Guía NIS2 · 7 min
Suplantación de proveedor y fraude del CEO (BEC): suplantación de correo, DMARC y NIS2
Uno de los ataques a la cadena de suministro más comunes no necesita ninguna brecha: un atacante envía un correo que parece venir de un proveedor (o de usted) y desvía un pago o roba datos. Es el fraude del CEO (BEC) y la suplantación de proveedor, posibilitados por una autenticación de correo débil que cualquiera puede comprobar desde fuera. Bajo NIS2 usted es responsable de la seguridad de sus relaciones con proveedores (artículo 21(2)(d)), y la suplantabilidad del correo es una de las señales más claras y baratas de corregir. Esta guía explica cómo funciona el ataque, los ajustes SPF, DKIM y DMARC que lo detienen, y cómo encaja en NIS2.
Puntos clave
- • El BEC y la suplantación de proveedor explotan una autenticación de correo débil, no una brecha técnica.
- • SPF, DKIM y una política DMARC aplicada bloquean el correo suplantado, y son comprobables públicamente.
- • Bajo NIS2 esto forma parte de la seguridad de la relación con proveedores y le protege a usted y a ellos.
Cómo funcionan la suplantación de proveedor y el BEC
El atacante no necesita hackear a nadie. Si un dominio no aplica autenticación de correo, puede enviar mensajes que parezcan venir de él: una factura falsa con nuevos datos bancarios 'de su proveedor', o una solicitud urgente 'de su director general'. El destinatario confía en el remitente conocido y actúa. Como proveedores y clientes se escriben constantemente, un solo dominio débil en la cadena es el problema de todos. El artículo 21(2)(d) de NIS2 hace suya la gestión de este riesgo de relación.
Fuente oficial: Directiva NIS2 en EUR-Lex — artículo 21(2) (medidas de seguridad, incl. comunicaciones seguras) y 21(2)(d) (seguridad de la cadena de suministro).
Los controles que detienen la suplantación
Son estándar, gratuitos de desplegar en el DNS y verificables públicamente. Corresponden al mínimo de comunicaciones seguras del artículo 21(2) y a cómo funciona realmente el ataque.
SPF (Sender Policy Framework)
Publica qué servidores pueden enviar correo por su dominio. Sin él, o con un registro demasiado permisivo, los remitentes suplantados pasan sin control. Publique SPF y manténgalo exacto a medida que añade servicios de correo.
DKIM (DomainKeys Identified Mail)
Firma criptográficamente su correo saliente para que los receptores puedan verificar que no fue alterado y realmente vino de su dominio. Habilite DKIM en cada servicio que envíe en su nombre.
DMARC con una política aplicada
Vincula SPF y DKIM a su dirección De visible e indica a los receptores qué hacer con el correo que falla. Una política p=none solo monitoriza; pase a p=quarantine o p=reject para bloquear de verdad la suplantación.
Informes DMARC (rua) y monitorización
Los informes agregados muestran quién envía en nombre de su dominio, para que encuentre sus remitentes legítimos antes de aplicar la política y detecte abusos después. Dirija los informes a donde se lean.
MTA-STS e informes TLS (endurecimiento extra)
Fuerce la entrega cifrada a su dominio y reciba aviso cuando falle, cerrando una vía de degradación que un atacante podría usar para interceptar el correo.
Vea cómo puntúan realmente sus proveedores
7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera
Por qué importa bajo NIS2, para usted y sus proveedores
Una autenticación de correo aplicada protege a sus clientes y socios de ser estafados en su nombre, y le protege a usted de la factura suplantada de un proveedor. Como es visible desde fuera, es justo la señal que un cliente comprueba al evaluarle como proveedor bajo NIS2, y lo primero que sondea un atacante. La monitorización continua de su propio dominio y sus proveedores hace aflorar una política DMARC débil o a la deriva (por ejemplo aún en p=none) y la asocia al deber de cadena de suministro del artículo 21(2)(d), para corregirla antes de que se explote.
Errores comunes
- ✕Publicar DMARC en p=none y no pasar nunca a la aplicación, de modo que nada se bloquea de verdad.
- ✕SPF o DKIM en el dominio principal pero no en subdominios ni en servicios de envío de terceros.
- ✕Suponer que el correo de factura de un proveedor es auténtico porque el nombre del remitente parece correcto.
- ✕Ningún proceso para verificar un pago o un cambio de datos bancarios por un segundo canal.
No tiene que leer los informes usted mismo
Los informes agregados DMARC son archivos XML diarios, y nadie quiere leerlos a mano. norppa.io los recibe por usted en una dirección de informes única, los convierte en analítica de tasa de aprobación y un inventario de remitentes, y eleva las fuentes de suplantación activas como hallazgos priorizados. Los informes TLS-RPT se tratan igual. Alojado en la UE, solo datos agregados, incluido en todos los planes.
Vea cómo su postura de correo se asocia a NIS2
Un informe de proveedor de ejemplo (hallazgos, mapeo NIS2 y evidencias) en dos minutos.
7 días gratuitos · sin tarjeta de crédito · cancele cuando quiera
Guías relacionadas
Cómo cumplir NIS2: una hoja de ruta paso a paso
Los pasos hacia el cumplimiento de NIS2 en orden: confirmar el ámbito, registrarse, responsabilidad de la dirección (art. 20), las medidas del art. 21.2, seguridad de la cadena de suministro, notificación de incidentes (art. 23) y garantía continua y evidenciada.
¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño
Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.
NIS2 para proveedores: usted no está designado, pero sus clientes sí
La mayoría de las empresas nunca son designadas conforme a NIS2, pero muchas deben cumplirla igualmente. Cómo el deber de cadena de suministro de un cliente afectado (artículo 21, apartado 2, letra d) desciende hasta usted, qué pedirá y cómo responder de forma creíble.
NIS2 y el requisito de la cadena de suministro: qué significa en la práctica
NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.
Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado
Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.
NIS2 Art. 21(2): lista de verificación de seguridad para proveedores
Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.
Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita
Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.
Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados
Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.
NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber
Qué espera NIS2 del órgano de dirección: deberes de aprobación y supervisión, responsabilidad personal (art. 20), formación, KPI de reporte al consejo y sanciones del art. 34.
ISO 27001 y NIS2: lo que su SGSI ya cubre, y las brechas que no
Si tiene ISO 27001: qué se traslada a NIS2 y qué no (notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro) y cómo cerrar la brecha.
Multas y sanciones NIS2: cuánto, quién es responsable y cómo evitarlas
Qué son las sanciones NIS2: los topes del artículo 34 (10 M€ / 2 % para entidades esenciales, 7 M€ / 1,4 % para importantes), la responsabilidad personal de la dirección (art. 20, art. 32), las medidas no pecuniarias y cómo evitarlas.
NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica
En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.
RGPD vs NIS2: solapamiento, diferencias y cuándo un incidente activa ambos
En qué se diferencian y solapan RGPD y NIS2, cuándo un incidente activa ambos (RGPD art. 33 72 h a la autoridad de control vs NIS2 art. 23 24 h/72 h/un mes al CSIRT), la cooperación del art. 35 y la prohibición de doble multa, y qué significan ambos para la diligencia de proveedores.
El Reglamento de Ciberresiliencia de la UE (CRA): ámbito, calendario y qué significa para su cadena de suministro
Qué exige el CRA, sus fechas escalonadas (en vigor 2024, notificación sept 2026, plena conformidad dic 2027), a quién se aplica y por qué el SaaS puro a menudo no, cómo complementa a NIS2 y qué significa para la contratación y la diligencia de proveedores.
El Reglamento de IA de la UE: niveles de riesgo, calendario y qué deben hacer los responsables del despliegue (artículo 26)
Qué exige el Reglamento de IA de la UE: los niveles de riesgo, las fechas escalonadas (en vigor 2024, prohibido feb 2025, GPAI ago 2025, alto riesgo ago 2026), las obligaciones del art. 26 del responsable del despliegue, cómo se suma a NIS2 y el RGPD, y qué significa para la adquisición de IA.
Estado de transposición de NIS2: en qué países de la UE está en vigor
Cuáles de los 27 Estados miembros de la UE han incorporado NIS2 a la ley nacional y cuáles aún la ultiman, y por qué las diferencias alcanzan su cadena de suministro igualmente.
Cláusulas contractuales para proveedores NIS2: qué exigir a sus proveedores
Las cláusulas que hacen exigible la obligación de cadena de suministro de NIS2: mínimo de seguridad, ventana de notificación, derechos de prueba y auditoría, traslación a subcontratistas y verificación continua.
Su postura de seguridad externa bajo NIS2: lo que ven proveedores y clientes
Las señales públicamente visibles que los clientes evalúan bajo el art. 21(2)(d) de NIS2: suplantación de correo (SPF/DMARC), higiene de certificados, sistemas expuestos a internet y credenciales filtradas, por qué importa cada una y cómo comprobarlas y corregirlas.
¿Sus proveedores usan IA? El riesgo de proveedores de NIS2 y el Reglamento de IA de la UE
Los proveedores integran cada vez más IA en los servicios de los que depende, y sus proveedores también. Dónde la IA de proveedores y de la enésima parte crea riesgo bajo el art. 21(2)(d) de NIS2 y el Reglamento de IA, qué evaluar y cómo mantener la visibilidad.
Última revisión: 19 de junio de 2026
Esta guía es información general sobre el Derecho de la UE, no asesoramiento jurídico. NIS2 entra en vigor a través de la ley de transposición nacional de cada Estado miembro de la UE, que puede diferir en los detalles. Verifique las obligaciones que le aplican con su autoridad competente o asesor jurídico.