365 Compliance Center.
Características clave de soluciones de seguridad de correo electrónico en la nube
Las soluciones de seguridad de correo electrónico en la nube analizan el comportamiento del usuario, detectan anomalías contextuales, automatizan la respuesta y remediación de amenazas, e integran con el ecosistema de seguridad más amplio. Las características clave incluyen:
Detección de amenazas impulsada por IA
Los sistemas de seguridad de correo electrónico en la nube analizan el contexto del mensaje, el historial del remitente y la intención para marcar ataques de phishing e intentos de suplantación de identidad que parecen legítimos en la superficie. Esto incluye identificar señales sutiles como dominios similares o patrones de tiempo inusuales.
Las señales de comportamiento son tan importantes como el contenido. Al rastrear hábitos de comunicación normales, estos sistemas pueden detectar anomalías, como un empleado de finanzas que de repente recibe solicitudes de pago urgentes de un nuevo remitente externo. Este enfoque es especialmente importante para detectar compromiso de correo electrónico empresarial (BEC), donde no hay malware para escanear y no hay banderas rojas obvias.
Arquitectura de protección multicapa
Las plataformas de seguridad de correo electrónico en la nube combinan múltiples capas de inspección para atrapar amenazas que se deslizan más allá de un control.
- El análisis estático verifica indicadores conocidos, mientras que el sandboxing dinámico observa cómo se comportan los archivos adjuntos en un entorno controlado.
- La inspección de URL también juega un papel clave, especialmente para identificar enlaces maliciosos que solo se activan después de la entrega.
- Los protocolos de autenticación como SPF, DKIM y DMARC ayudan a validar la identidad del remitente, reduciendo el riesgo de suplantación de identidad.
Juntos, estas capas crean un sistema donde cada componente compensa las limitaciones de los demás.
Protección contra amenazas emergentes
Los atacantes dependen cada vez más del engaño en lugar de exploits técnicos. Las tácticas de ingeniería social están diseñadas para presionar a los usuarios para que tomen decisiones rápidas, a menudo imitando a ejecutivos o proveedores de confianza.
Esto incluye campañas dirigidas como spear phishing, en las que los mensajes se adaptan a un individuo o rol específico. Escenarios más avanzados involucran mensajes de voz deepfake o intentos de fraude de facturas.
Estas amenazas avanzadas no dependen de archivos maliciosos. En su lugar, explotan la confianza, haciendo que la detección dependa del contexto y la intención en lugar de firmas.
Detección en tiempo real y respuesta automatizada
Una vez que un mensaje malicioso llega a una bandeja de entrada, la ventana para el daño es limitada. Los sistemas de seguridad analizan los correos electrónicos a medida que llegan y actúan inmediatamente cuando se confirma una amenaza.
La automatización reduce la carga en los equipos de seguridad al eliminar mensajes dañinos en todas las bandejas de entrada afectadas, incluso después de la entrega. Esto limita la propagación de ataques que dependen del reenvío interno o cadenas de respuesta.
Los flujos de trabajo de respuesta también pueden desencadenar acciones más amplias, como aislar cuentas o actualizar reglas de detección basadas en nueva inteligencia.
Monitoreo continuo y protección post-entrega
El filtrado inicial no atrapa todo. Las técnicas de ataque evolucionan, y algunas amenazas solo se reconocen después de que surgen nuevos indicadores.
- El monitoreo continuo permite a los sistemas revisar mensajes entregados y eliminar amenazas recién identificadas. Esto es crítico para ataques que usan cargas útiles diferidas o entrega escalonada.
- La remediación post-entrega asegura que los correos electrónicos previamente perdidos no permanezcan en las bandejas de entrada una vez que se clasifican como maliciosos.
Continuidad y resiliencia del correo electrónico
La seguridad no se trata solo de bloquear amenazas. La disponibilidad importa tanto. Si el acceso al correo electrónico se interrumpe, las operaciones comerciales pueden detenerse.
Las características de continuidad basadas en la nube proporcionan acceso de respaldo durante interrupciones y apoyan la recuperación rápida de mensajes y cuentas. Esto asegura que el correo electrónico comercial permanezca disponible incluso durante interrupciones del servicio o ataques.
Capacidades diferenciadoras de plataformas de seguridad de correo electrónico en la nube
Seguridad centrada en el usuario (capa humana)
Muchos incidentes comienzan con una acción del usuario. Es por eso que las plataformas modernas de seguridad de correo electrónico incluyen herramientas que guían el comportamiento en lugar de depender solo del filtrado.
- Los banners de advertencia contextuales pueden alertar a los usuarios cuando un mensaje parece sospechoso.
- La capacitación también se está volviendo más adaptativa. En lugar de simulaciones genéricas, los usuarios reciben orientación adaptada a sus patrones de interacción.
Integración de plataforma y seguridad unificada
El correo electrónico no existe de forma aislada. Es parte de un entorno más amplio que incluye puntos finales, identidades y aplicaciones. La integración con sistemas de puntos finales e identidades permite respuestas coordinadas. Por ejemplo, si un correo electrónico conduce al robo de credenciales, el sistema puede desencadenar acciones más allá de la bandeja de entrada.
Los paneles de control centralizados dan a los equipos una visión más clara de su postura de seguridad general, reduciendo la mala comunicación entre herramientas.
Protección de datos, cifrado y cumplimiento
El correo electrónico a menudo lleva contratos, detalles financieros y otros datos sensibles. Proteger esta información requiere más que detección de amenazas.
- El cifrado asegura que los mensajes permanezcan privados en tránsito y en reposo. Las políticas de prevención de pérdida de datos ayudan a prevenir el intercambio no autorizado, ya sea accidental o intencional.
- Las características de cumplimiento apoyan los requisitos regulatorios, incluidos registros de auditoría y políticas de retención. Esto es especialmente relevante para organizaciones que operan a través de fronteras y manejan datos sujetos a reglas legales o específicas de la industria estrictas.
Metodología de referencia de seguridad de correo electrónico en la nube
Referenciamos tres productos de seguridad de correo electrónico: Acronis Advanced Email Security (impulsado por Perception Point), Sophos Email Security y Barracuda Email Protection.
La referencia incluyó 100 pruebas de extremo a extremo y siguió cuatro principios.
- Impulsado por cobertura: Cada prueba se mapea a una capacidad que el proveedor afirma públicamente proporcionar.
- Ponderado por dificultad: Perder una prueba simple de 1/10 señala una brecha grave del producto. Perder una prueba de 9/10 es más comprensible porque esos casos reflejan problemas de detección de nivel experto. El método de puntuación separa estos casos en lugar de tratar todos los fallos por igual.
- Reproducible: La referencia se ejecuta con un arnés de prueba PHP autocontenido y verificado por un conjunto de verificación separado. Antes de que se envíe cualquier correo electrónico de prueba, el verificador realiza más de 1,800 verificaciones para confirmar que las cargas útiles de prueba están completas, válidas y configuradas correctamente.
- Ético: Las pruebas de malware usan la cadena de prueba de antivirus EICAR. Las URLs de phishing apuntan a infraestructura de baliza inerte o inexistente. Todos los buzones de prueba son propiedad del equipo de prueba.
Seleccionamos pruebas para que las afirmaciones públicas de cada proveedor se ejercitaran al menos una vez. La prioridad fue probar amenazas que los tres proveedores afirman detectar, lo que mantiene la comparación cara a cara justa. También incluimos un número menor de casos específicos del proveedor donde fueron relevantes. Por ejemplo, el secuestro de conversaciones es una afirmación central de Barracuda, la detección de phishing de código QR es reclamada explícitamente por Acronis Advanced Email Security, y los señuelos de GenAI estilo deepfake son más a menudo promovidos por proveedores de IA primero.
La referencia se organiza en once categorías. Cada categoría prueba un mecanismo de detección diferente. Los conteos de prueba se muestran entre paréntesis, con 100 pruebas en total.
Categoría A: Spam (9 pruebas)
Esta categoría cubre anuncios farmacéuticos masivos, correos electrónicos de bombeo y vertido de criptomonedas, estafas de lotería, préstamos de día de pago, abridores de plataformas de citas y acercamiento en frío B2B SEO.
La mayoría de las pruebas en esta categoría son intencionalmente fáciles. Dos pruebas, marketing de correo gris y acercamiento en frío B2B, están más cerca del límite de falso positivo porque el filtrado agresivo puede bloquear correos electrónicos comerciales legítimos.
Categoría B: Malware conocido usando la cadena de prueba EICAR (9 pruebas)
Esta categoría prueba la entrega de EICAR a través de formatos de archivo adjunto comunes y anidados:
- Archivo adjunto .txt simple,
- ZIP regular,
- ZIP protegido con contraseña con la contraseña incluida en el cuerpo del correo electrónico,
- ZIP anidado dentro de otro ZIP,
- EICAR con una extensión .exe para probar el manejo de discrepancias de extensión y contenido,
- .tar.gz, archivo recursivo de tres niveles,
- Archivo .gz de un solo archivo sin un envoltorio tar,
- EICAR con cuatro kilobytes de basura prepended para probar la tolerancia de desplazamiento.
Estas pruebas ejercitan la descompresión de archivos, el soporte de formato y la extracción de contraseñas del cuerpo del correo electrónico. Estas son capacidades básicas para puertas de enlace de correo electrónico modernas.
Categoría C: Tipos de archivos portadores (10 pruebas)
Esta categoría prueba formatos de archivo comúnmente usados para llevar o desencadenar comportamiento malicioso. El conjunto incluye:
- PDF con JavaScript incrustado y un disparador OpenAction,
- HTML smuggling usando URL.createObjectURL en un blob codificado en Base64,
- SVG con un script onload y XHR remoto,
- Acceso directo .lnk de Windows con una carga útil de PowerShell en el bloque de argumento,
- Archivo políglota PDF/ZIP,
- Aplicación HTML .hta con VBScript,
- Agotador de JavaScript de Windows Script Host usando XMLHTTP y ADODB.Stream,
- Imagen ISO 9660 que contiene EICAR,
- Archivo de acceso directo de Internet .url,
- Archivo de consulta de Internet de Excel .iqy.
Esta es una de las categorías más discriminatorias porque los resultados del producto varían ampliamente entre estos tipos de portadores.
Categoría D: Phishing de URL (10 pruebas)
Esta categoría mide el análisis de URL a través de enlaces directos, redirecciones, ofuscación y ubicaciones fuera del cuerpo. Incluye:
- URL de phishing directa en un TLD sospechoso,
- Destino acortado por Bitly,
- Cadena de redirección de múltiples saltos a través del redireccionador abierto de Google y t.co,
- Homógrafo IDN Punycode usando "а" cirílico en раypal.com,
- URL oculta en HTML usando caracteres de ancho cero y texto blanco de un píxel,
- URL presente solo dentro de una anotación PDF,
- URI que lleva HTML codificado en Base64 con un enlace de phishing,
- URL extremadamente larga con el host real enterrado en la cadena de consulta,
- Parámetro de redirección abierta en un host que parece legítimo,
- URL de caché Google AMP que oculta el destino de phishing detrás de google.com/amp/s/.
Categoría E: Phishing de código QR (8 pruebas)
Esta categoría prueba si los productos pueden extraer e inspeccionar URLs de phishing ocultas dentro de códigos QR. El conjunto incluye:
- Códigos QR PNG en línea para re-inscripción de MFA,
- Firma de DocuSign,
- Acceso a recibo de nómina,
- Noticia de reentrega de envío
- Acceso de buzón de voz
- Restablecimiento de 2FA bancario.
También incluye variantes de evasión: un código QR incrustado dentro de un PDF sin contenido QR en el cuerpo del correo electrónico, un código QR entregado como una imagen envuelta en SVG, y un código QR establecido como un URI de datos de imagen de fondo CSS en lugar de una etiqueta <img>.
Estos casos prueban si el escáner examina imágenes fuera de los contenedores HTML más obvios.
Categoría F: Suplantación de identidad de marca y dominio (9 pruebas)
Esta categoría prueba suplantación de remitente, dominio, marca y encabezado e incluye:
- Suplantación de nombre de visualización desde una cuenta genérica de Gmail,
- Dominio typosquat usando m1crosoft-account.com,
- Homógrafo IDN punycode para Apple
- Abuso de subdominio a través de microsoft.support-team-portal.tk
- Imitación del kit de marca de Microsoft usando el logotipo real y el estilo Segoe UI
- Discrepancia entre remitente y encabezado From
- Suplantación de identidad de banco local
- Una empresa de comercio electrónico typosquatting
- Inyección de encabezado de resultados de autenticación donde el atacante agrega valores forjados spf=pass, dkim=pass y dmarc=pass al mensaje.
El último caso prueba si los analizadores aguas abajo confían en los encabezados de autenticación proporcionados por el atacante en lugar de validar los resultados aguas arriba reales.
Categoría G: BEC y spear phishing sin cargas útiles (9 pruebas)
Esta categoría se centra en ingeniería social sin archivos adjuntos maliciosos o enlaces e incluye:
- Solicitud de transferencia bancaria de CEO enviada desde una cuenta de Gmail,
- Pretexto de cambio bancario de compromiso de correo electrónico de proveedor,
- Redirección de salario de autoservicio de empleado,
- Estafa de tarjeta de regalo en línea de un suplantador de CFO
- Secuestro de conversación usando un asunto Re:Re: y encabezados Forged In-Reply-To,
- Solicitud de evidencia confidencial de un bufete de abogados falso,
- Acercamiento de cazador de cabezas externo con un currículum adjunto,
- Pretexto de toma de control de autenticación de dos factores de WhatsApp,
- Pretexto interno de M&A que combina lenguaje de confidencialidad con urgencia.
Categoría H: Extorsión y estafas (9 pruebas)
Esta categoría cubre patrones comunes de estafa y extorsión. Las pruebas incluyen:
- Correo electrónico usando una contraseña filtrada antigua,
- Factura falsa con un enlace de pago malicioso en un PDF,
- Carta de tarifa anticipada,
- Amenaza de confiscación de la autoridad tributaria,
- Extorsión DDoS contra un sitio web,
- Noticia de bloqueo de iCloud de Apple falsa con un enlace de desbloqueo,
- Estafa de tarifa de aduanas de mensajería
- Extorsión de doxing,
- Estafa de pariente atascado en aduanas.
Categoría I: Phishing de calidad GenAI (10 pruebas)
Esta categoría prueba correos electrónicos de phishing pulidos que eliminan las pistas obvias en las que a menudo confían los sistemas más antiguos. El conjunto incluye:
- Correo electrónico de re-verificación de helpdesk de IT con pasos estructurados y un botón de marca,
- Pre-lectura de junta falsa con lenguaje de confidencialidad y un enlace de espacio de trabajo,
- Actualización de política de inquilino de Microsoft 365 que requiere nuevo consentimiento dentro de siete días,
- Solicitud de firma electrónica de Código de Conducta de RRHH,
- Seguimiento de éxito del cliente después de una reunión ficticia,
- Suplantación de resumen de reunión,
- NDA legal de una contraparte ficticia,
- Asesorio de CVE crítico estilo CISO,
- Vista previa de ganancias de relaciones con inversores con lenguaje de embargo,
- Resolvedor de conflicto de calendario que requiere inicio de sesión SSO de un solo uso.
Cada correo electrónico en esta categoría fue escrito para leer como un mensaje comercial competente en inglés nativo. Las pruebas evitan deliberadamente las pistas de phishing más antiguas como gramática rota, frases torpes y discrepancias de marca obvias.
Categoría J: Técnicas de evasión (9 pruebas)
Esta categoría prueba ofuscación que puede romper la inspección de contenido superficial e incluye:
- Caracteres Unicode de ancho cero dentro de palabras activadoras,
- Elusión OCR donde todo el mensaje de phishing se representa como un PNG sin texto de cuerpo escaneable,
- Carácter de anulación de derecha a izquierda en un nombre de archivo adjunto,
- Nombre de archivo de doble extensión,
- Señuelo oculto en CSS donde el texto renderizado parece benigno mientras que el DOM contiene el contenido de phishing,
- Asunto codificado en palabra RFC 2047,
- URL con caracteres codificados en hex en el host,
- Asunto homógrafo usando "е" cirílico para "e" latino,
- URL oculta en un atributo HTML data-* y recuperada en el momento del clic por JavaScript en línea.
Categoría K: Conjunto de control y prueba de falsos positivos (8 pruebas)
El conjunto de control contiene correos electrónicos comerciales legítimos que deben pasar sin advertencia e incluyen:
- Notificaciones de equipo interno,
- Informes de gastos mensuales,
- Seguimientos de reuniones,
- Resúmenes semanales,
- Archivos ZIP protegidos con contraseña usados para compartir interno legítimo,
- Recordatorios de capacitación,
- Noticias de mantenimiento de IT,
- Correos electrónicos de programación uno a uno.
Cualquier producto que marque uno de estos mensajes recibe una penalización de falso positivo.
Arquitectura de dos remitentes
Muchas pruebas de seguridad de correo electrónico pasan por alto una distinción importante entre ataques impulsados por contenido e impulsados por identidad de remitente. Algunas amenazas son peligrosas debido a sus cuerpos de mensaje o archivos adjuntos, independientemente de quién los envíe. Otras son peligrosas porque el correo electrónico afirma provenir de alguien a quien no representa. Estas dos clases requieren configuraciones de envío diferentes.
Dividimos la referencia en dos grupos de remitentes.
- Grupo L, Legit, 38 pruebas: Estos correos electrónicos se envían desde un servicio SMTP autenticado. SPF, DKIM y DMARC se alinean correctamente para el dominio de envío. El nombre de visualización cambia por prueba, como Finanzas, Helpdesk de IT o el nombre real del probador, pero la dirección From permanece la dirección del remitente autenticado.
- El Grupo L se usa para categorías impulsadas por contenido: K, B, C, J y las dos pruebas de phishing de URL, donde la URL es la amenaza independientemente del remitente.
- Grupo S, Spoof, 62 pruebas: Estos correos electrónicos se envían a través de un retransmisor SMTP permisivo que no hace cumplir la alineación de dominio From. La dirección From es lo que especifique el caso de prueba, por lo que la alineación de SPF y DMARC falla por diseño.
- El Grupo S se usa para categorías impulsadas por identidad de remitente: A, la mayoría de D, E, F, G, H e I.
Esta división refleja el comportamiento real del atacante. Los operadores de phishing a menudo usan servidores virtuales baratos y dominios desechables porque los servicios de SMTP en la nube principales, como Gmail, Office 365 y AWS SES, con dominios verificados, impiden que se envíe correo con un encabezado From desalineado.
Figura 1: Figura que muestra cómo funciona un servidor de retransmisión SMTP. Un servidor de retransmisión SMTP es un servidor de correo electrónico de terceros que recibe correos electrónicos de un remitente y los reenvía a servidores de destinatarios fuera del dominio del proveedor de correo electrónico propio del remitente.
Ponderación de dificultad
Cada prueba tiene una calificación de dificultad de 1 a 10. La calificación indica qué tan difícil debería encontrar una prueba un producto competente de seguridad de correo electrónico.
- 1 a 2, trivial: Estas son firmas de libro de texto sin ofuscación significativa. Perderlas indica una brecha fundamental de detección. Los ejemplos son spam farmacéutico, EICAR simple en un ZIP y una carta nigeriana 419.
- 3 a 4, bien conocido: Estos son patrones familiares que los productos modernos deberían atrapar. Los ejemplos incluyen JavaScript PDF, sextortion de contraseña filtrada y suplantación de nombre de visualización de CEO.
- 5 a 6, intermedio: Estos casos requieren un análisis más fuerte, como IA moderna, sandboxing o visión por computadora, incluido HTML smuggling, URLs de homógrafo IDN y phishing de código QR en línea.
- 7 a 8, avanzado: Estos son casos límite que solo los productos más fuertes manejan consistentemente, como políglotas PDF/ZIP, cadenas de redirección de múltiples saltos, suplantación de identidad visual de kit de marca y elusión de OCR solo de imagen.
- 9 a 10, experto: Estos son casos genuinamente difíciles donde atrapar es un resultado fuerte y perder es común en la industria. Los ejemplos incluyen secuestro de conversación de hilo forjado, un seguimiento de éxito del cliente de calidad GenAI y un NDA legal falso de una contraparte previamente desconocida.
- Pruebas de control: Los mensajes de la categoría K deben pasar. Cualquier detección en esta categoría cuenta como un falso positivo.
Los promedios de categoría siguen la curva de dificultad prevista: A spam promedia 2.2/10, B EICAR promedia 2.8/10, H extorsión promedia 3.8/10, C archivos portadores promedia 5.0/10, F suplantación de identidad de marca y J evasión promedian 5.6/10, D phishing de URL promedia 5.8/10, E phishing de código QR promedia 6.8/10, G BEC promedia 6.8/10 e I phishing de GenAI promedia 8.2/10.
Puntuación de referencia
Cada producto recibe uno de cinco veredictos por prueba:
- BLOQUEAR: El mensaje se pone en cuarentena o se rechaza (2 puntos).
- ADVERTIR: El producto inyecta un banner, envía el correo electrónico a la papelera o elimina el archivo adjunto (0.5 puntos).
- TARDÍO: El mensaje se entrega primero, luego se elimina post-entrega (1 punto).
- FALLO: El mensaje llega a la bandeja de entrada sin advertencia (0 puntos).
- FP: Un mensaje del conjunto de control se marca incorrectamente (-2 puntos de penalización).
La tasa de detección se calcula como puntos totales divididos por la puntuación máxima posible para pruebas de ataque, luego se expresa como un porcentaje. La puntuación máxima posible es igual al número de pruebas de ataque multiplicado por dos.
La tasa de falsos positivos se informa por separado. Un producto que alcanza el 90% de detección bloqueando correo electrónico legítimo representa más riesgo operativo que uno que alcanza el 80% de detección sin falsos positivos.
Reproducibilidad y herramientas
La referencia se ejecuta desde un único script PHP autocontenido. El script construye 100 mensajes MIME en memoria con un constructor multipart personalizado. Genera las cargas útiles localmente, incluidos ZIPs, ZIPs cifrados con AES-256, archivos tar.gz, archivos .gz de un solo archivo, PDFs con acciones JavaScript, muestras de HTML smuggling, archivos SVG con JavaScript onload, archivos .lnk de Windows con el CLSID de Enlace de Shell correcto y bloque de argumento UTF-16LE, y una imagen de disco ISO 9660 mínima.
El script envía cada prueba a través de la ruta SMTP correcta basada en su grupo de remitente.
Cada mensaje incluye encabezados de rastro: X-Bench-Id, X-Bench-Run, X-Bench-Product, X-Bench-Category, X-Bench-Case y X-Bench-Group. Estos encabezados hacen que cada prueba sea rastreable en bandejas de entrada, consolas de cuarentena y registros de productos.
Un arnés de verificación separado ejecuta más de 1,800 verificaciones de sanidad antes de la transmisión. Valida que cada prueba tenga los campos requeridos, que cada calificación de dificultad esté dentro de [1, 10] o cero para controles, y que EICAR esté presente y recuperable de cada archivo adjunto de categoría B, incluidos archivos protegidos con contraseña y archivos anidados tres veces.
El verificador también verifica que los PDFs contengan encabezados %PDF- válidos y marcadores %%EOF, que los PNGs contengan firmas válidas y fragmentos IEND, que los SVGs se analicen como XML bien formado, que el archivo LNK tenga el CLSID de Enlace de Shell correcto y la cadena de argumento de PowerShell esperada, que el Descriptor de Volumen Primario de ISO 9660 aparezca en el sector 16 con la firma \x01CD001 correcta, y que la inferencia de grupo coincida con la división documentada del Grupo L y el Grupo S.
Un tercer script procesa los CSVs por producto después de la entrada manual de veredictos. Produce un informe comparativo con una tabla de veredictos lado a lado por prueba, tasas de detección por categoría, puntuaciones totales, porcentajes de tasa de detección, conteos de falsos positivos y tres subtablas forenses:
- casos triviales-pero-perdidos, definidos como dificultad ≤ 2 con al menos un FALLO
- casos de alta dificultad-pero-atrapados, definidos como dificultad ≥ 8 con al menos un BLOQUEO
- todos los incidentes de falso positivo
Éticas y restricciones operativas
No se creó ni transmitió malware real. Los archivos adjuntos maliciosos usan la cadena de prueba de antivirus EICAR, un documento de prueba de 68 caracteres definido por el Instituto Europeo de Investigación de Antivirus para Computadoras, o demostradores benignos. Los ejemplos incluyen un PDF cuyo JavaScript solo llama a app.alert, una página HTML que usa URL.createObjectURL en la cadena EICAR y un SVG cuyo onload llama a un punto final inexistente.
No se usó infraestructura de phishing en vivo. Las URLs de prueba se resuelven a uno de tres destinos seguros: el TLD reservado .invalid definido en RFC 2606, dominios .tk de marcador de posición bajo nuestro control que sirven un 404, o hosts parodia como m1crosoft-account.com y xn--pple-43d.com registrados solo para la referencia y que no sirven contenido.
No se implementó página de recolección de credenciales. Todos los buzones de prueba son propiedad y monitoreados por el equipo de prueba. Las credenciales de SMTP están limitadas a la referencia y se rotan después de cada compromiso.
Limitaciones de referencia de seguridad de correo electrónico
Excluimos varias categorías porque requieren infraestructura o condiciones más allá de una referencia de un solo disparo:
- Volteo de URL en el momento del clic: Este ataque entrega una URL que parece benigna en el momento de la entrega y luego redirige a un destino de phishing. Probarlo requeriría un servidor HTTP con estado que muta su contenido, más una acción de clic del lado del usuario.
- Toma de cuentas y phishing lateral: Esto requeriría el control de un buzón interno, lo cual estaba fuera de la configuración de la referencia.
- Malware dinámico consciente de sandbox: Se excluyeron muestras polimórficas reales que detectan virtualización y evitan la detonación por razones éticas.
- Páginas de destino de kit de phishing en vivo: Todas las URLs se resuelven a hosts inertes. La referencia no prueba la experiencia post-clic.
El remitente Grupo S requiere un retransmisor SMTP que permita encabezados From desalineados. Los servicios de SMTP en la nube generalmente rechazan estas pruebas a nivel de red. Cuando un retransmisor permisivo no está disponible, la referencia se degrada a Grupo L solo, lo que deja 38 pruebas impulsadas por contenido.
Preguntas frecuentes
Las tecnologías de seguridad de correo electrónico en la nube protegen los sistemas de correo electrónico y las comunicaciones de amenazas cibernéticas como phishing, malware, spam y violaciones de datos. En lugar de depender de infraestructura local, estas soluciones operan en la nube para monitorear y filtrar el tráfico de correo electrónico, detectar contenido o comportamiento sospechoso y hacer cumplir políticas de seguridad.
Aprovechando técnicas como inteligencia de amenazas, aprendizaje automático, filtrado de spam y análisis automatizado, la seguridad de correo electrónico en la nube ayuda a las organizaciones a proteger información sensible y mantener comunicaciones seguras en plataformas como Microsoft 365, Google Workspace y Gmail.
Cualquier organización que dependa del correo electrónico está expuesta al riesgo, pero cómo se manifiesta ese riesgo depende mucho del tamaño y la industria.
Las empresas más pequeñas tienden a ser objetivos más fáciles. A menudo carecen de equipos de seguridad dedicados, lo que las hace más vulnerables a ataques comunes. Las grandes empresas, por otro lado, enfrentan amenazas más sofisticadas como spear phishing y compromiso de correo electrónico empresarial (BEC), en las que un solo correo electrónico bien elaborado puede llevar a una pérdida financiera grave.
Algunas industrias están bajo aún más presión. Sectores como la atención médica, las finanzas, el gobierno y los servicios legales manejan datos sensibles y operan bajo regulaciones estrictas, lo que los hace especialmente atractivos para los atacantes.
Muchas organizaciones también necesitan seguridad de correo electrónico en la nube porque los controles nativos de la plataforma pueden no ser suficientes por sí solos. Las empresas de seguridad de correo electrónico como Abnormal Security, Sublime Security, Check Point y otros proveedores de seguridad de correo electrónico proporcionan protección adicional, complementos y capacidades basadas en API para ayudar a las organizaciones a mantenerse por delante de los ataques en evolución.
Cita esta investigación
Elige el formato que se ajuste al lugar donde vas a publicar. Pegar la versión con enlace en tu CMS conserva el enlace de retroceso.
@misc{dogan2026,
author = {Dogan, Sedat},
title = {{Soluciones de seguridad de correo electrónico: Acronis, Sophos & Barracuda}},
year = {2026},
month = jun,
howpublished = {\url{https://aimultiple.com/email-security-solutions}},
note = {AIMultiple. Recuperado el 22 de Junio de 2026}
}



























































Sé el primero en comentar
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios. Los comentarios se dejan en su idioma original.