El Costo Oculto del Email Barato (UOL/Locaweb)

TL;DR Los proveedores de hosting comparten IPs SMTP entre miles de clientes — un solo vecino spam destruye su entregabilidad. Sin DKIM, DMARC y wipe remoto, el costo no es R$ 15/mes; es la próxima filtración de base de clientes desde el celular de un ex-empleado.

En el ambiente corporativo, el email no es una "commodity". Es el sistema nervioso central de la empresa. Tratarlo como tal exige abandonar proveedores de hosting web (UOL, Locaweb, KingHost) y migrar a infraestructuras de colaboración dedicadas.

En este artículo técnico, disecamos las capas de red, autenticación y compliance que diferencian un servicio de R$ 15 de una suite Enterprise.

1. Reputación de IP y Blacklists

El mayor cuello de botella técnico de los proveedores compartidos es el concepto del "Vecino Ruidoso" (Noisy Neighbor).

Al contratar un plan "Hosting + Email", su dominio es alojado en un servidor SMTP con una dirección IP fija (ej.: 200.147.x.x). Esa misma IP es compartida con otros 5.000 clientes del proveedor.

⚠️ Contaminación cruzada Si apenas UNO de esos 5.000 clientes tiene una máquina infectada enviando Spam o Phishing, la IP del servidor entero entra en listas de bloqueo globales (Spamhaus, Barracuda). Sus emails legítimos son rechazados sin que usted lo sepa.

Instantáneamente, sus emails legítimos para clientes importantes (que usan filtros serios como Microsoft 365 o Google) son rechazados en el borde. Usted recibe el temido error:

550 5.7.1 Service unavailable; client [200.x.x.x] blocked using Spamhaus XBL

En Google Workspace, la infraestructura usa pools de IPs dinámicas con reputación "High Trust". Si una IP se ve comprometida, el tráfico se re-enruta automáticamente, garantizando el 99,9% de entregabilidad.

2. Autenticación: SPF, DKIM y DMARC

La mayoría de los proveedores básicos configura solo SPF (Sender Policy Framework). Eso es insuficiente para 2026.

Sin la implementación correcta de DKIM (DomainKeys Identified Mail) y DMARC, sus emails son vulnerables al Spoofing. Un atacante puede enviar un email fingiendo ser su CEO (ceo@suempresa.com.br) pidiendo una transferencia, y el servidor del destinatario no tendrá cómo validar la firma criptográfica.

Protocolo	Proveedor Básico (UOL/Locaweb)	Google Workspace
DKIM	Manual (muchas veces ausente)	Nativo (firma RSA-2048)
DMARC	No soportado	Panel de informes de rechazo
MTA-STS	No	Sí (TLS forzado en tránsito)
BIMI (logo verificado)	No	Sí, con VMC

3. Shadow IT y Filtración en el Despido

El escenario más común de filtración de datos en PYMEs ocurre al desvincular colaboradores.

❌ Proveedor común

El vendedor usa Outlook en el celular personal vía IMAP.
Es despedido.
TI cambia la contraseña en el panel del hosting.
Los 10 GB de emails (cartera, propuestas) ya fueron descargados localmente. El cambio de contraseña bloquea nuevos accesos — no borra el historial.

✅ Workspace + Endpoint Management

Admin ejecuta "Wipe Account" en la consola.
Se envía señal al Android/iOS.
Solo los datos corporativos son borrados.
Las fotos personales del ex-empleado permanecen intactas — cero riesgo laboral.

4. Auditoría Forense (Google Vault)

En litigios laborales, el juez puede solicitar pruebas de comunicación. Si un empleado borró emails comprometedores de la papelera antes de irse, en un proveedor común esos datos fueron sobrescritos.

Con Google Vault (planes Business Plus y Enterprise), la empresa define reglas de retención (ej.: "Retener todos los emails por 5 años"). Aunque el usuario borre y vacíe la papelera, TI puede recuperar y exportar el contenido con validez jurídica (eDiscovery).

Conclusión Técnica

La elección de la infraestructura de email no debe guiarse por el "costo por buzón", sino por el "costo del riesgo mitigado".

Auditoría de email corporativo

¿Su dominio está en blacklist y nadie le avisó?

Ejecutamos auditoría completa: reputación de IP, SPF/DKIM/DMARC, filtración en endpoints. Informe en 5 días hábiles.

Solicitar auditoría → Riesgos de migración Exchange