¿Qué es el spam y por qué sigue siendo un problema en 2026?

El spam es correo electrónico o comunicación digital masiva no solicitada. A pesar de los avances en filtrado, el spam sigue representando el 45-50 % del tráfico de email global porque es extremadamente barato de enviar y sirve como vector para phishing, malware y fraudes.

¿Es ilegal enviar spam en España?

Sí. El artículo 21 de la LSSI (Ley 34/2002) prohíbe el envío de comunicaciones comerciales no solicitadas por email u otros medios electrónicos sin consentimiento previo del destinatario, con sanciones de hasta 150 000 euros por infracción grave.

¿Cómo puede un perito rastrear el origen de un email de spam?

Mediante el análisis de cabeceras de email (campos Received, X-Originating-IP, Return-Path), verificación de registros SPF/DKIM/DMARC, consultas WHOIS del dominio remitente, geolocalización de IPs, y análisis de la infraestructura de envío (open relays, botnets).

¿Qué son SPF, DKIM y DMARC?

Son tres protocolos de autenticación de email: SPF verifica que la IP remitente está autorizada por el dominio, DKIM firma criptográficamente el contenido del email, y DMARC establece la política de actuación cuando SPF o DKIM fallan. Su verificación es fundamental en el análisis forense de spam.

¿Dónde puedo denunciar spam en España?

Puedes denunciar ante la AEPD (Agencia Española de Protección de Datos), reportar al INCIBE (017 o formulario web), y también a la Oficina de Seguridad del Internauta (OSI). Si el spam es vehículo de fraude, también ante Policía Nacional o Guardia Civil.

¿Qué multas puede recibir una empresa por enviar spam en España?

La LSSI establece sanciones de 30 001 a 150 000 euros por infracción grave (envío masivo sin consentimiento). Si además hay tratamiento ilícito de datos personales, el RGPD permite multas de hasta 20 millones de euros o el 4 % de la facturación global.

¿El spam puede contener malware?

Sí. El spam es uno de los principales vectores de distribución de malware. Los emails de spam pueden incluir adjuntos maliciosos (documentos Office con macros, ejecutables disfrazados, archivos ZIP) o enlaces a sitios web que descargan malware automáticamente (drive-by download).

¿Qué es una botnet y cómo se relaciona con el spam?

Una botnet es una red de ordenadores infectados (zombies) controlados remotamente por un atacante. Las botnets se utilizan para enviar millones de emails de spam sin que el remitente real sea rastreable, distribuyendo la carga entre miles de IPs legítimas comprometidas.

¿Puedo reclamar judicialmente por el spam que recibo?

Sí. Si puedes identificar al remitente, puedes reclamar ante la AEPD (vía administrativa) o ante los tribunales civiles por daños y perjuicios. Un informe pericial que documente la campaña de spam, su origen y el incumplimiento de la LSSI es fundamental para la reclamación.

¿Cómo se diferencia el spam del phishing a nivel forense?

El spam comercial busca vender un producto o servicio, mientras que el phishing busca robar credenciales, datos o dinero mediante engaño. A nivel forense, el phishing suele mostrar suplantación de dominios legítimos, URLs falsificadas y técnicas de urgencia que el spam comercial no emplea.

Spam - Análisis forense de correo no deseado

¿Qué es el spam?

El spam es toda comunicación electrónica masiva no solicitada, enviada de forma indiscriminada a un gran número de destinatarios. Aunque el término se asocia principalmente con el correo electrónico no deseado, el spam abarca también SMS, mensajes en redes sociales, comentarios en blogs, llamadas automatizadas (robocalls), y cualquier otro canal de comunicación digital utilizado para enviar contenido no consentido.

Según datos de Statista y Cisco Talos Intelligence, en 2025 el spam representó aproximadamente el 45 % del tráfico global de correo electrónico, lo que equivale a unos 160 000 millones de emails de spam enviados diariamente. Aunque los filtros antispam modernos detienen más del 99 % de estos mensajes, el volumen restante sigue siendo suficiente para causar pérdidas económicas estimadas en 20 000 millones de dólares anuales a nivel mundial.

El spam no es solo una molestia

El spam es mucho más que correo basura. Es el principal vector de distribución de phishing (90 % de los ataques comienzan con un email no solicitado), malware, ransomware y fraudes. Cada email de spam que supera los filtros es una potencial puerta de entrada para un ciberataque devastador.

Historia del spam

Fecha	Hito	Impacto
3 mayo 1978	Gary Thuerk envía el primer spam conocido a 393 usuarios de ARPANET	Primer caso documentado de correo masivo no solicitado
1993	Se acuña el término «spam» en Usenet, por referencia al sketch de Monty Python	El término se universaliza
1994	Canter & Siegel publican anuncio masivo en todos los grupos de Usenet	Primer spam comercial a gran escala
1998-2003	Era dorada del spam: 80 % del tráfico de email era spam	Se desarrollan los primeros filtros bayesianos
2003	EE. UU. aprueba la CAN-SPAM Act	Primera legislación específica contra el spam
2002	España aprueba la LSSI (art. 21: spam ilegal)	Marco legal español contra comunicaciones comerciales no solicitadas
2004	Bill Gates predice que el spam estará eliminado en 2006	Predicción famosamente errónea
2008	McColo (ISP) desconectado: el spam global cae un 75 % temporalmente	Demostración de que pocas infraestructuras concentran el envío
2010	Rustock botnet envía 30 000-40 000 millones de spam/día	Botnet más productiva de la historia
2011	FBI desmantela Rustock: spam global cae un 40 %	Mayor operación contra infraestructura de spam
2018	RGPD entra en vigor: refuerza protección contra spam en UE	Consentimiento explícito obligatorio
2023-2026	IA generativa produce spam indistinguible del contenido legítimo	Nuevo desafío para los filtros y para el análisis forense

Tipos de spam

Clasificación por canal

Canal	Descripción	Volumen (2025)	Legislación aplicable
Email	Correo electrónico masivo no solicitado	~160 000 M/día global	LSSI art. 21, RGPD
SMS (smishing)	Mensajes de texto masivos	Creciente (+300 % desde 2020)	LSSI art. 21, LGT
Redes sociales	Publicaciones, mensajes privados, comentarios	Muy alto	LSSI, RGPD, condiciones plataforma
Comentarios web	Comentarios automatizados en blogs y foros	Alto	LSSI, RGPD
Llamadas (robocalls)	Llamadas automatizadas masivas	Alto	LGT, Lista Robinson
Mensajería instantánea	WhatsApp, Telegram, Signal	Creciente	LSSI art. 21, RGPD
Push notifications	Notificaciones de navegador abusivas	Creciente	LSSI, RGPD
SEO spam (spamdexing)	Manipulación de resultados de búsqueda	Muy alto	Directrices del buscador

Clasificación por objetivo

Tipo	Objetivo	Peligrosidad	Ejemplo
Spam comercial	Vender productos/servicios	Baja-Media	Publicidad de productos no solicitada
Spam de phishing	Robar credenciales	Alta	Email falso de banco pidiendo datos
Spam de malware	Distribuir software malicioso	Muy alta	Adjunto con ransomware
Spam de estafa	Fraude económico	Alta	Premios falsos, herencias ficticias
Spam de pump & dump	Manipulación bursátil	Alta	Promoción de penny stocks
Spam de criptomonedas	Fraude con criptoactivos	Alta	ICOs falsas, esquemas Ponzi
Spam de contenido adulto	Publicidad pornográfica	Baja-Media	Citas online fraudulentas
Spam político	Propaganda no solicitada	Baja	Campañas electorales masivas
Spam de reputación	Dañar la reputación de un competidor	Media	Reviews falsas, desinformación

El spam como modelo de negocio

El spam comercial funciona porque es extremadamente barato. Enviar un millón de emails cuesta entre 50 y 200 euros usando infraestructura comprometida. Con una tasa de conversión de tan solo el 0,001 % (1 compra por cada 100 000 emails), una campaña de un millón de emails puede generar 10 ventas. Si el margen por venta es de 50 euros, el spammer obtiene 500 euros de beneficio con una inversión mínima.

Infraestructura técnica del spam

Cómo se envía spam masivo

Comprender la infraestructura de envío es fundamental para el análisis forense, ya que permite rastrear el origen de las campañas.

Botnets

Las botnets son la infraestructura principal del spam moderno. Una botnet es una red de miles o millones de ordenadores infectados con malware (bots o zombies) que reciben instrucciones de un servidor de comando y control (C2).

Botnets históricas de spam:

Botnet	Período	Tamaño estimado	Spam/día	Estado
Rustock	2006-2011	1-2 millones bots	30-40 000 M	Desmantelada por FBI
Cutwail	2007-2014	1,5 millones bots	74 000 M	Parcialmente activa
Grum	2008-2012	560 000 bots	18 000 M	Desmantelada
Lethic	2008-2015	260 000 bots	2 000 M	Parcialmente activa
Necurs	2012-2020	9 millones bots	Variable (picos de 12 M/hora)	Desmantelada por Microsoft
Emotet	2014-2021 (resurgida)	1 millón+ bots	Variable	Parcialmente activa
Trickbot	2016-2022	250 000+ bots	Variable	Parcialmente activa

Open relays

Un open relay es un servidor de correo mal configurado que permite enviar email sin autenticación, siendo utilizado como plataforma de envío por los spammers.

Servidor SMTP legítimo (bien configurado):
  → Requiere autenticación (usuario + contraseña)
  → Solo envía email de dominios autorizados
  → Verifica SPF/DKIM

Open relay (mal configurado):
  → No requiere autenticación
  → Acepta email de cualquier remitente
  → Reenvía a cualquier destinatario
  → Los spammers lo explotan para envío masivo

Bulletproof hosting

Los proveedores de bulletproof hosting ofrecen servicios de alojamiento web y email que ignoran deliberadamente las quejas de abuso y las solicitudes de retirada de contenido. Suelen operar en jurisdicciones con legislación laxa:

País/Región	Proveedor conocido	Servicios
Rusia/Ucrania	Varios	Hosting, C2, envío de email
Moldavia	Varios	Hosting de phishing kits
Panamá	Varios	Registro de dominios anónimos
Seychelles	Varios	Hosting resistente a takedowns

Técnicas de evasión de filtros

Técnica	Descripción	Contramedida
Snowshoe spam	Distribuir envíos entre muchas IPs y dominios para evitar listas negras	Análisis de patrones agregados
Image spam	Contenido del mensaje en imagen, no en texto	OCR en filtros antispam
Homoglyph	Usar caracteres Unicode similares (а cirílica por a latina)	Normalización Unicode
URL shorteners	Ocultar URL real tras acortadores	Resolución y análisis de URLs
HTML obfuscation	Código HTML que se ve normal pero confunde al filtro	Renderizado y análisis de DOM
Hacked accounts	Enviar desde cuentas comprometidas con buena reputación	Análisis de comportamiento
Polymorphic spam	Cada email es ligeramente diferente	Machine learning, no reglas fijas
Fast-flux DNS	Cambiar IPs rápidamente para evitar bloqueo	Monitorización de cambios DNS
Domain generation algorithms (DGA)	Generar dominios aleatoriamente	Análisis estadístico de dominios

IA generativa y el futuro del spam

La irrupción de la IA generativa (GPT, Claude, Gemini) ha permitido crear spam que es gramaticalmente perfecto, contextualmente relevante y personalizado para cada destinatario. Los emails de spam generados por IA son significativamente más difíciles de detectar tanto por filtros automáticos como por usuarios humanos. Esta tendencia representa un desafío creciente para el análisis forense.

Análisis forense de spam

El análisis forense de spam consiste en examinar emails no deseados para identificar su origen, infraestructura de envío, y propósito, con el fin de aportar evidencia en procedimientos judiciales o investigaciones de seguridad.

Análisis de cabeceras de email

Las cabeceras (headers) de un email contienen metadatos técnicos que registran la ruta del mensaje desde el remitente hasta el destinatario. Son la fuente de información más valiosa para el análisis forense.

Cabeceras clave para el análisis forense:

Campo	Contenido	Valor forense
From	Remitente visible	Puede ser falsificado (spoofed)
Return-Path	Dirección real de rebote	Más fiable que From
Received	Cada servidor que procesó el email (lectura de abajo a arriba)	Ruta completa del mensaje
X-Originating-IP	IP del dispositivo que envió el email	Identificación del remitente
Message-ID	Identificador único del email	Trazabilidad y unicidad
Date	Fecha y hora de envío	Timeline del evento
X-Mailer / User-Agent	Software utilizado para enviar	Identificación de herramienta de spam
MIME-Version	Versión MIME del mensaje	Puede revelar software de envío
Authentication-Results	Resultados de SPF, DKIM, DMARC	Verificación de autenticidad
X-Spam-Status	Puntuación del filtro antispam	Nivel de sospecha del filtro

Ejemplo de cabeceras de un email de spam:

Return-Path: <bounce-12345@spam-sender.ru>
Received: from mail.isp-victima.es (mail.isp-victima.es [203.0.113.50])
    by mx.google.com with ESMTPS id abc123
    for <victima@gmail.com>;
    Mon, 30 Mar 2026 08:15:22 +0200 (CEST)
Received: from unknown (HELO smtp-out.spam-network.com) (91.234.56.78)
    by mail.isp-victima.es with SMTP;
    Mon, 30 Mar 2026 08:15:18 +0200
Received: from bot-infected-pc.home (192.168.1.100)
    by smtp-out.spam-network.com;
    Mon, 30 Mar 2026 06:15:14 +0000
From: "Banco Santander" <alertas@banco-santander.es>
Reply-To: reclamaciones@banco-verificar.com
To: victima@gmail.com
Subject: [URGENTE] Verificación de cuenta necesaria
Date: Mon, 30 Mar 2026 08:15:10 +0200
Message-ID: <abc123.spam-network.com>
X-Mailer: PHPMailer 5.2.6
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_000"
Authentication-Results: mx.google.com;
    spf=fail (google.com: domain of banco-santander.es does not designate
    91.234.56.78 as permitted sender);
    dkim=none;
    dmarc=fail (p=REJECT)

Proceso forense de análisis de spam

Preservación del email original: Guardar el email completo con todas las cabeceras en formato .eml o .msg. Calcular hash SHA-256 del fichero. No reenviar ni modificar el mensaje original.
Extracción de cabeceras: Acceder a las cabeceras completas del email. En Gmail: abrir email → tres puntos → «Mostrar original». En Outlook: Propiedades del mensaje → «Encabezados de Internet».
Análisis de la ruta (Received headers): Leer los campos Received de abajo hacia arriba para reconstruir la ruta del email. Cada salto añade un campo Received con la IP del servidor anterior.
Verificación SPF/DKIM/DMARC: Comprobar si el campo Authentication-Results muestra pass o fail para cada protocolo. Un SPF fail indica que la IP no está autorizada para enviar en nombre del dominio.
Geolocalización de IPs: Utilizar bases de datos de geolocalización (MaxMind, ipinfo.io) para ubicar geográficamente las IPs encontradas en las cabeceras.
Consulta WHOIS del dominio: Investigar el dominio del remitente y cualquier dominio encontrado en URLs del mensaje. Fecha de registro, propietario (si no hay privacidad), proveedor de hosting.
Análisis de URLs y adjuntos: Examinar todos los enlaces del email sin hacer clic (copiar y analizar en sandbox). Analizar adjuntos en entorno seguro (Any.run, VirusTotal).
Correlación con bases de datos: Verificar IPs, dominios y hashes de adjuntos en bases de datos de spam y amenazas: Spamhaus, SpamCop, VirusTotal, AbuseIPDB.
Análisis de la infraestructura: Identificar si el envío procede de una botnet (múltiples IPs residenciales), open relay (servidor mal configurado), o proveedor de bulletproof hosting.
Documentación pericial: Registrar todos los hallazgos con capturas de pantalla, timestamps, y hashes de cada evidencia procesada. Elaborar informe pericial si procede.

Verificación SPF, DKIM y DMARC

Estos tres protocolos son fundamentales para la autenticación de email y, por tanto, para el análisis forense de spam.

SPF (Sender Policy Framework)

SPF permite al propietario de un dominio especificar qué servidores de correo están autorizados para enviar email en su nombre.

Registro DNS TXT para ejemplo.es:
v=spf1 ip4:203.0.113.0/24 include:_spf.google.com -all

Significado:
- ip4:203.0.113.0/24 → Autoriza IPs de este rango
- include:_spf.google.com → Autoriza servidores de Google Workspace
- -all → Rechazar emails de cualquier otra IP (hard fail)

Resultado SPF	Significado	Implicación forense
pass	IP autorizada por el dominio	Email probablemente legítimo
softfail (~all)	IP no autorizada, pero no rechazar	Sospechoso, puede ser legítimo
fail (-all)	IP no autorizada, rechazar	Email fraudulento o mal configurado
neutral (?all)	El dominio no se pronuncia	Sin conclusión
none	No hay registro SPF	Dominio no protegido

DKIM (DomainKeys Identified Mail)

DKIM añade una firma criptográfica a cada email que permite verificar que el contenido no ha sido alterado en tránsito y que procede del dominio que dice.

Cabecera DKIM en el email:
DKIM-Signature: v=1; a=rsa-sha256; d=ejemplo.es; s=selector1;
    h=from:to:subject:date; bh=abc123...; b=xyz789...

Verificación:
1. Extraer la firma (b=)
2. Obtener clave pública de DNS: selector1._domainkey.ejemplo.es
3. Verificar la firma con la clave pública
4. Comprobar que el hash del cuerpo (bh=) coincide

Resultado DKIM	Significado	Implicación forense
pass	Firma válida, contenido íntegro	Email auténtico, no alterado
fail	Firma inválida o contenido alterado	Email modificado o falsificado
none	Sin firma DKIM	Dominio no implementa DKIM

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC unifica SPF y DKIM estableciendo una política que indica a los servidores receptores qué hacer cuando ambos fallan.

Registro DNS TXT: _dmarc.ejemplo.es
v=DMARC1; p=reject; rua=mailto:dmarc@ejemplo.es; pct=100

Significado:
- p=reject → Rechazar emails que fallen SPF Y DKIM
- rua → Dirección para informes de agregación
- pct=100 → Aplicar al 100% de los mensajes

Política DMARC	Acción	Protección
p=none	Solo monitorizar	Ninguna (solo informes)
p=quarantine	Enviar a spam	Media
p=reject	Rechazar el email	Máxima

SPF + DKIM + DMARC = defensa completa

La combinación de SPF, DKIM y DMARC correctamente configurados proporciona la mejor protección contra la suplantación de dominio en email. Cuando un perito analiza un email de spam y encuentra que los tres protocolos fallan, tiene evidencia técnica sólida de que el email no procede del dominio indicado en el campo From.

Herramientas para análisis forense de spam

Herramienta	Tipo	Uso	Licencia
MXToolbox	Online	Análisis de cabeceras, verificación SPF/DKIM/DMARC	Freemium
Google Admin Toolbox	Online	Parsing de cabeceras de email	Gratis
EmailHeaders.net	Online	Visualización de ruta de email	Gratis
Spamhaus	Base de datos	Listas negras de IPs y dominios de spam	Gratis/Comercial
SpamCop	Reporting	Reportar y rastrear fuentes de spam	Gratis
AbuseIPDB	Base de datos	Reputación de direcciones IP	Gratis
VirusTotal	Online	Análisis de URLs, adjuntos, IPs	Gratis/Comercial
URLScan.io	Online	Screenshot y análisis de URLs	Gratis
Talos Intelligence	Base de datos	Reputación de IPs y dominios (Cisco)	Gratis
PhishTank	Base de datos	Repositorio colaborativo de phishing	Gratis
dmarcian	SaaS	Análisis de informes DMARC	Freemium
Wireshark	Local	Análisis de tráfico de red SMTP	Open source
Mailnag	Local	Monitorización de correo	Open source

Marco legal del spam en España

LSSI-CE: Ley 34/2002 de Servicios de la Sociedad de la Información

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) es la norma principal que regula el spam en España.

Artículo 21: prohibición de comunicaciones comerciales no solicitadas

«Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.»

Excepciones (art. 21.2): Se permite el envío sin consentimiento previo cuando:

Excepción	Requisitos
Relación contractual previa	El remitente obtuvo los datos en el contexto de una compra o servicio
Productos o servicios similares	Lo ofrecido es similar a lo adquirido previamente
Posibilidad de oposición	Se ofreció clara y fácilmente la opción de darse de baja

Artículo 22: derechos del destinatario

Derecho	Contenido
Identificación	El email debe identificar claramente al remitente
Carácter publicitario	Debe indicarse expresamente que es publicidad
Oposición	Debe incluir mecanismo sencillo de baja (unsubscribe)
Revocación	El destinatario puede revocar el consentimiento en cualquier momento

Sanciones por spam según la LSSI

Tipo de infracción	Artículo	Sanción	Ejemplo
Leve	Art. 38.4.d	Hasta 30 000 €	Envío puntual sin opt-out claro
Grave	Art. 38.3.c	30 001 - 150 000 €	Envío masivo sin consentimiento
Muy grave	Art. 38.2	150 001 - 600 000 €	Envío masivo con reincidencia o a menores

RGPD y LOPDGDD: protección de datos

El envío de spam implica necesariamente el tratamiento de datos personales (dirección de email), lo que activa la normativa de protección de datos:

Norma	Artículo	Obligación	Sanción máxima
RGPD	Art. 6	Base legitimadora: consentimiento explícito	20 M € / 4 % facturación
RGPD	Art. 7	Condiciones del consentimiento: libre, específico, informado	—
RGPD	Art. 17	Derecho de supresión: borrar datos al solicitar baja	—
RGPD	Art. 21	Derecho de oposición al marketing directo	—
LOPDGDD	Art. 23	Sistemas de exclusión publicitaria (Lista Robinson)	—
LOPDGDD	Art. 73	Infracciones graves: tratamiento sin base legitimadora	40 001 - 300 000 €

Directiva ePrivacy (2002/58/CE)

La Directiva ePrivacy, transpuesta parcialmente a la LSSI, establece el marco europeo para la privacidad en las comunicaciones electrónicas:

Artículo Directiva	Materia	Transposición española
Art. 13.1	Consentimiento previo (opt-in) para comunicaciones comerciales	LSSI art. 21.1
Art. 13.2	Excepción de relación contractual (soft opt-in)	LSSI art. 21.2
Art. 13.3	Derecho de oposición	LSSI art. 22
Art. 13.4	Prohibición de disfrazar remitente	LSSI art. 20

Propuesta de Reglamento ePrivacy

La UE lleva desde 2017 negociando un Reglamento ePrivacy que sustituiría a la Directiva 2002/58/CE con normativa directamente aplicable (sin necesidad de transposición nacional). Hasta que se apruebe, la LSSI sigue siendo la norma de referencia en España para las comunicaciones comerciales electrónicas.

Código Penal: cuando el spam es delito

El spam puede ser constitutivo de delito cuando es vehículo de conductas tipificadas penalmente:

Delito	Artículo CP	Conducta vía spam	Pena
Estafa	248-251	Phishing, fraude nigeriano, premios falsos	6 meses - 3 años (básica)
Estafa agravada	250	Estafa masiva (>50 000 € o >250 víctimas)	1-6 años
Daños informáticos	264	Distribución de malware/ransomware vía spam	6 meses - 3 años
Descubrimiento de secretos	197	Phishing para robo de credenciales	1-4 años
Usurpación de estado civil	401	Suplantación de identidad en el email	6 meses - 3 años
Contra la propiedad intelectual	270	Distribución de software pirata	6 meses - 4 años

Casos reales de investigaciones de spam

Caso 1: campaña masiva de phishing bancario (España, 2024)

Descripción: Campaña de spam dirigida a clientes de 5 bancos españoles, suplantando comunicaciones legítimas sobre la normativa PSD2
Volumen: Más de 2 millones de emails enviados en 72 horas
Infraestructura: Botnet de 15 000 equipos infectados distribuidos en 40 países
Víctimas: 847 personas proporcionaron credenciales, pérdidas totales de 1,2 millones de euros
Análisis forense: El perito rastreó las cabeceras hasta un servidor C2 en Ucrania. El análisis de los dominios de phishing (registrados 48 horas antes) y la ausencia de SPF/DKIM proporcionaron evidencia concluyente de fraude
Resultado: Detención de 3 miembros de la organización. El informe pericial fue prueba fundamental

Caso 2: spam de competencia desleal (Barcelona, 2023)

Descripción: Empresa del sector turístico envió emails masivos difamando a un competidor, utilizando dominios similares al del competidor
Análisis pericial: El perito identificó que los emails procedían de un servidor contratado por la empresa demandada (WHOIS + cabeceras + registros de facturación del proveedor de hosting)
Marco legal: LSSI art. 21 (comunicaciones no solicitadas) + Ley de Competencia Desleal + art. 20 LSSI (identificación del remitente)
Resultado: Condena por competencia desleal, indemnización de 85 000 euros. El dictamen pericial informático fue determinante

Caso 3: ransomware distribuido vía spam (Valencia, 2025)

Descripción: Campaña de spam con adjuntos Excel con macros maliciosas dirigida a PYMEs españolas. El malware descargaba ransomware Lockbit 3.0
Víctimas: 23 empresas cifradas, rescates solicitados de 10 000-50 000 € en Bitcoin
Análisis forense: Análisis de las cabeceras de los emails originales, ingeniería inversa del macro malicioso, rastreo de la wallet de Bitcoin, análisis de la infraestructura C2
Papel del perito: Informe pericial para la reclamación al seguro de ciberriesgo, demostrando que el vector de entrada fue un email de spam que eludió las protecciones de la empresa (el spam contenía un adjunto .xlsm que no fue bloqueado por el filtro antispam)

Caso 4: spam electoral ilegal (España, 2024)

Descripción: Partido político envió 500 000 SMS no solicitados a ciudadanos durante el periodo de campaña electoral
Análisis: Los destinatarios no habían dado consentimiento y los datos procedían de una base de datos comercial adquirida sin cumplir el RGPD
Sanciones: 120 000 € (AEPD, por tratamiento ilícito de datos) + 60 000 € (Junta Electoral, por comunicación electoral irregular)
Relevancia: Demostró que el spam por SMS tiene el mismo tratamiento legal que el spam por email

El spam como vector de entrada en ciberataques corporativos

Según el informe IBM X-Force Threat Intelligence Index 2025, el email de spam/phishing sigue siendo el vector de entrada principal en el 41 % de los ciberataques a empresas. Para una PYME española, un solo email de spam con adjunto malicioso puede resultar en un incidente de ransomware con pérdidas de decenas o cientos de miles de euros.

Cómo reportar y denunciar spam en España

Canales de reporte

Marcar como spam en el cliente de email: El primer paso es marcar el email como spam en Gmail, Outlook, o el proveedor que se use. Esto alimenta los filtros de spam y protege a otros usuarios.
Reportar a INCIBE: A través del formulario web de la OSI (Oficina de Seguridad del Internauta) en https://www.osi.es/es/reporte-fraude o llamando al 017 (línea gratuita y confidencial).
Denuncia a la AEPD: Si el spam implica tratamiento ilícito de datos personales, presentar reclamación ante la Agencia Española de Protección de Datos a través de su sede electrónica.
Lista Robinson: Inscribirse en la Lista Robinson (https://www.listarobinson.es/) para evitar comunicaciones comerciales de empresas adheridas. Es un derecho reconocido por la LOPDGDD (art. 23).
Denuncia policial: Si el spam es vehículo de fraude, phishing o malware, denunciar ante la Policía Nacional (Brigada de Investigación Tecnológica) o la Guardia Civil (Grupo de Delitos Telemáticos).
Conservar la evidencia: Antes de borrar, guardar el email completo (con cabeceras) como fichero .eml. Si se plantea acción judicial, contactar a un perito informático para la preservación forense adecuada.

Documentación necesaria para denuncia

Documento	Contenido	Formato
Email original con cabeceras	Mensaje completo sin modificar	.eml o .msg
Capturas de pantalla	Visible el contenido y la bandeja de entrada	PNG con timestamp
Hash SHA-256	Del fichero .eml guardado	Texto
Registro de emails recibidos	Lista de fechas y remitentes si son múltiples	Hoja de cálculo
Informe pericial (si hay denuncia)	Análisis forense completo	PDF firmado

Filtrado antispam: tecnologías y limitaciones

Técnicas de filtrado

Técnica	Descripción	Efectividad	Limitación
Listas negras (DNSBL)	Bases de datos de IPs y dominios de spam	Alta para IPs conocidas	No detecta nuevas fuentes
Filtro bayesiano	Clasificación estadística basada en palabras	Alta	Requiere entrenamiento
Análisis de cabeceras	Verificación SPF/DKIM/DMARC	Alta	No todos los dominios lo implementan
Análisis de contenido	Patrones de texto, URLs, adjuntos	Media-Alta	Evadible con ofuscación
Greylisting	Rechazar temporalmente emails de remitentes desconocidos	Alta	Retrasa emails legítimos
Machine learning	Clasificación con redes neuronales	Muy alta	Requiere datos de entrenamiento
Sandbox de adjuntos	Ejecutar adjuntos en entorno seguro	Alta	Malware evasivo de sandbox
Rate limiting	Limitar emails por IP/hora	Media	Snowshoe spam lo evade
Reputación de remitente	Puntuación basada en historial de envío	Alta	Nuevos remitentes sin historial

Tasas de error

Tipo de error	Descripción	Impacto	Tasa típica
Falso positivo	Email legítimo clasificado como spam	Pérdida de comunicaciones importantes	0,01-0,1 %
Falso negativo	Spam no detectado que llega a la bandeja	Riesgo para el usuario	1-5 %

Los falsos positivos tienen consecuencias graves

Un falso positivo en el filtro antispam puede hacer que un email legítimo importante (una factura, una oferta de trabajo, una comunicación de un tribunal) termine en la carpeta de spam sin que el destinatario lo sepa. En contextos legales, esto puede tener consecuencias procesales. Los peritos informáticos son frecuentemente requeridos para investigar si un email fue recibido pero filtrado como spam.

Spam y el perito informático forense

Escenarios de actuación pericial

Escenario	Trabajo del perito	Cliente típico
Fraude vía spam	Rastrear origen, analizar infraestructura, documentar cadena de ataque	Víctima de estafa
Competencia desleal por spam	Identificar al remitente real, documentar campaña	Empresa competidora
Reclamación al seguro	Demostrar que el vector de entrada fue spam/phishing	Empresa atacada
Defensa LSSI	Demostrar que los envíos cumplían la normativa (opt-in, identificación)	Empresa acusada
Email no recibido	Investigar si fue filtrado como spam, analizar logs del servidor	Parte en litigio
Suplantación de dominio	Demostrar spoofing de email, verificar SPF/DKIM/DMARC	Empresa suplantada
Distribución de malware	Análisis del adjunto malicioso, ingeniería inversa	Fuerzas de seguridad

Contenido del informe pericial sobre spam

Sección	Contenido
Objeto	Qué se analiza y con qué fin
Metodología	Herramientas (MXToolbox, Wireshark, VirusTotal), estándares
Cadena de custodia	Hashes de emails preservados, fechas
Análisis de cabeceras	Ruta del email, IPs, autenticación
Verificación SPF/DKIM/DMARC	Resultados detallados con capturas
Análisis de infraestructura	WHOIS, geolocalización, tipo de envío
Análisis de contenido	URLs, adjuntos, técnicas de ingeniería social
Correlación	Vinculación de la campaña con el sospechoso/empresa
Conclusiones	Origen del spam, cumplimiento normativo, impacto

Prevención y mejores prácticas

Para usuarios individuales

Práctica	Descripción	Prioridad
No publicar el email	Evitar publicar la dirección de email en webs y RRSS	Alta
Usar alias/email secundario	Registrar en servicios con un email secundario	Alta
No responder al spam	Responder confirma que la dirección está activa	Alta
No hacer clic en «unsubscribe» sospechoso	En spam fraudulento, el enlace puede ser malicioso	Alta
Activar filtros antispam	Verificar que los filtros del proveedor están activos	Media
Lista Robinson	Inscribirse para evitar comunicaciones comerciales	Media
Reportar spam	Marcar como spam para mejorar los filtros	Media

Para empresas

Práctica	Descripción	Prioridad
Implementar SPF	Publicar registro SPF con -all	Crítica
Implementar DKIM	Firmar todos los emails salientes	Crítica
Implementar DMARC	Política p=reject, con informes	Crítica
Filtro antispam empresarial	Solución con ML y sandbox de adjuntos	Crítica
Formación a empleados	Concienciación sobre phishing y spam	Alta
Simulacros de phishing	Tests periódicos con herramientas como GoPhish	Alta
Segmentación de red	Limitar el impacto si un empleado hace clic	Alta
Plan de respuesta a incidentes	Protocolo para cuando el spam causa un incidente	Alta
Backup 3-2-1	Protección contra ransomware distribuido vía spam	Crítica

Para remitentes legítimos (email marketing)

Obligación	Base legal	Cómo cumplir
Consentimiento previo	LSSI art. 21, RGPD art. 6-7	Formulario de opt-in con doble confirmación
Identificación del remitente	LSSI art. 20	Nombre de empresa, CIF, dirección
Indicar carácter publicitario	LSSI art. 20	Incluir «PUBLI» o indicación equivalente
Mecanismo de baja	LSSI art. 22, RGPD art. 21	Enlace de unsubscribe visible en cada email
Responder solicitudes de baja	RGPD art. 17	Procesar en 10 días hábiles (LSSI) / 30 días (RGPD)
No comprar bases de datos	RGPD art. 6-7	Solo utilizar datos obtenidos con consentimiento propio

Cumplimiento = protección legal

Una empresa que cumple escrupulosamente con la LSSI y el RGPD en sus comunicaciones por email no solo evita sanciones, sino que cuenta con una defensa sólida si es acusada de spam. Documentar el consentimiento de cada suscriptor, mantener registros de opt-in/opt-out, y demostrar el mecanismo de baja son elementos clave que un perito informático puede verificar y acreditar.

Estadísticas y tendencias del spam (2025-2026)

Estadística	Valor	Fuente
Porcentaje de emails que son spam	~45 % del tráfico global	Cisco Talos Intelligence, 2025
Emails de spam diarios	~160 000 millones	Statista, 2025
País emisor #1	Estados Unidos (24 %)	Spamhaus, 2025
País emisor #2	Rusia (11 %)	Spamhaus, 2025
Coste global del spam	~20 000 M USD/año	Radicati Group, 2025
Spam con adjunto malicioso	2,5 % del total	Kaspersky, 2025
Spam de phishing	1,2 % del total	Kaspersky, 2025
Tasa de apertura de spam	~1-3 %	Varios, 2025
Tasa de clic en spam	~0,02-0,05 %	Varios, 2025
Spam generado por IA	Crecimiento del 800 % desde 2023	Abnormal Security, 2025
Sanciones AEPD por spam (España, 2024)	3,2 M € en total	AEPD Memoria Anual, 2024

Tendencias emergentes

Tendencia	Descripción	Impacto forense
Spam generado por IA	LLMs producen spam indistinguible del contenido legítimo	Más difícil de detectar, nuevas técnicas de análisis necesarias
Spam por mensajería (RCS/iMessage)	Migración del spam de SMS a mensajería enriquecida	Nuevos metadatos disponibles para análisis
Spam de voz (deepfake)	Llamadas con voz clonada por IA	Análisis de audio forense necesario
QR spam (quishing)	Códigos QR maliciosos en emails y cartas físicas	Análisis de URLs ocultas en QR
Spam en plataformas de trabajo	LinkedIn, Indeed: ofertas de trabajo falsas	Verificación de perfiles y ofertas
Spam certificado	Emails masivos enviados mediante burofax electrónico abusivo	Análisis de legitimidad del uso del burofax

Spam y responsabilidad del ISP/proveedor de email

Obligaciones de los proveedores de servicios de internet

Los proveedores de servicios de internet (ISP) y de correo electrónico tienen obligaciones legales y técnicas en relación con el spam:

Obligación	Base legal	Detalle
Colaboración con autoridades	LSSI art. 12	Facilitar datos de identificación del spammer cuando lo ordene un juez
Información al usuario	LSSI art. 12 bis	Informar sobre medidas de seguridad y filtrado disponibles
Actuación contra abuso	Condiciones de uso	Suspender cuentas que envíen spam masivo
Retención de datos	Ley 25/2007	Conservar datos de tráfico durante 12 meses
No censura previa	CE art. 20	No filtrar contenido legítimo; equilibrio con protección

Responsabilidad del administrador de sistemas

En entornos corporativos, el administrador de sistemas tiene obligaciones específicas:

Responsabilidad	Acción requerida	Consecuencia del incumplimiento
Configurar SPF/DKIM/DMARC	Implementar los tres protocolos en DNS	Los emails de la empresa pueden ser marcados como spam
Mantener actualizado el MTA	Parchear vulnerabilidades del servidor de correo	Riesgo de ser utilizado como open relay
Monitorizar listas negras	Verificar periódicamente que las IPs no están listadas	Emails legítimos rechazados por otros servidores
Gestionar bounce rates	Mantener listas limpias, eliminar direcciones inválidas	Degradación de reputación del dominio
Implementar rate limiting	Limitar envíos por minuto/hora	Prevenir abuso de cuentas comprometidas

Spam en redes sociales y plataformas de mensajería

Spam en redes sociales

Plataforma	Tipo de spam predominante	Mecanismo de detección	Canal de reporte
LinkedIn	Ofertas de empleo falsas, solicitudes de contacto masivas	Análisis de comportamiento + IA	Botón «Denunciar» en mensaje/publicación
Instagram	Cuentas falsas, comentarios masivos, DMs de estafa	Moderación automática + usuarios	Botón «Reportar»
Twitter/X	Bots, spam de criptomonedas, reply spam	Detección de bots + reportes	Botón «Reportar tweet»
Facebook	Páginas falsas, eventos fraudulentos, Marketplace scams	IA + moderación humana	Herramientas de reporte integradas
TikTok	Comentarios masivos, cuentas de seguimiento masivo	IA + moderación	Botón «Reportar»
YouTube	Comentarios de spam con enlaces maliciosos	Filtro automático + moderación	Reportar comentario

Spam en WhatsApp y Telegram

El spam por mensajería instantánea plantea desafíos forenses específicos:

WhatsApp:

Cifrado extremo a extremo (E2E) impide la interceptación en tránsito
Los metadatos (remitente, fecha, frecuencia) sí están disponibles para Meta
La extracción forense requiere acceso al dispositivo o al backup
Los grupos de WhatsApp son utilizados para spam masivo (límite: 256 miembros original, ahora 1024)

Telegram:

Los canales públicos son vectores frecuentes de spam
Los bots de Telegram se usan para automatizar el envío
Los mensajes de Telegram se pueden reenviar masivamente
La extracción forense es más compleja debido al almacenamiento en la nube de Telegram

Grupos de WhatsApp y consentimiento RGPD

Añadir a una persona a un grupo de WhatsApp con fines comerciales sin su consentimiento puede constituir una infracción del RGPD (tratamiento de datos sin base legitimadora) y de la LSSI (comunicación comercial no solicitada). Varias resoluciones de la AEPD han sancionado esta práctica con multas de entre 5 000 y 30 000 euros.

Análisis forense avanzado de campañas de spam

Correlación de campañas

Cuando se investiga una campaña de spam de gran escala, el perito utiliza técnicas de correlación para vincular múltiples emails a la misma fuente:

Indicador de correlación	Descripción	Peso evidencial
Infraestructura compartida	Mismas IPs, servidores, dominios	Muy alto
Patrones de cabeceras	Misma estructura de headers, X-Mailer idéntico	Alto
Similitud de contenido	Mismo texto con variaciones menores	Alto
Timing	Envíos en la misma franja horaria, patrón temporal	Medio
URLs destino	Misma URL final aunque con diferentes acortadores	Alto
Registro de dominios	Mismos datos WHOIS, mismo registrador, misma fecha	Alto
Análisis lingüístico	Mismo estilo, errores idénticos, traducciones iguales	Medio
Fingerprinting de malware	Mismo hash de adjunto, misma familia de malware	Muy alto

Técnicas de atribución

La atribución definitiva del origen de una campaña de spam es uno de los mayores retos del análisis forense:

Análisis de infraestructura: Trazar la cadena completa desde las IPs de envío hasta los servidores de comando y control, pasando por los dominios de phishing y las URLs de destino.
OSINT (Open Source Intelligence): Buscar los dominios, IPs, y direcciones de email en fuentes abiertas: registros WHOIS históricos, certificados SSL (Certificate Transparency), foros underground, redes sociales.
Análisis de malware: Si la campaña incluye adjuntos maliciosos, realizar ingeniería inversa para identificar la familia de malware, sus servidores C2, y posibles vínculos con grupos conocidos.
Correlación temporal: Analizar los horarios de envío para inferir la zona horaria del atacante. Las campañas suelen lanzarse en horario laboral de la zona del atacante.
Análisis lingüístico: Examinar el idioma, expresiones idiomáticas, errores gramaticales, y codificación de caracteres para inferir el idioma nativo del atacante.
Seguimiento financiero: Si hay componente de fraude, rastrear las cuentas bancarias, wallets de criptomonedas, y métodos de monetización.
Colaboración con proveedores: Solicitar a ISPs y plataformas (con orden judicial) los registros de acceso a las cuentas utilizadas en la campaña.

Preservación forense de evidencia de spam

Paso	Acción	Herramienta
1. Guardar email original	Exportar como .eml/.msg con cabeceras completas	Cliente de email
2. Calcular hash	SHA-256 del fichero .eml	sha256sum, HashCalc
3. Captura de pantalla	Con timestamp y resolución completa	Greenshot, sistema operativo
4. Guardar URLs	Copiar URLs sin visitar, capturar con URLScan.io	URLScan.io, archive.org
5. Preservar adjuntos	Guardar sin abrir, calcular hash	VirusTotal para análisis seguro
6. Documentar cadena de custodia	Registrar quién, cuándo, cómo se preservó	Formulario de cadena de custodia
7. Almacenamiento seguro	Soporte write-once o cifrado	DVD-R, pendrive cifrado

El impacto económico del spam

Costes directos para las empresas

Coste	Descripción	Estimación por empleado/año
Tiempo perdido	Revisar y eliminar spam que pasa los filtros	2-5 horas/año (20-50 €)
Ancho de banda	Tráfico de red consumido por spam	Variable
Almacenamiento	Espacio de disco para carpetas de spam	Incluido en servicio
Infraestructura antispam	Licencias de filtros, appliances, servicios cloud	15-40 €/empleado/año
Soporte técnico	Atender incidencias por spam (falsos positivos, malware)	Variable
Riesgo de brecha	Coste medio de una brecha por phishing/spam en PYME	50 000-200 000 €

Costes para la sociedad

Impacto	Descripción	Magnitud
Confianza en email	El spam erosiona la confianza en las comunicaciones electrónicas	Cualitativo
Energía	Los servidores que procesan spam consumen electricidad	~33 TWh/año estimado
Huella de carbono	Emisiones de CO₂ asociadas al procesamiento de spam	~20 Mt CO₂/año estimado
Recursos policiales	Investigación de fraudes vehiculados por spam	Miles de horas/año
Sistema judicial	Procedimientos por infracciones LSSI/RGPD	Centenares de procedimientos/año en España

Preguntas frecuentes

¿Cómo sé si mi servidor de email está en una lista negra de spam?

Puedes verificarlo en herramientas como MXToolbox Blacklist Check, MultiRBL.valli.org, o Spamhaus ZEN. Si tu IP o dominio aparece en una lista negra, significa que ha sido identificado como fuente de spam y tus emails legítimos pueden ser rechazados por otros servidores.

¿Puedo enviar emails comerciales a clientes que me compraron hace 5 años?

Depende. Si tienes una relación comercial previa y los productos que ofreces son similares, la excepción del artículo 21.2 LSSI podría aplicarse. Sin embargo, el principio de minimización del RGPD exige que los datos se mantengan solo el tiempo necesario. Tras años sin interacción, el consentimiento puede haberse diluido. Lo más seguro es solicitar un nuevo consentimiento.

¿Un email de phishing siempre es técnicamente spam?

Desde el punto de vista técnico y legal, sí: es una comunicación no solicitada enviada masivamente. Sin embargo, el phishing tiene un componente delictivo adicional (fraude, robo de credenciales) que el spam comercial no tiene. A nivel forense, se analizan de forma similar (cabeceras, infraestructura), pero las conclusiones jurídicas son distintas.

¿Pueden sancionarme si mi servidor es usado como open relay para enviar spam?

Aunque la responsabilidad principal recae en el spammer, el administrador de un servidor que funciona como open relay puede enfrentarse a consecuencias: inclusión en listas negras (afectando a todos los usuarios legítimos del servidor), posible responsabilidad civil por negligencia en la configuración, y en el ámbito de la LSSI, podría considerarse una falta de diligencia del prestador de servicios. Un informe pericial puede determinar si la configuración del servidor era negligente.

¿El spam telefónico (robocalls) tiene el mismo tratamiento legal?

El spam por vía telefónica se regula tanto por la LSSI como por la Ley General de Telecomunicaciones (LGT). La Lista Robinson (art. 23 LOPDGDD) permite a los ciudadanos excluirse de comunicaciones comerciales telefónicas. Las sanciones son similares a las del spam por email. Además, la Ley 11/2022 (nueva LGT) refuerza la protección contra llamadas comerciales no deseadas.

¿Qué es el spam SEO (spamdexing) y es ilegal?

El spam SEO incluye técnicas como el keyword stuffing, cloaking, link farms, y la inyección de contenido spam en webs ajenas (comment spam, trackback spam). Aunque no está directamente tipificado en la legislación española, puede constituir competencia desleal (Ley 3/1991), y si implica acceso no autorizado a webs ajenas, puede ser delito informático (art. 264 CP). Google penaliza estas prácticas con desindexación.

¿Las listas de correo opt-in se consideran spam?

No, siempre que cumplan los requisitos de la LSSI y el RGPD: consentimiento libre, específico e informado del suscriptor, identificación clara del remitente, indicación del carácter publicitario, y mecanismo sencillo de baja en cada comunicación. El registro del momento y forma del consentimiento (doble opt-in con confirmación por email) es la mejor protección ante posibles reclamaciones.

Glosario técnico de términos relacionados con el spam

Término	Definición
Blackhole list (DNSBL)	Base de datos de IPs o dominios conocidos por enviar spam, consultable por DNS
Botnet	Red de ordenadores infectados controlados remotamente para enviar spam u otros ataques
Bounce (rebote)	Email devuelto al remitente porque no pudo entregarse al destinatario
Bulletproof hosting	Servicio de alojamiento web que ignora quejas de abuso
C2 (Command and Control)	Servidor que controla una botnet o malware
DKIM	Firma criptográfica que verifica la integridad y autenticidad de un email
DMARC	Protocolo que unifica SPF y DKIM con una política de actuación ante fallos
Fast-flux DNS	Técnica que cambia rápidamente las IPs asociadas a un dominio para evitar bloqueos
Greylisting	Técnica antispam que rechaza temporalmente emails de remitentes desconocidos
Ham	Email legítimo (lo opuesto a spam)
Honeypot	Dirección de email trampa que solo recibe spam, usada para detectar spammers
MTA (Mail Transfer Agent)	Software servidor que transfiere emails entre servidores (Postfix, Sendmail, Exchange)
MX record	Registro DNS que indica qué servidor recibe email para un dominio
Open relay	Servidor SMTP que permite enviar email sin autenticación
Opt-in	Consentimiento expreso del usuario para recibir comunicaciones
Opt-out	Mecanismo para darse de baja de comunicaciones comerciales
Phishing	Variante de spam que suplanta identidad para robar datos o dinero
RBL (Real-time Blackhole List)	Sinónimo de DNSBL, lista negra en tiempo real
Sender reputation	Puntuación de confianza de una IP o dominio basada en su historial de envío
Snowshoe spam	Técnica que distribuye el envío entre muchas IPs para evitar detección
SPF	Registro DNS que especifica qué IPs pueden enviar email en nombre de un dominio
Spamtrap	Sinónimo de honeypot: dirección trampa para capturar spammers
UCE (Unsolicited Commercial Email)	Término técnico formal para el spam comercial
Zombie	Ordenador infectado que forma parte de una botnet

Spam y protección de infraestructuras críticas

Las infraestructuras críticas (energía, agua, transporte, sanidad) son objetivos especiales de campañas de spam dirigido (spear phishing) que utilizan el correo electrónico como vector de entrada:

Ataques documentados a infraestructuras críticas vía email

Ataque	Año	Sector	Método	Consecuencias
Stuxnet (componente social)	2010	Nuclear (Irán)	USB + phishing	Destrucción de centrifugadoras
BlackEnergy	2015	Energía (Ucrania)	Spear phishing con doc Word	Apagón eléctrico (230 000 afectados)
Industroyer	2016	Energía (Ucrania)	Phishing + lateral movement	Apagón en Kiev
WannaCry (propagación)	2017	Sanidad (NHS UK)	Email + EternalBlue	80 000 citas canceladas
SolarWinds (vector parcial)	2020	Gobierno/tecnología (EE. UU.)	Supply chain + emails comprometidos	18 000 organizaciones afectadas
Colonial Pipeline	2021	Energía (EE. UU.)	Credenciales comprometidas (posible phishing)	Escasez de combustible costa este

Normativa NIS2 y spam

La Directiva NIS2 (UE 2022/2555), transpuesta a España mediante el Real Decreto-ley de transposición, impone a las entidades esenciales e importantes obligaciones específicas de gestión de riesgos que incluyen la protección contra el spam como vector de ataque:

Obligación NIS2	Relación con spam	Artículo
Análisis de riesgos	Evaluar el riesgo de ataques vía email	Art. 21.2.a
Gestión de incidentes	Protocolo de respuesta cuando spam causa incidente	Art. 21.2.b
Continuidad del negocio	Backup y recuperación ante ransomware distribuido por spam	Art. 21.2.c
Seguridad de la cadena de suministro	Verificar que proveedores protegen sus sistemas de email	Art. 21.2.d
Formación de empleados	Concienciación sobre phishing y spam	Art. 21.2.g
Cifrado	Protección de comunicaciones sensibles	Art. 21.2.h

Checklist para el perito: análisis forense de una campaña de spam

Paso	Acción	Completado
1	Preservar email(s) original(es) en formato .eml	☐
2	Calcular hash SHA-256 de cada fichero preservado	☐
3	Extraer y analizar cabeceras completas	☐
4	Verificar resultados SPF del email	☐
5	Verificar firma DKIM (pass/fail/none)	☐
6	Verificar política DMARC del dominio suplantado	☐
7	Geolocalizar todas las IPs de los campos Received	☐
8	Consultar WHOIS del dominio remitente	☐
9	Consultar IPs en Spamhaus, AbuseIPDB, Talos	☐
10	Analizar URLs del cuerpo del mensaje (sin visitar)	☐
11	Analizar adjuntos en sandbox (VirusTotal, Any.run)	☐
12	Documentar la cadena de custodia completa	☐
13	Correlacionar con campañas conocidas si procede	☐
14	Redactar informe pericial con metodología y conclusiones	☐
15	Firmar y fechar el informe	☐

Comparativa internacional de legislación antispam

País/Región	Legislación	Modelo	Sanción máxima
España	LSSI art. 21 + RGPD	Opt-in (consentimiento previo)	600 000 € (LSSI) + 20 M € (RGPD)
Unión Europea	Directiva ePrivacy + RGPD	Opt-in	20 M € o 4 % facturación
Estados Unidos	CAN-SPAM Act (2003)	Opt-out (permite envío hasta que se solicita baja)	50 120 USD por email (FTC)
Canadá	CASL (2014)	Opt-in (uno de los más estrictos)	10 M CAD (personas jurídicas)
Australia	Spam Act (2003)	Opt-in	2,22 M AUD por día
Reino Unido	PECR + UK GDPR	Opt-in	17,5 M GBP (ICO)
Japón	Act on Regulation of Transmission of Specified Electronic Mail	Opt-in (desde 2008)	1 año prisión + 1 M JPY

CAN-SPAM: el modelo más permisivo

La legislación estadounidense CAN-SPAM utiliza un modelo opt-out, lo que significa que las empresas pueden enviar el primer email sin consentimiento previo, siempre que ofrezcan un mecanismo de baja. Este enfoque es significativamente más permisivo que el europeo (opt-in). Para una empresa española, esto es relevante porque emails que son legales bajo CAN-SPAM pueden ser ilegales bajo la LSSI si los destinatarios están en España o la UE.

Configuración recomendada SPF/DKIM/DMARC para proteger tu dominio

Una de las intervenciones más frecuentes del perito informático es recomendar la implementación correcta de SPF, DKIM y DMARC para proteger un dominio contra la suplantación. Esta es la configuración recomendada paso a paso:

Configurar SPF: Crear un registro TXT en DNS que liste todos los servidores autorizados para enviar email en nombre del dominio. Usar -all (hard fail) para rechazar emails de IPs no autorizadas.
Configurar DKIM: Generar un par de claves RSA (2048 bits mínimo). Publicar la clave pública en DNS como registro TXT. Configurar el servidor de correo para firmar todos los emails salientes con la clave privada.
Configurar DMARC en modo monitorización: Crear registro _dmarc.tudominio.es con p=none y rua=mailto:dmarc-reports@tudominio.es. Monitorizar los informes durante 2-4 semanas.
Analizar informes DMARC: Revisar los informes de agregación para identificar todas las fuentes legítimas de email (servidores propios, proveedores SaaS, servicios de email marketing).
Autorizar fuentes legítimas: Actualizar SPF para incluir todas las fuentes legítimas identificadas. Configurar DKIM en cada fuente.
Escalar a quarantine: Cambiar la política DMARC a p=quarantine con pct=10 (aplicar al 10 %). Aumentar gradualmente el porcentaje.
Escalar a reject: Una vez verificado que no hay falsos positivos, cambiar a p=reject con pct=100. Esta es la configuración máxima de protección.

Referencias y fuentes

Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE) — BOE-A-2002-13758. Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758
RGPD — Reglamento (UE) 2016/679, artículos 6, 7, 17, 21, 83. Disponible en: https://www.boe.es/doue/2016/119/L00001-00088.pdf
LOPDGDD — Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. BOE-A-2018-16673.
Directiva 2002/58/CE — Directiva ePrivacy sobre el tratamiento de datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas.
Cisco Talos Intelligence — Email & Spam Data. Disponible en: https://talosintelligence.com/
Spamhaus — The Spamhaus Project: IP and Domain Reputation Data. Disponible en: https://www.spamhaus.org/
INCIBE — Guía sobre spam y comunicaciones no deseadas. Instituto Nacional de Ciberseguridad de España. Disponible en: https://www.incibe.es/
AEPD — Memoria anual 2024: resoluciones sancionadoras por comunicaciones comerciales no solicitadas. Disponible en: https://www.aepd.es/
IBM X-Force Threat Intelligence Index 2025 — IBM Security, 2025. Disponible en: https://www.ibm.com/reports/threat-intelligence
Verizon DBIR 2025 — Data Breach Investigations Report. Disponible en: https://www.verizon.com/business/resources/reports/dbir/
RFC 5321 — Simple Mail Transfer Protocol (SMTP). IETF. Disponible en: https://www.rfc-editor.org/rfc/rfc5321
RFC 7489 — DMARC: Domain-based Message Authentication, Reporting, and Conformance. IETF. Disponible en: https://www.rfc-editor.org/rfc/rfc7489
Templeton, Brad — Origin of the term “spam” to mean net abuse. Disponible en: https://www.templetons.com/brad/spamterm.html
Kanich, Chris et al. — Spamalytics: An Empirical Analysis of Spam Marketing Conversion. ACM CCS, 2008. Estudio fundamental sobre la economía del spam.
Levchenko, Kirill et al. — Click Trajectories: End-to-End Analysis of the Spam Value Chain. IEEE Symposium on Security & Privacy, 2011. Análisis completo de la cadena de valor del spam, desde el envío hasta la monetización.
Código Penal español — Ley Orgánica 10/1995, artículos 248-251 (estafa), 264 (daños informáticos), 197 (descubrimiento de secretos). Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
ENISA — Threat Landscape Report 2025. European Union Agency for Cybersecurity. Disponible en: https://www.enisa.europa.eu/

Conclusión

El spam, lejos de ser una simple molestia, constituye una de las amenazas más persistentes y versátiles del ecosistema digital. Como vector principal de distribución de phishing, malware y fraudes de toda índole, cada email de spam que supera los filtros representa un riesgo potencial de pérdida económica, brecha de datos, o compromiso de sistemas.

Desde la perspectiva del peritaje informático forense, el análisis de campañas de spam requiere un conocimiento profundo de los protocolos de email (SMTP, SPF, DKIM, DMARC), de las técnicas de envío masivo (botnets, open relays, bulletproof hosting), y del marco legal aplicable (LSSI, RGPD, Código Penal). El perito que domina estas disciplinas puede aportar evidencia técnica concluyente sobre el origen, la infraestructura y el impacto de una campaña de spam, evidencia que resulta determinante tanto en procedimientos administrativos (ante la AEPD) como judiciales (civiles y penales).

La evolución tecnológica —IA generativa, deepfakes de voz, spam por nuevos canales como RCS y plataformas de mensajería— garantiza que el spam seguirá adaptándose y que el análisis forense de estas comunicaciones no deseadas continuará siendo una competencia esencial del perito informático durante los próximos años.

Última actualización: 30 de marzo de 2026 Categoría: Ciberataques Código: CIB-045