Estudio de suplantación empresarial en España 2026: El 61% de las PYMES españolas son vulnerables a la suplantación de identidad.

Hemos analizado más de 10.000 dominios corporativos en España con el objetivo de medir la situación actual respecto a la suplantación de identidad corporativa.

La conclusión es, alarmante.

La mayoría de empresas tienen la puerta abierta de par en par a los ciberdelincuentes. Esta suplantación permite a cualquiera enviar correos electrónicos usando la dirección de la empresa sin permiso.

Este es un problema olvidado que ocurre en el mundo digital hoy en día.

Desde HackBlock, hemos realizado un estudio exhaustivo sobre la seguridad del correo electrónico (protocolos SPF, DMARC y DKIM) en el tejido empresarial español. Los resultados demuestran que, aunque la transformación digital avanza, la seguridad básica sigue siendo la asignatura pendiente.

Los Datos: Una radiografía de la concienciación en España

Se han sometido a análisis técnico 10.167 webs corporativas españolas. La muestra incluye desde micropymes hasta multinacionales. Hemos clasificado su nivel de protección contra el email spoofing (suplantación de identidad) en tres niveles:

61,36% (6.238 empresas)

ALTO RIESGO | Es posible suplantar: Estas empresas no tienen configurados registros DMARC o políticas estrictas. Consecuencia: Un ciberdelincuente puede enviar correos usando su dominio exacto (@suempresa.com) sin que los filtros antispam lo detecten. Es el escenario ideal para el fraude del CEO o BEC.

15,77% (1.603 empresas)

RIESGO MEDIO-ALTO | Quizá es posible suplantar: Tienen configuraciones parciales o permisivas (como p=none o errores de sintaxis). Aunque hay un intento de protección, no es suficiente para detener un ataque dirigido sofisticado. En muchas ocasiones esto significa que hay puerta abierta y depende del servicio de correo del receptor para recibir o no el correo como legítimo.

22,88% (2.326 empresas)

PROTEGIDOS | No es posible suplantar: Solo 2 de cada 10 empresas han "blindado" su identidad digital. Sus dominios rechazan activamente cualquier correo que no salga de sus servidores autorizados.

El dato clave es que si sumamos el riesgo alto y medio, el 77% de las empresas analizadas son vulnerables a que su marca sea utilizada para estafar a clientes, proveedores o a sus propios empleados.

¿Está tu empresa en el 61% de riesgo?

No esperes a sufrir un incidente para comprobar tus defensas. Hemos abierto una herramienta para que reconozcas en 30 segundos el nivel de seguridad de tu dominio, de manera gratuita y sin tener conocimientos técnicos.

Descarga el informe completo.

Ofrecemos la posibilidad de obtener el informe completo de manera gratuita en formato pdf, con nuestra metodología, repositorio de los dominios analizados, muestras y más.