Didit
Registra'tDemostració
Verificació de correu per prevenir el frau (guia 2025)
October 7, 2025

Verificació de correu per prevenir el frau (guia 2025)

#network
#Identity

Key takeaways (TL; DR):
 

El correu electrònic continua sent el principal vector de frau el 2025.

Els dominis “hiperdisposable” creixen i redueixen l’eficàcia dels controls clàssics.

La verificació OTP retalla el risc de multicompte i ATO des del registre.

Didit permet integrar la verificació de correu en minuts amb Workflows o API.

 


 

El correu és l’identificador més utilitzat a internet… i també el més atacat. El 2024, l’FBI va registrar 16,6 B $ en pèrdues per ciberdelictes (+33% interanual), amb el correu al centre de molts incidents (font). A això s’hi afegeixen els dominis “hiperdisposable” —que neixen i caduquen en dies— i ja representen una part substancial dels intents d’alta: aproximadament el 46% dels dominis d’un sol ús d’alt risc són hiperdisposable (AtData). La conclusió és clara: si el teu negoci viu del registre i la confiança, verificar el correu de manera moderna—ràpida, mesurable i consistent—és imprescindible per protegir el creixement i les mètriques.

Si lideres compliment normatiu o dirigeixes una fintech/marketplace, aquesta guia t’ajudarà a reforçar l’alta i els canvis de credencials sense trencar la conversió: què mirar, quan verificar i com fer-ho amb una experiència neta.

Per què el correu és avui la primera línia de defensa contra el frau?

El correu electrònic apareix en tots els moments crítics del viatge del client: alta, recuperació de compte, canvi de credencials, avisos de seguretat i fluxos transaccionals. Si el correu es verifica aviat (durant el registre) i de forma periòdica (sobretot quan canvien els perfils de risc), la superfície d’atac es redueix dràsticament. A més, comptar amb correus verificats millora l’estratègia d’email màrqueting: augmenta l’entregabilitat, redueix rebot i aporta millor traçabilitat.

Panorama 2024–2025: atacs, pèrdues i vectors més comuns

Els informes recents destaquen principalment tres vectors fraudulents vinculats al correu:

  • Phishing i spoofing. Activitat a l’alça, amb campanyes que usen codis QR maliciosos o pàgines de login falses.
  • Compromís de correu corporatiu (Business Email Compromise, BEC). Els atacants es fan passar per directius o representants legals per robar fons o informació. L’IC3 xifra les pèrdues de BEC en ~2,77 B $.
  • Bretxes d’informació personal. Moltes deriven d’un correu compromès i van causar ~1,45 B $ en pèrdues.

L’impacte en compliment i risc operatiu

La verificació de correu reforça els controls KYC (Know Your Customer) en demostrar que la persona que intenta verificar-se controla el compte declarat, reduint altes amb dades prestades, robades o incompletes. També potencia l’autenticació basada en risc: si el context és anòmal, es pot sol·licitar un pas addicional; a més, millora la traçabilitat per a auditories i revisions. L’evidència avala que adoptar aquests controls redueix significativament el compromís de comptes.

Verificació vs validació: diferències que impacten de debò en el risc

Abans d’entrar en detall, un matís important: l’OTP per correu comprova la propietat del bústia en aquell moment, però no distingeix per si mateix si l’adreça és d’un sol ús o hiperdisposable. Per això funciona millor quan es combina amb validació i senyals de reputació (format, MX/SMTP, edat/categoria del domini, exposició a bretxes). Amb aquest context, la verificació amb OTP aporta rapidesa i certesa d’ownership; la validació millora la higiene del canal i ajuda a decidir quan demanar l’OTP.

Quan parlem de controls de seguretat sobre el correu, hi ha dos objectius complementaris:

  • Verificació de propietat: mitjançant l’enviament d’un codi OTP, s’assegura que la persona controla la safata d’entrada. Això impacta directament l’Account Takeover i els fraus de multicompte, alhora que evita que un correu robat es converteixi en canal de recuperació per a futures intrusions.
  • Validació i entregabilitat: comprova formats i protocols per garantir la salut del bústia de destinació. Així es filtren correus inexistents o inactius que podrien usar-se per manipular mètriques.

Aquest enfocament multicapa permet a les organitzacions garantir la propietat d’un compte de correu en segons gràcies als codis OTP, mentre milloren l’entregabilitat amb un bústia saludable.

Correus d’un sol ús i “hiperdisposable”

Un correu d’un sol ús (o temporal) és un bústia de vida curta (minuts, hores o pocs dies), pensat per registrar-se sense exposar el correu real. Hi ha serveis que generen adreces a l’instant i alguns fins i tot mostren els missatges en públic. El resultat? Poden rebre correus de verificació i desaparèixer després.

La tendència del 2025 parla de correus hiperdisposable, amb dominis que neixen i caduquen a gran velocitat. Les dades indiquen que prop del 46% dels dominis d’un sol ús d’alt risc ja són hiperdisposable, cosa que multiplica la rotació i complica qualsevol defensa basada només en llistes.

Els problemes que generen aquests correus

  • Comptes falsos a escala. Permeten crear granges de comptes per abusos de promocions, scraping o spam intern. Cada adreça viu el just per superar un registre bàsic i “morir”.
  • Evasió de controls estàtics. La rotació ràpida de dominis hiperdisposable deixa sense efecte les llistes de bloqueig desactualitzades.
  • Entregabilitat i mètriques distorsionades. Taxes de rebot elevades, reputació d’spam i altres indicadors que danyen l’entregabilitat de notificacions crítiques (inclòs l’OTP).

La verificació OTP serveix per a correus temporals?

Sí… però amb límits. L’OTP per correu verifica la propietat del bústia en aquell instant i, per si sol, no distingeix si l’adreça és d’un sol ús o legítima. Tot i així, la verificació OTP és clau en el customer journey i contribueix a la mitigació quan es combina amb senyals de risc (validació, reputació, detecció de correus d’un sol ús) i amb rutes adaptatives.

Re-verificació basada en esdeveniments

No cal re-verificar tots els usuaris sempre: convé fer-ho quan el context canvia i/o el risc puja. La idea és aplicar un pas extra només en moments crítics—per exemple, retirades o canvis de contrasenya—utilitzant factors com verificació per correu o autenticació biomètrica. Així es blinden els punts sensibles sense penalitzar la base d’usuaris.

results-dashboard-mail-verification.webp

Com funciona Didit: verificació de correu

La verificació de correu de Didit confirma la propietat d’una adreça mitjançant un codi d’un sol ús (OTP) enviat a la safata d’entrada de l’usuari. Pot usar-se dins de fluxos de verificació d’identitat o com a control independent, i s’integra tant amb Workflows sense codi com via API.

Els resultats es mostren mitjançant webhooks i un dashboard amb estats i motius de decisió, cosa que facilita les auditories.

Més informació a la documentació tècnica de verificació de correu de Didit.

Flux bàsic (pas a pas)

  1. Inicia la verificació. Crea una sessió de verificació (des del Workflow o via API) i envia a l’usuari l’enllaç/QR per completar el pas de correu.
  2. Envia i valida el codi OTP. L’usuari rep un codi d’un sol ús, l’introdueix dins d’una finestra temporitzada i s’aprova o es denega segons el resultat.
  3. Rep el resultat. Es notifica amb webhooks i el dashboard reflecteix l’estat de la verificació. Si forma part d’un flux més ampli, decideix els passos següents.

Integració: Workflows vs API

  • Enllaços de verificació (Workflows no-code). Ideal per llançar en minuts, orquestrar passos i definir rutes per a perfils de risc diferents.
  • Integració via API. Ofereix un control més flexible de la verificació de correus electrònics.

Quan fer la verificació de correu de Didit?

La verificació es pot fer en diverses etapes del viatge del client:

  • Onboarding: prova la propietat amb baixa fricció, abans de demanar atributs més sensibles.
  • Canvis de credencials: envia un OTP per correu per canviar detalls del compte.
  • Operacions crítiques: retirades, pagaments o canvis de mètode de cobrament.
  • Recuperació de comptes: tancament del bucle de manera segura si el canal principal és el correu.

Conclusió

El 2025, el correu no és només un canal de comunicació: és un punt crític de control. Implementar verificacions OTP intel·ligents permet tallar el frau abans que passi i reforçar la confiança digital. Amb Didit, integrar la verificació de correu és qüestió de minuts: Workflows o API, resultats i motius via webhooks i dashboard, i traçabilitat llesta per a auditories.

Verificació de correu amb OTP per a cada etapa del cicle de vida

Crea el teu propi flux de verificació per confirmar la propietat del correu i aturar comptes falsos, abús de promocions i ATO. Desplega-ho en minuts amb els nostres Workflows No-Code o guanya flexibilitat amb la nostra API preparada per a producció. Comença avui a validar els correus dels teus usuaris amb fricció gairebé nul·la.


Preguntes freqüents

Verificació de correu — dubtes clau per a producte i compliment

La verificació de correu és el procés de confirmar que una adreça existeix, està activa i pertany a qui diu utilitzar-la. Pot incloure comprovacions tècniques i, quan escau, un codi d’un sol ús (OTP) per demostrar control sobre la safata d’entrada.
El sistema envia un OTP al correu facilitat i l’usuari l’ha d’introduir per continuar. En segon pla, Didit avalua senyals tècniques com el format, DNS/MX, existència del bústia i reputació de domini, a més de detectar correus d’un sol ús o temporals. Aquestes comprovacions ajuden a blocar el frau des del primer pas del registre.
Sí. La majoria de persones està familiaritzada amb confirmar el correu i el pas és ràpid. Per al negoci, redueix rebots i assegura que només usuaris reals completen l’alta.
La validació comprova que el correu és entregable i tècnicament correcte; la verificació confirma que l’usuari controla aquell correu en aquell moment (per exemple, amb un OTP). Juntes, milloren la higiene del canal i la seguretat del procés.
Evita altes amb correus inexistents o inactius, dificulta el multicompte i talla molts intents de presa de compte exigint control real del bústia. En escenaris crítics (canvi de contrasenya, recuperació, operació d’alt valor) afegeix una capa de protecció addicional.
No. La verificació de correu és una primera línia de defensa. S’ha de combinar amb altres controls quan el risc ho exigeix, com la verificació documental, biometria, anàlisi de dispositiu o llistes AML.
Banca i fintech per compliment i risc, e-commerce i marketplaces per abús de promocions i granges de comptes, SaaS per higiene i activació, i qualsevol plataforma amb processos d’alta massius o esdeveniments sensibles.
Cerca verificació en temps real, detecció de correus d’un sol ús, bones senyals de reputació, integració senzilla (Workflows i API), motius de decisió per a auditoria i capacitat d’orquestrar step-up quan el risc augmenta.
Sí. Assegura que els missatges arriben a qui han d’arribar, millora mètriques de campanyes i ajuda a mantenir la reputació del domini d’enviament sense incórrer en costos per rebots.
De manera contínua en l’alta i abans de campanyes rellevants. A més, convé depurar periòdicament per retirar adreces inactives i reduir rebots.
Més entregabilitat, menys rebots, millor reputació de remitent, estalvi en costos d’enviament i més engagement en dirigir-te a usuaris reals i actius.
El principal és triar un proveïdor que respecti la privadesa i la normativa aplicable. També convé evitar verificacions innecessàries que encarixin el procés i definir polítiques clares d’expiració de l’OTP, reintents i límits d’ús.

Verificació de correu per prevenir el frau (guia 2025)

Didit locker animation