Filtrado de correo electrónico de Hornetsecurity y Vade: Juntos, más fuertes

La unión de Vade al grupo Hornetsecurity ha traído muchas ventajas para los clientes de ambos lados, y una de las más destacadas es la combinación de nuestras tecnologías de filtrado de correo electrónico. En este artículo te contamos cómo hemos mejorado la detección y qué significa eso para ti si tu buzón está protegido por Vade o por Hornetsecurity. 

Lo básico del filtrado de correo electrónico

El correo electrónico lleva con nosotros desde 1971 y, desde hace al menos tres décadas, es una herramienta imprescindible para la comunicación en las empresas. Pero desde el principio, ha venido acompañado de su lado oscuro: el spam, el phishing, y los correos con malware que intentan colarte un archivo adjunto malicioso o hacerte pinchar en un enlace trampa. Por eso, contar con un buen sistema de filtrado es clave para eliminar esos mensajes peligrosos y mantener tu correo limpio y disponible. 

Ahora bien, puedes preguntarte: ¿cómo es posible que a estas alturas esto siga pasando? ¿Por qué no se ha resuelto ya? Pues bien, hay varios motivos. Para empezar, los protocolos de correo electrónico que seguimos usando hoy en día se diseñaron hace décadas, y en aquel entonces la seguridad ni siquiera era una prioridad. Todo lo que se ha añadido después (autenticación, cifrado, validación…) ha sido como ir parcheando sobre la marcha, y además de forma opcional. Eso hace que su adopción sea lenta y desigual. 

Otro motivo es económico: el correo malicioso da dinero. El spam funciona porque, aunque solo uno de cada 10.000 usuarios pique, si envías millones de correos, ya te sale rentable. Y no hablemos del phishing, que sigue siendo la principal puerta de entrada para robar credenciales en entornos empresariales. Una vez dentro, los atacantes se mueven rápido: pueden colarse en otros sistemas y acabar desplegando ransomware o lanzando otros ataques más complejos. 

Un tercer gran obstáculo para el filtrado de correo electrónico es lo rápido que cambian los ataques. Como hay tanto dinero en juego, los ciberdelincuentes pueden invertir tiempo y recursos en mejorar sus tácticas: ajustan el tipo de mensaje, el lenguaje que usan (muchas veces con ayuda de la IA), utilizan modelos de lenguaje avanzados (LLM) para traducir con calidad a otros idiomas —sobre todo en países donde el phishing por correo aún no es tan común—, añaden códigos QR, imágenes o trucos nuevos para colártela sin que te des cuenta. Y ojo, porque funcionan como una auténtica agencia de marketing: hacen pruebas A/B. Envían 5.000 correos con una variante del ataque y otros 5.000 con otra distinta. Luego analizan cuál tuvo más clics, eligen el más eficaz y, en cuestión de minutos, lo lanzan a un millón de potenciales víctimas. 

El último gran reto es la velocidad a la que todo esto cambia. Antes, cuando un servidor de correo se comprometía y empezaba a enviar spam, los sistemas de protección detectaban la IP y la bloqueaban. Pero eso ya es cosa del pasado. Hoy en día, muchas campañas de spam y phishing utilizan botnets, por lo que la dirección IP desde la que se envía el correo cambia constantemente. A veces basta con reiniciar un router doméstico para que la IP cambie. O usan proxies para confundir a los servidores de correo y que parezca que los envíos vienen de sitios legítimos. 

Y por si fuera poco, si tu sistema de filtrado es demasiado estricto, puede empezar a bloquear correos legítimos. Esto genera falsos positivos y, lo peor, puede interrumpir la actividad del negocio. Dar con el equilibrio justo entre filtrar lo malo sin cargarte lo bueno es un reto constante en este entorno que cambia cada día. 

La buena noticia es que Vade y Hornetsecurity cuentan con tecnologías punteras que permiten gestionar todos estos factores y mantener ese equilibrio tan delicado: minimizar falsos negativos sin disparar los falsos positivos. Pero lo más interesante es que, al unir sus motores de filtrado, se consigue una solución aún más potente, robusta y preparada para hacer frente a las amenazas más sofisticadas. 

Ventajas para los clientes de Vade 

La protección frente a archivos adjuntos maliciosos en el correo electrónico ahora es más potente que nunca, gracias a un enfoque por capas que combina lo mejor de ambos mundos. Por un lado, los motores antivirus tradicionales, basados en firmas, detectan rápidamente el malware ya conocido. Pero lo realmente interesante llega con la incorporación de la detección mediante sandbox, que mejora muchísimo la capacidad para identificar malware nuevo o modificado. ¿Cómo funciona? Muy fácil: si llega un archivo adjunto que no se reconoce (por ejemplo, un PDF o un Word), se abre en un entorno seguro (sandbox) donde se analiza su comportamiento. ¿Tiene macros sospechosas? ¿Intenta ejecutar código ofuscado? ¿Se conecta a servidores de mando y control (C2)? El sistema revisa cientos de señales para decidir en segundos si el archivo es seguro o si esconde algo peligroso. 

Y si hablamos de phishing, el sistema también está preparado para todo. Desde los típicos correos masivos del tipo “Su paquete de FedEx se ha retrasado, haga clic aquí”, hasta ataques mucho más personalizados, dirigidos a una empresa concreta o incluso a personas específicas dentro de una organización. Para esos casos más sofisticados, entra en juego la detección de phishing selectivo (Steel Phishing), una tecnología que los clientes de Vade ahora disfrutan gracias a la integración con Hornetsecurity. Este sistema se basa en el análisis del contenido y el comportamiento del correo, lo que permite detectar incluso los ataques más sutiles. 

En resumen, el filtrado por capas se basa en revisar diferentes aspectos de cada correo electrónico. Y con esta integración, se añaden más de 40 capas adicionales al motor de filtrado, mejorando la capacidad de detección frente a todo tipo de amenazas. 

Como ya te contábamos, uno de los grandes retos en la seguridad del correo es reducir al máximo tanto los falsos negativos (cosas peligrosas que se cuelan) como los falsos positivos (correos legítimos que se bloquean). Para afinar aún más, los clientes de Vade ahora también se benefician de los algoritmos de autoaprendizaje desarrollados por Hornetsecurity, que ayudan a mejorar los resultados de forma continua. 

Una forma muy útil de detectar comportamientos raros en el correo electrónico es analizar cómo suelen ser las interacciones normales y mapearlas usando una base de datos de grafos. Así, cuando llega un mensaje de un remitente con el que nunca habías tenido contacto, el sistema puede detectar si algo no cuadra y activar una alerta. A esto lo llamamos “protección de primera interacción basada en grafos sociales”, y actúa como una especie de radar para prevenir sustos desde el primer momento. 

También se ha añadido el escaneo de URLs antes de que el correo llegue a tu bandeja de entrada, como complemento al análisis en tiempo real (cuando abres el correo) y al escaneo cuando haces clic. Esto añade una capa extra de seguridad, asegurando que los enlaces maliciosos se detecten lo antes posible, antes incluso de que puedas abrir el mensaje. 

Uno de los retos más complicados para cualquier sistema de filtrado de correo es lo que hacen los atacantes con los archivos protegidos con contraseña. Es una táctica muy común: te mandan un adjunto cifrado y en el mismo correo te dicen la contraseña, con alguna excusa para que parezca normal. Es el típico truco de “esto es confidencial, por eso va protegido”, lo que de hecho suele aumentar las ganas de abrirlo (como decía el ejército, la mejor forma de que alguien lea un documento es ponerle “secreto” en la portada). El problema es que muchos filtros de correo no pueden abrir ni analizar estos archivos, así que se les escapan. Pero con nuestra función de Análisis de Archivos Cifrados, el motor de seguridad es capaz de leer el cuerpo del correo, identificar si hay algo que pueda ser una contraseña y probar a usarlo para abrir el archivo. Si lo consigue, lo escanea como cualquier otro adjunto para ver si hay algo malicioso. 

Además, al combinar las tecnologías avanzadas de filtrado de Vade y Hornetsecurity, también incorporamos detección basada en DMARC, que une tres protocolos esenciales para proteger el correo: SPF, DKIM y DMARC propiamente dicho. Por si necesitas refrescar: SPF (Sender Policy Framework) le dice a los servidores de correo qué IPs o servicios están autorizados a enviar correos desde tu dominio; DKIM (DomainKeys Identified Mail) firma los correos con una clave digital para que se pueda comprobar que no han sido manipulados durante el envío; y DMARC combina ambas y le indica al servidor receptor qué hacer si un mensaje no pasa las pruebas de SPF o DKIM. Si todas las organizaciones usaran correctamente estos tres protocolos DNS, detectar spam y phishing sería muchísimo más fácil. Por eso, esta integración lo incluye todo y refuerza la seguridad desde la base. 

En relación con los registros DNS que hemos mencionado, también entra en juego la DANE (siglas de DNS-Based Authentication of Named Entities) basada en DNS. Estos tres protocolos (SPF, DKIM y DMARC) son clave para verificar la legitimidad de los correos electrónicos, y por eso mismo los ciberdelincuentes siempre están buscando formas de saltárselos. Una de sus tácticas consiste en suplantar registros DNS, engañando a los servidores para que respondan con información manipulada que en realidad proviene de los atacantes. Aquí es donde DANE marca la diferencia: vincula los certificados digitales directamente a los registros DNS del dominio y funciona junto a DNSSEC (las extensiones de seguridad para DNS), evitando que esos registros puedan ser modificados por terceros. La seguridad del correo saliente también se refuerza con firmas DKIM mejoradas y el uso de TLS 1.3 (la última versión de Seguridad de la Capa de Transporte), lo que garantiza que los mensajes que envías sean seguros, auténticos y fiables. 

Ventajas para los clientes de Hornetsecurity 

Gracias a la integración con Vade, los clientes de Hornetsecurity ahora disfrutan de nuevas mejoras en filtrado de correo electrónico que marcan la diferencia. 

Por un lado, el potente motor de análisis de Vade, al operar a gran escala, mejora notablemente la detección de correos clasificados como Info-Mail (promociones, newsletters, etc.). Y no solo eso: ofrece un nivel de detalle mucho más preciso, lo que permite a los administradores afinar aún más los ajustes según los veredictos del sistema. 

La detección en tiempo real también da un gran salto. ¿La razón? El sistema analiza entre 60.000 y 90.000 millones de puntos de datos al día, repartidos entre más de 1.400 millones de buzones de correo (sí, has leído bien). En ciberseguridad moderna, el filtrado del correo electrónico es un problema de big data y machine learning. Y aquí, cuanto más grande sea el volumen de datos analizados, mejores serán los resultados. Así de simple. 

Otra gran mejora es la automatización de la eliminación ex post. Antes, si algún correo malicioso se colaba tras el primer filtrado, los administradores podían marcarlo y eliminarlo manualmente. Ahora, esta tarea se hace de forma totalmente automática, lo que mejora muchísimo la eficiencia y el tiempo de respuesta. 

Y como los atacantes no paran de reinventarse, una de sus tácticas favoritas es usar imágenes con texto para evitar que los motores de análisis las detecten. Frente a eso, la nueva detección de phishing ahora incluye visión artificial basada en IA, capaz de identificar este tipo de amenazas con gran precisión. Por último, se suma también el uso de aprendizaje automático para analizar URLs en tiempo real, tanto de forma asíncrona como justo en el momento en que haces clic, ya sea dentro de correos o en archivos adjuntos. 

Conclusión

El filtrado de correo electrónico es uno de los campos más complejos y en constante evolución dentro de la ciberseguridad. Por eso, toda organización debería dejar esta tarea en manos de especialistas. Y no de cualquiera, sino de expertos que trabajen a gran escala, capaces de analizar señales de correo de todo internet y detectar nuevos ataques casi en tiempo real. La combinación de las tecnologías avanzadas de Vade y Hornetsecurity une lo mejor de ambos mundos en una única solución potente, sencilla de configurar, con una carga administrativa mínima y un nivel de protección superior.