El correo electrónico ha tenido siempre un problema de suplantación, ya que cualquiera puede escribir cualquier dirección en el campo 'De'. Tradicionalmente, un lector atento podía detectar señales sospechosas, como un dominio ligeramente alterado o una urgencia inverosímil. Sin embargo, la creciente adopción de inteligencia artificial está transformando la forma en que interactuamos con el email: los asistentes de IA leen, resumen y actúan sobre los mensajes en nombre del usuario, y los filtros automáticos deciden qué llega a la bandeja de entrada. En este contexto, la verificación del origen del mensaje se vuelve crítica, y ahí entran en juego tres estándares interconectados: SPF, DKIM y DMARC.
SPF verifica que el servidor que envía un mensaje está autorizado para hacerlo en nombre de un dominio. DKIM añade una firma criptográfica que garantiza que el mensaje no ha sido alterado en tránsito. DMARC unifica ambos y ordena al servidor receptor cómo actuar si fallan las comprobaciones: rechazar, poner en cuarentena o dejar pasar. Juntos permiten distinguir un mensaje legítimo de uno suplantado. Sin ellos, un correo fraudulento es indistinguible de uno auténtico, un problema que se agrava con la automatización.
Dos tipos de IA están integrándose en el email. El filtrado inteligente, ya existente, decide qué es spam o phishing; los resultados de autenticación son una entrada cada vez más importante en esas decisiones. La asistencia por IA, por otro lado, resume la bandeja de entrada, extrae acciones y hasta responde correos. Si un asistente automatizado recibe un mensaje suplantado convincente, sin autenticación podría actuar basándose en contenido falso. La autenticación es el salvavidas que detiene esos mensajes antes de que lleguen al buzón.
A principios de 2024, Google y Yahoo comenzaron a exigir a los remitentes masivos una configuración correcta de DMARC para garantizar la entrega fiable. Esto transformó la autenticación de una práctica recomendada a un requisito previo, siguiendo la trayectoria de HTTPS en la web. Nuevos estándares como BIMI permiten mostrar el logotipo del remitente verificado en las bandejas de entrada, una señal visual de confianza ante el phishing generado por IA. También se revisa el diseño de DKIM con lecciones del estándar experimental ARC para rastrear cambios en flujos complejos.
No obstante, la autenticación por sí sola no basta: confirma la identidad del dominio, no la intención. Un estafador con un dominio similar y DMARC configurado correctamente podría pasar los controles. Pero eleva significativamente el coste y la complejidad de la suplantación, lo cual es crucial a medida que el email se vuelve más automatizado. El futuro del correo electrónico será más rápido e inteligente, y la autenticación es la capa de confianza que lo sostiene.
Fastmail, autor del artículo, desarrolla estándares para el email del futuro, pero el texto no promociona su servicio de forma sesgada. En cambio, explica de manera objetiva cómo estas tecnologías están evolucionando para mantener la confianza en un medio que no desaparecerá: todo el mundo necesita email para bancos, médicos, restablecimientos de contraseñas y más.