Barracuda Email Gateway Defense: arquitectura, configuración DNS y alternativas

Q: ¿Qué include SPF usar con Barracuda?

El include SPF depende de tu región. En Estados Unidos: include:spf.ess.barracudanetworks.com . En Alemania/Europa: include:spf.ess.de.barracudanetworks.com . En el Reino Unido: include:spf.ess.uk.barracudanetworks.com . En Canadá: include:spf.ess.ca.barracudanetworks.com . En Australia: include:spf.ess.au.barracudanetworks.com . En la India: include:spf.ess.in.barracudanetworks.com . Barracuda recomienda terminar el registro por -all . Vigila el número total de lookups DNS para mantenerte por debajo del límite de 10 impuesto por la RFC 7208.

Por CaptainDNS
Publicado el 17 de junio de 2026

Ilustración de Barracuda Email Gateway Defense, pasarela de email cloud para pymes y MSP

TL;DR

🛡️ Barracuda Email Gateway Defense (EGD) es el SEG cloud históricamente orientado a pymes y MSP, con más de 200 000 clientes en todo el mundo. Se intercala delante de Microsoft 365, Google Workspace o Exchange mediante redirección MX y filtra el 100 % del tráfico entrante.
🔧 Impacto DNS específico: MX en formato <identificador-cliente>.ess.barracudanetworks.com (prioridad 99 para la fase de prueba, luego conmutación), include SPF regional (spf.ess.barracudanetworks.com en US, variantes DE/UK/CA/AU/IN), DKIM firmado en consola y DMARC que hay que pilotar hacia p=reject.
⚠️ Distinción de producto crucial: la CVE-2023-2868 (CVSS 9.8, explotada por UNC4841) afectaba al appliance ESG legacy, no al servicio cloud EGD. No confundas las dos gamas: Barracuda recomienda la migración de ESG a EGD.
📊 Posicionamiento: Visionario en el Magic Quadrant de Gartner Email Security por 2.º año consecutivo (1 de diciembre de 2025), a distinguir de los actores posicionados como Líderes en el cuadrante 2025. Adquirido por KKR en 2022 (~4000 M$) tras Thoma Bravo. Objetivo: SMB, mid-market y MSP multi-tenant.

Si eres una pyme, una administración pública, un despacho o un MSP que gestiona varias decenas de clientes, hay muchas probabilidades de que ya te hayas cruzado con Barracuda. El editor californiano reivindica más de 200 000 clientes y se ha impuesto como uno de los proveedores de seguridad de email más desplegados en el segmento fuera de las grandes cuentas. Donde Proofpoint domina el Fortune 100 y Mimecast las empresas medianas multi-necesidad, Barracuda apuesta por otra cosa: cloud fácil de desplegar, un programa MSP sólido y una tarifa pensada para organizaciones que no tienen un equipo SOC dedicado.

Pero el nombre «Barracuda» recubre en realidad dos productos muy diferentes que se confunden constantemente. Por un lado, Email Gateway Defense (EGD), el SEG cloud del que trata este artículo, alojado bajo *.ess.barracudanetworks.com. Por otro, Email Security Gateway (ESG), el appliance físico o virtual legacy, el que fue noticia en 2023 con una vulnerabilidad crítica explotada por un actor estatal. Esta confusión no es inocente: lleva con frecuencia a los responsables a descartar Barracuda a raíz de un incidente que no afectaba al producto cloud que estaban considerando.

El reto no tiene nada de teórico. El 2025 Email Threats Report de Barracuda, construido sobre cerca de 670 millones de emails analizados, cifra en un 24 % la proporción de mensajes maliciosos o no deseados, señala que un QR code de phishing se esconde en el 68 % de los PDF trampa y en el 83 % de los documentos Office infectados, y constata que el 47 % de los dominios de email todavía no han configurado DMARC. Filtrar el flujo entrante no sirve de nada si tu dominio sigue siendo suplantable por falta de autenticación: verifica primero en qué punto estás con el verificador de sintaxis DMARC de CaptainDNS.

En CaptainDNS, analizamos Barracuda desde el ángulo que nos ocupa: el impacto sobre tus registros DNS y tu autenticación de email. Desplegar EGD no es marcar una casilla de seguridad. Es redirigir tus MX hacia ess.barracudanetworks.com, ajustar tu SPF con el include regional correcto, publicar tu clave DKIM y pilotar tu DMARC. Esta guía lo cubre todo: arquitectura, configuración DNS detallada con los valores reales, método de detección de un dominio detrás de Barracuda, distinción EGD/ESG, tratamiento factual de la CVE-2023-2868, comparativa y plan de acción.

📌 ¿Qué es la pasarela de email cloud de Barracuda?

Barracuda Email Gateway Defense es un Secure Email Gateway cloud que filtra el 100 % del tráfico de email entrante antes de que alcance tu servidor de correo. Rediriges tus registros MX hacia la infraestructura Barracuda, que inspecciona cada mensaje y luego transfiere únicamente el tráfico limpio hacia Microsoft 365, Google Workspace o Exchange.

Para las bases de un SEG (modelo gateway, redirección MX, distinción con las soluciones ICES API-native), te remitimos a nuestro artículo completo sobre Mimecast, que sienta estos fundamentos en detalle. Lo que debes recordar: un SEG se intercala entre Internet y tu servidor de correo, ve la totalidad del flujo entrante y bloquea las amenazas en pre-entrega en lugar de a posteriori.

Esquema del flujo de email mediante Barracuda Email Gateway Defense

Donde Barracuda exige vigilancia es en la nomenclatura de producto. Tres nombres aparecen constantemente en la documentación, y mezclarlos conduce a errores de configuración costosos.

Email Gateway Defense (EGD) es el servicio SEG cloud, antiguamente comercializado bajo los nombres Barracuda Email Security Service (BESS) o «Email Security Essentials». Es el tema de este artículo. Todo está alojado en Barracuda, bajo el dominio ess.barracudanetworks.com. Ningún appliance que gestionar, ningún parche que aplicar del lado del cliente. El servicio vive en datacenters regionales operados por Barracuda.

Email Security Gateway (ESG) es una gama totalmente distinta: un appliance físico (hardware en rack) o virtual, desplegado on-premise o en el cloud del cliente, que la organización administra ella misma. Es un producto legacy, en fin de ciclo comercial, y es esta gama la que sufrió la CVE-2023-2868. Barracuda impulsa activamente la migración de los clientes ESG a EGD mediante su programa «ESG Elevate».

Barracuda Email Protection es la suite que lo engloba. Se declina en tres planes: Advanced, Premium y Premium Plus. EGD constituye el ladrillo de base. Los planes superiores añaden módulos como la protección contra el fraude de dominio (DMARC avanzado), Impersonation Protection, la concienciación de usuarios (Security Awareness Training), el Zero Trust Access y la copia de seguridad Cloud-to-Cloud Backup.

Verifica tus registros de email

Probar tu SPF Verificar tu DMARC

🏢 Barracuda: la empresa en resumen

Un fabricante de appliances anti-spam de los años 2000 convertido en actor cloud con 200 000 clientes bajo el paraguas de KKR: el recorrido resume veinte años de giros y dos compras por parte de fondos de private equity.

Barracuda Networks fue fundada en 2003 en Campbell, California. La empresa se dio a conocer primero por su Spam Firewall, un appliance de hardware que democratizaba el filtrado anti-spam para las pymes en una época en la que las soluciones competidoras eran caras y complejas. Este modelo «appliance simple, precio accesible» estructuró el ADN del editor durante una década: hardware fácil de desplegar para organizaciones sin un gran equipo de IT.

El giro cloud llega progresivamente en la década de 2010 con el lanzamiento del Barracuda Email Security Service, antecesor directo del actual Email Gateway Defense. En lugar de vender una caja para enchufar en el rack, Barracuda aloja el filtrado en sus propios datacenters. El cliente simplemente redirige sus MX. Este giro acompaña la migración general del mercado hacia Microsoft 365 y Google Workspace, donde el appliance on-premise ya no tiene sentido.

En el plano capitalístico, Barracuda ha conocido dos operaciones mayores. Thoma Bravo compra la empresa en 2017 por unos 1600 millones de dólares, retirándola de la cotización. Después, en 2022, KKR adquiere Barracuda de manos de Thoma Bravo por una valoración de unos 4000 millones de dólares, es decir, más del doble en cinco años. Este paso bajo KKR ha acompañado el reposicionamiento de Barracuda como plataforma de ciberseguridad orientada al mid-market y los MSP, más allá del correo electrónico.

Hoy, Barracuda reivindica más de 200 000 clientes en todo el mundo, con una fuerte concentración en las pymes, las empresas medianas y un ecosistema MSP particularmente desarrollado. El programa de partners MSP permite a un proveedor gestionar la seguridad de email de decenas de clientes desde una consola multi-tenant, con remediación en masa y facturación por uso. Es uno de los argumentos más diferenciadores de Barracuda frente a competidores históricamente pensados para el cliente final único.

En el plano de los analistas, Barracuda figura como Visionario en el Magic Quadrant de Gartner Email Security por 2.º año consecutivo (edición del 1 de diciembre de 2025). El matiz cuenta: un Visionario tiene una visión de producto reconocida, pero una capacidad de ejecución considerada por debajo de los actores posicionados como Líderes en ese mismo cuadrante (Proofpoint, Mimecast y Microsoft, entre otros). Barracuda no juega, pues, en la liga de Proofpoint en threat intelligence de élite. En el plano de las opiniones de clientes, consigue de todos modos 4,6/5 basado en 439 opiniones en Gartner Peer Insights para el mercado Email Security Platforms. En la relación simplicidad/precio/cobertura, mantiene una posición sólida para el segmento al que apunta.

⚙️ Arquitectura técnica: cómo filtra Barracuda tus emails

Barracuda filtra tus emails en varias etapas encadenadas antes de la entrega. Cada mensaje atraviesa una cadena de pre-filtrado alojada en los datacenters regionales de Barracuda. A ello se añaden módulos de análisis avanzado y, en los planes superiores, una capa de detección conductual por API. Lo desglosamos todo.

Modelo gateway: la redirección MX hacia ess.barracudanetworks.com

Como todo SEG tradicional, EGD se basa en la redirección MX. Tus registros MX apuntan hacia la infraestructura cloud de Barracuda, alojada bajo ess.barracudanetworks.com. Cuando un remitente envía un email a contact@captaindns.com, su servidor resuelve el MX, encuentra un host Barracuda y le entrega el mensaje. Barracuda aplica su cadena de detección y luego transfiere el mensaje validado a tu servidor real.

El flujo se desarrolla en cinco tiempos:

Un remitente envía un email a contact@captaindns.com
Su servidor realiza una consulta DNS MX para captaindns.com
El DNS devuelve el MX Barracuda (por ejemplo d9307303a.ess.barracudanetworks.com)
El mensaje llega a Barracuda, que lo somete a su cadena de inspección (reputación, anti-spam, anti-malware, ATP, anti-phishing)
Si el mensaje se aprueba, Barracuda lo transfiere a tu servidor de email real (Microsoft 365, Google Workspace, Exchange on-premise)

La ventaja es directa: Barracuda ve el 100 % del tráfico entrante y bloquea las amenazas antes de que toquen tu infraestructura. Tu servidor solo recibe tráfico ya filtrado.

El pre-filtrado cloud: reputación, anti-spam, anti-malware

La primera línea de defensa de Barracuda es una etapa de pre-filtrado que elimina el ruido de fondo antes de cualquier análisis costoso. El servicio puntúa la reputación de la IP origen en el momento de la conexión SMTP, apoyándose en los flujos de reputación mantenidos por Barracuda (el editor opera además su propia Barracuda Reputation Block List, una blacklist histórica utilizada mucho más allá de sus propios productos). Las conexiones procedentes de botnets conocidos o de IP masivamente señaladas se rechazan desde el apretón de manos, sin siquiera analizar el contenido.

Viene después el análisis anti-spam y anti-malware clásico: firmas, heurísticas, escaneo antivirus multi-motor. Esta capa trata el volumen rápidamente y elimina las amenazas conocidas. Es eficaz contra el spam masivo y los malwares catalogados, pero insuficiente para las amenazas dirigidas y los archivos adjuntos desconocidos, de ahí las etapas siguientes.

La sandbox ATP contra las amenazas zero-day

La Advanced Threat Protection (ATP) de Barracuda trata los archivos adjuntos y las cargas útiles que las firmas no reconocen. Los archivos sospechosos se redirigen hacia un entorno de sandbox donde se ejecutan y observan: intentos de conexión saliente, modificación de archivos del sistema, comportamiento de cifrado, inyección de código. Es la respuesta a las amenazas zero-day, para las cuales todavía no existe ninguna firma.

La ATP combina análisis estático (inspección de la estructura del archivo, de las macros, de los scripts integrados) y análisis dinámico (detonación en la sandbox). El veredicto alimenta después las decisiones de bloqueo. En los planes superiores, también desencadena acciones de remediación automatizadas.

La protección anti-suplantación por IA conductual

La protección contra la suplantación es uno de los argumentos fuertes de Barracuda en el segmento de las pymes, particularmente expuesto a los ataques de Business Email Compromise (BEC) por falta de medios de detección internos. El módulo Impersonation Protection (históricamente procedente del ladrillo «Sentinel») aplica un análisis conductual por aprendizaje automático para detectar el fraude.

El motor aprende los patrones de comunicación normales de la organización: quién escribe a quién, desde qué direcciones, con qué tono, a qué horas. Después señala las anomalías típicas de un ataque BEC: un email supuestamente enviado por el directivo desde una dirección externa, una solicitud de transferencia inusual, un nombre mostrado que imita a un colaborador, un dominio parecido (typosquatting). El problema es que estos ataques a menudo no contienen ni enlace ni archivo adjunto. Ninguna firma los detecta. La detección conductual sigue siendo el único medio de atraparlos.

La defensa por API y la remediación posterior a la entrega

Más allá de la gateway, los planes superiores añaden una capa de defensa de la bandeja de entrada por API sobre Microsoft 365. Este enfoque complementa el filtrado en pre-entrega con un análisis post-entrega de los mensajes ya llegados, a la manera de las soluciones ICES. Explota el acceso a los metadatos internos del tenant (relaciones entre usuarios, historial de comunicación) para afinar la detección conductual.

El módulo Incident Response cierra el bucle: cuando una amenaza se identifica tras la entrega, el administrador (o el MSP) puede retirar automáticamente el mensaje de las bandejas de entrada afectadas, a escala de todos los usuarios alcanzados. Para un MSP que gestiona decenas de tenants, la remediación en masa es una ganancia operativa decisiva: neutralizar una campaña sobre el conjunto del parque en pocos clics, en lugar de tenant por tenant.

Datacenters regionales y arquitectura multi-tenant para MSP

Barracuda opera EGD desde varias regiones geográficas, cada una con su propia consola y su propio include SPF. Dos retos justifican este reparto: la latencia (tratar el correo lo más cerca posible de la organización) y la residencia de los datos (un cliente europeo quiere sus datos tratados en Europa, conformidad RGPD obliga). Las regiones disponibles hoy cubren Estados Unidos, Alemania (para Europa), el Reino Unido, Canadá, Australia y la India.

La arquitectura es nativamente multi-tenant, tallada para el modelo MSP. Un proveedor dispone de una consola central desde la que aprovisiona, configura y supervisa la seguridad de email de todos sus clientes. Las políticas se heredan de un modelo común y luego se afinan por tenant, y la facturación sigue el uso. Es una de las razones de la fuerte presencia de Barracuda en los MSP, allí donde soluciones enterprise siguen siendo pesadas de operar en modo multi-cliente.

🔧 La configuración DNS, paso a paso

Desplegar EGD modifica cuatro registros DNS: MX, SPF, DKIM y DMARC. Un error en uno de ellos, y tus emails desaparecen o se saltan el filtrado. Aquí tienes cada paso con los valores reales y las trampas que hay que evitar.

El registro MX en formato ess.barracudanetworks.com

El registro MX de Barracuda EGD sigue el formato <identificador-cliente>.ess.barracudanetworks.com. El identificador es un código único generado por Barracuda para tu cuenta, visible en la página de verificación de dominio de la consola (sección Domains). Por ejemplo, una cuenta puede recibir un MX del tipo d9307303a.ess.barracudanetworks.com.

Es una diferencia notable con Mimecast o Proofpoint, cuyos MX siguen una nomenclatura regional genérica (eu-smtp-inbound-1.mimecast.com, mx0a-XXXXXXXX.pphosted.com). En Barracuda, el hostname MX es propio de tu cuenta, lo que constituye además una firma de detección cómoda (ver más abajo).

Barracuda recomienda un enfoque de conmutación en dos tiempos mediante la prioridad MX. Durante la fase de prueba, añades el MX Barracuda con una prioridad alta (99), es decir, la menos prioritaria. Tus MX existentes conservan su prioridad baja y siguen recibiendo el correo legítimo. Esto te permite validar que la cuenta Barracuda acepta bien el tráfico de tu dominio sin arriesgarte a perder mensajes. Una vez validada la configuración, inviertes: el MX Barracuda pasa a prioridad baja (10) y suprimes los antiguos MX.

# Verificar los MX actuales
dig MX captaindns.com +short

Resultado esperado una vez terminada la conmutación:

10 d9307303a.ess.barracudanetworks.com.

Trampa clásica. No dejes ningún MX residual apuntando hacia tu antiguo servidor (Exchange on-premise, o directamente tu tenant *.mail.protection.outlook.com). Un MX residual es una puerta trasera: un atacante que conoce tu infraestructura Microsoft 365 puede entregar directamente a tus buzones saltándose Barracuda. Tras la conmutación, verifica con dig MX que solo queda el MX Barracuda, y bloquea tu conector M365 para que solo acepte las IP de Barracuda.

El SPF con el include regional

Es aquí donde la geografía cuenta. Para el correo saliente retransmitido por Barracuda, debes añadir el include SPF correspondiente a tu región. Usar el include de otra región no funcionará, porque las IP de envío difieren.

Región	Include SPF	Consola regional
Estados Unidos (US)	`include:spf.ess.barracudanetworks.com`	`us.ess.barracudanetworks.com`
Alemania / Europa (DE)	`include:spf.ess.de.barracudanetworks.com`	`de.ess.barracudanetworks.com`
Reino Unido (UK)	`include:spf.ess.uk.barracudanetworks.com`	`uk.ess.barracudanetworks.com`
Canadá (CA)	`include:spf.ess.ca.barracudanetworks.com`	`ca.ess.barracudanetworks.com`
Australia (AU)	`include:spf.ess.au.barracudanetworks.com`	`au.ess.barracudanetworks.com`
India (IN)	`include:spf.ess.in.barracudanetworks.com`	`in.ess.barracudanetworks.com`

Ejemplo de registro SPF para un cliente US que también envía mediante Google Workspace:

v=spf1 include:spf.ess.barracudanetworks.com include:_spf.google.com -all

Barracuda recomienda el mecanismo -all (hardfail), más estricto que el ~all (softfail). Con una política DMARC en p=reject, el ~all basta puesto que DMARC dicta el rechazo, pero el -all añade una protección al nivel del propio SPF, lo que es coherente con la postura por defecto aconsejada por el editor. Vigila de todos modos el número total de lookups DNS: la especificación SPF (RFC 7208) impone un límite de 10 lookups recursivos. Acumula Barracuda, Google Workspace y dos o tres ESP, y te acercas rápido al tope, con un PermError como resultado.

Verifica tu registro con el verificador de sintaxis SPF de CaptainDNS, que cuenta los lookups y señala los desbordamientos.

La firma DKIM

DKIM firma criptográficamente tus emails salientes, permitiendo al destinatario verificar que proceden realmente de tu dominio y que no han sido alterados. Con Barracuda EGD, la configuración se pilota en la consola:

Activar la firma DKIM para tu dominio en la consola EGD (sección Outbound / Sender Authentication), eligiendo un selector
Recuperar la clave pública generada por Barracuda y publicarla en tu DNS en forma de registro TXT en la ubicación selector._domainkey.captaindns.com
Activar la firma una vez que el registro DNS esté propagado y verificado por la consola

Verificación de la publicación:

dig TXT barracuda._domainkey.captaindns.com +short

El resultado debe contener la clave pública en formato v=DKIM1; k=rsa; p=MIGfMA0GCS.... Acuérdate de elegir una longitud de clave de 2048 bits en lugar de 1024 para una seguridad conforme con las buenas prácticas actuales, y planifica una rotación cada seis a doce meses.

La alineación DMARC

DMARC verifica que el dominio visible en el campo From está alineado con el dominio autenticado por SPF o DKIM, y define la política a aplicar en caso de fallo. Es la pieza final de la autenticación, y Barracuda se apoya en tu configuración SPF/DKIM para producir la alineación.

Un punto a menudo descuidado en modo pasarela: el relay saliente mediante Barracuda reescribe el sobre SMTP, lo que hace perder la información SPF de origen del lado del destinatario. SPF ya no se presenta entonces alineado con el dominio del From, y es DKIM el que se convierte en el pilar de la alineación DMARC detrás de Barracuda. De ahí la importancia de activar correctamente la firma DKIM en la consola EGD antes de endurecer la política: sin ella, mensajes legítimos no pasarán la verificación DMARC.

La progresión recomendada es la misma que para cualquier despliegue:

p=none (vigilancia): recibes los informes agregados sin afectar a la entrega. Duración recomendada: de 2 a 4 semanas.
p=quarantine: los mensajes no autenticados van a spam. Duración: de 2 a 4 semanas.
p=reject: los mensajes no autenticados se rechazan. Es la política objetivo.

Ejemplo de registro DMARC de partida:

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; ruf=mailto:dmarc-forensic@captaindns.com; fo=1;

En los planes superiores (Premium Plus), Barracuda proporciona un módulo de Domain Fraud Protection que agrega y visualiza los informes DMARC, identifica las fuentes de envío legítimas todavía no autenticadas y acompaña la subida hacia p=reject. Si te quedas en EGD a secas, pilotas DMARC con una herramienta de terceros. Valida cada evolución de tu registro con el verificador de sintaxis DMARC de CaptainDNS.

🔍 ¿Cómo detectar que un dominio está protegido por Barracuda?

Para saber si un dominio usa Barracuda Email Gateway Defense, examina sus registros MX y SPF: un MX que termina por .ess.barracudanetworks.com o un SPF que contiene include:spf.ess[.<region>].barracudanetworks.com es la firma inequívoca del servicio cloud.

Esta detección es útil en varios casos: auditar un prospecto antes de una reunión comercial, calificar la stack de un partner, o simplemente entender por dónde transitan tus propios emails. El método se basa en dos firmas DNS.

Firma MX. Todo registro MX cuyo hostname termina por .ess.barracudanetworks.com indica un dominio detrás de Barracuda EGD. El prefijo (d9307303a en nuestros ejemplos) es el identificador único de la cuenta cliente.

# Detectar Barracuda mediante el MX
dig MX captaindns.com +short
# Una respuesta del tipo "10 d9307303a.ess.barracudanetworks.com." = Barracuda EGD

Firma SPF. La presencia de un include:spf.ess.barracudanetworks.com (o de su variante regional spf.ess.de/uk/ca/au/in.barracudanetworks.com) en el registro TXT del dominio confirma que Barracuda retransmite el correo saliente.

# Detectar Barracuda mediante el SPF
dig TXT captaindns.com +short | grep spf
# Presencia de "include:spf.ess.barracudanetworks.com" = Barracuda en salida

Para un análisis completo y legible de los registros de un dominio sin manipular dig, utiliza la herramienta DNS Lookup de CaptainDNS, que muestra los MX, TXT y otros registros de un vistazo. Cruzar MX y SPF disipa toda ambigüedad: un MX en .ess.barracudanetworks.com acoplado al include SPF correspondiente identifica sin error un dominio íntegramente protegido por Barracuda EGD, entrante y saliente.

🔄 Comparativa frente a Mimecast, Proofpoint y Microsoft

Comparativa de Barracuda Email Gateway Defense frente a Mimecast, Proofpoint y Microsoft Defender en 2026

Barracuda se distingue por su posicionamiento SMB y MSP, allí donde Proofpoint y Mimecast apuntan al enterprise y a las empresas medianas. La tabla siguiente compara los criterios que pesan realmente en una elección.

Criterio	Barracuda EGD	Mimecast	Proofpoint	Microsoft Defender
Tipo	SEG cloud + Inbox Defense API	SEG + API (2026)	SEG enterprise + ICES	Nativo M365
Público objetivo	Pymes, mid-market, MSP	Pymes/medianas multi-necesidad	Fortune 100, grandes empresas	Entornos M365
Detección IA/ML	Impersonation Protection, ML conductual	Multi-vector + CyberGraph	Nexus AI 6 componentes	9,1/10 tests independientes
Modelo MSP multi-tenant	Sí (punto fuerte)	Parcial	Limitado	Vía partners CSP
DMARC	Domain Fraud (Premium Plus)	DMARC Analyzer integrado	EFD con consultores	No
Archivado	Vía Cloud Archiving (add-on)	Sí (1 día a 99 años)	Vía partners	Vía retención M365
Formato MX	`<id>.ess.barracudanetworks.com`	`eu-smtp-inbound-1.mimecast.com`	`mx0a-XXXX.pphosted.com`	`*.mail.protection.outlook.com`
Gartner 2025	Visionario	Líder	Líder (#1 Ejecución)	Líder
Ideal para	SMB y MSP que buscan simplicidad/precio	Centralizar seguridad + archivado	Threat intel de élite	Full M365, presupuesto ajustado

Mimecast y Proofpoint: la referencia de las empresas medianas y enterprise

En el mid-market y las empresas medianas, Mimecast propone una suite más amplia en el plano de las funcionalidades nativas: archivado de larga duración integrado, continuidad de email, DMARC Analyzer sin coste adicional. Si tu necesidad es centralizar seguridad, archivado y continuidad en una sola consola, Mimecast ofrece a menudo una mejor relación funcional que Barracuda, al precio de una consola más compleja. Nuestra guía completa sobre Mimecast detalla su arquitectura y su configuración DNS.

En las muy grandes cuentas, Proofpoint domina por su threat intelligence y su enfoque people-centric (concepto VAP). Es la referencia para los SOC maduros de los sectores más en el punto de mira (finanzas, defensa, salud), pero a un coste y una complejidad que superan ampliamente las necesidades de una pyme. Consulta nuestra guía completa sobre Proofpoint.

Microsoft Defender y Abnormal: el nativo y el conductual

Si tu organización es full Microsoft 365, Defender for Office 365 sigue siendo la elección más evidente en ratio precio/cobertura: protección nativa sin cambio de MX, a menudo menos de 2 euros por usuario y mes, o incluso incluido en licencia E5. Los tests independientes le atribuyen una puntuación de detección elevada. Para una pyme M365 con necesidades estándar, es un punto de entrada difícil de batir. Barracuda mantiene la ventaja en la independencia frente al proveedor de email (útil en entorno híbrido o Google Workspace) y en el modelo MSP.

En el plano de la detección conductual pura, Abnormal Security funciona exclusivamente por API y sobresale en el BEC y el VEC (consulta nuestra guía completa sobre Abnormal Security). Muchas organizaciones lo usan como complemento de un SEG en lugar de como reemplazo.

El veredicto: ¿para quién es Barracuda la elección correcta?

Barracuda EGD es pertinente si eres una pyme o una empresa mediana que busca una protección de email cloud simple de desplegar y de operar, sin equipo SOC dedicado, con una buena relación precio/cobertura. Es también la elección predilecta de los MSP gracias a su consola multi-tenant y a su remediación en masa. En cambio, Barracuda no es el candidato natural si apuntas a la threat intelligence de élite de una gran cuenta (Proofpoint), a una suite archivado/continuidad todo en uno (Mimecast), o si eres full M365 con necesidades básicas (Defender basta).

🖥️ Migración y despliegue paso a paso

Barracuda EGD se despliega sin interrupción de servicio mediante la conmutación por prioridad MX, en cinco pasos. La secuencia siguiente cubre del inventario DNS a la subida DMARC, una vez elegida la solución.

Guía de despliegue en 5 pasos, del inventario DNS a la conmutación MX

Documenta el estado actual de tus registros MX, SPF, DKIM y DMARC con las herramientas de CaptainDNS. Enumera sobre todo todas las fuentes de envío legítimas de tu dominio: servidor principal, marketing (Mailchimp, HubSpot), transaccional (SendGrid, Mailgun), CRM (Salesforce), ticketing (Zendesk), productos internos. Cada una deberá ser autenticada en tu nueva configuración SPF y tenida en cuenta en la roadmap DMARC.
En la consola EGD de tu región (us., de., uk., ca., au. o in.ess.barracudanetworks.com), añade tu dominio y verifica su propiedad. Recupera tu identificador de cuenta único para el MX (<id>.ess.barracudanetworks.com). Configura la conexión hacia tu servidor de destino (M365, Google Workspace, Exchange) y sincroniza el directorio de usuarios. Anota bien tu región: condiciona el include SPF a utilizar.
Añade el MX Barracuda con una prioridad 99 (la menos prioritaria). Tus MX existentes conservan una prioridad baja y siguen recibiendo el correo legítimo. Envía emails de prueba para verificar que la cuenta Barracuda acepta bien el tráfico de tu dominio y que el enrutamiento hacia tu servidor de destino funciona. Esta fase valida la configuración sin ningún riesgo de pérdida de mensaje.
Una vez validada la configuración, pasa el MX Barracuda a prioridad baja (10) y suprime todos los antiguos MX. Efectúa la conmutación fuera de las horas punta. Verifica con dig MX captaindns.com +short que solo subsiste el MX Barracuda. Bloquea a continuación tu conector Microsoft 365 o Google Workspace para que solo acepte el tráfico entrante desde las IP de Barracuda, cerrando la puerta trasera del MX residual.
Añade el include SPF regional de Barracuda (no otra región), manteniéndote por debajo de los 10 lookups. Activa la firma DKIM 2048 bits en consola y publica la clave pública en el DNS. Despliega DMARC en p=none, vigila los informes de 2 a 4 semanas, y luego sube hacia p=quarantine y p=reject. Valida cada registro con los verificadores de CaptainDNS.

El caso particular de la migración desde el appliance ESG

Si todavía explotas el appliance Email Security Gateway (ESG), Barracuda impulsa la migración al servicio cloud EGD mediante su programa «ESG Elevate». La lógica es clara: el appliance legacy ya no recibe las mismas inversiones, impone gestionar el hardware y los parches tú mismo, y el incidente de 2023 recordó el coste de una vulnerabilidad en un producto que el cliente debe parchear él mismo.

La migración de ESG a EGD equivale a pasar de un filtrado on-premise a un filtrado cloud. Concretamente: aprovisionas EGD en la consola, trasladas tus políticas de filtrado (Barracuda proporciona asistentes para ello), pruebas en prioridad 99 como se describe más arriba, y luego conmutas los MX del appliance hacia <id>.ess.barracudanetworks.com. Para limitar el trabajo manual, el programa propone una herramienta de conversión que migra automáticamente los parámetros, dominios y usuarios del ESG a EGD mediante una cuenta Barracuda Cloud Control, anunciando Barracuda una conmutación «en menos de una hora». El beneficio principal: ya no tienes appliance que mantener ni parche crítico que aplicar de urgencia. Es precisamente el escenario de incidente que la sección siguiente detalla.

⚠️ Límites, inconvenientes y la vulnerabilidad de 2023

Los límites de Barracuda EGD son una threat intelligence por debajo de los Líderes, una suite menos completa en nativo y una cobertura de seis regiones. El incidente de 2023, en cambio, afectó al appliance ESG, no al servicio cloud. Repasamos primero los límites factuales de EGD, y luego la CVE-2023-2868.

Los límites del servicio cloud

Threat intelligence por debajo de los Líderes. En la detección de los ataques BEC y APT más sofisticados, Barracuda queda por detrás de Proofpoint y Mimecast según los analistas. Su posicionamiento de Visionario en el Gartner 2025 refleja una visión de producto reconocida pero una ejecución considerada inferior a los Líderes. Para un sector especialmente expuesto a ataques dirigidos (finanzas, defensa), no es la primera elección.
Suite menos completa en nativo. El archivado (Cloud Archiving), la concienciación y ciertas protecciones avanzadas son módulos o planes superiores (Premium, Premium Plus). El precio de entrada de EGD es atractivo, pero una postura completa impone acumular los ladrillos, y el coste total sube. Compara el perímetro exacto de cada plan antes de firmar.
Cobertura regional más restringida. Seis regiones (US, DE, UK, CA, AU, IN) es menos fino que ciertos competidores. Verifica que tu exigencia de residencia de los datos corresponde a una región disponible, en particular para restricciones de soberanía estrictas.
Reescritura de URL y falsos positivos. Como todo SEG, Barracuda puede reescribir enlaces mediante Link Protection: las URL apuntan entonces hacia una dirección de redirección Barracuda. Frente a los temores habituales sobre los magic links, una buena noticia: las URL reescritas no caducan, y Barracuda no reescribe los dominios comunes (google.com, microsoft.com, teams.microsoft.com) precisamente para limitar los falsos positivos. El riesgo sobre los enlaces de un solo uso (restablecimiento de contraseña) es por tanto más mesurado de lo que se teme. La vigilancia recae más bien sobre la cuarentena durante las primeras semanas: a veces se bloquean remitentes legítimos pese a estar en la lista de autorización, y las opiniones de usuarios (G2) señalan que hay que prever cierto ajuste manual al inicio.

La CVE-2023-2868 afectaba al appliance, no al cloud

La CVE-2023-2868 es el incidente de seguridad más sonado de la historia de Barracuda. Una precisión se impone de entrada: esta vulnerabilidad afectaba al appliance Email Security Gateway (ESG), no al servicio cloud Email Gateway Defense (EGD) del que trata este artículo. Si evalúas o usas EGD, no estabas expuesto. Retomemos los hechos en orden, sin dramatizar.

La vulnerabilidad era una inyección de comandos mediante el módulo de parsing de los archivos .tar recibidos como adjunto, en el código Perl del appliance ESG. Su puntuación CVSS era de 9,8 (crítica), el cuasi-máximo. Concretamente, un atacante podía enviar un email con un adjunto .tar especialmente formado para ejecutar código arbitrario en el appliance.

La cronología es instructiva. La explotación in-the-wild comenzó ya en octubre de 2022, es decir, varios meses antes de cualquier detección. Mandiant (Google Cloud Threat Intelligence) atribuyó la campaña a UNC4841, un actor sospechoso de estar vinculado a China (China-nexus). Barracuda detectó un tráfico anormal el 18 de mayo de 2023, desplegó un parche mundial el 20 de mayo de 2023 y publicó la divulgación el 23 de mayo de 2023.

El punto que más conmoción generó es la recomendación de reemplazo físico: Barracuda la formuló inicialmente el 31 de mayo de 2023, y luego la reiteró el 6 de junio de 2023, aconsejando el reemplazo inmediato de todos los appliances ESG comprometidos, cualquiera que fuese el nivel de parche aplicado. La razón: los atacantes habían desplegado puertas traseras persistentes (los malwares SEASPY, SUBMARINE y SALTWATER, entre otros) que sobrevivían a los parches. El FBI relevó esta recomendación de reemplazo de hardware. Es un caso raro en el que un editor aconseja tirar el hardware en lugar de parchearlo, lo que dice mucho sobre la profundidad de la compromisión. Barracuda no ha publicado además nunca un número exacto de organizaciones afectadas, evocando solamente un «número limitado» entre los cientos de miles de appliances desplegados.

Para una decisión en 2026, el incidente dice sobre todo una cosa: el riesgo estructural de los appliances que el cliente debe parchear él mismo. Un cloud gestionado como EGD transfiere esta responsabilidad al editor. Lo demás se deduce de ahí. EGD no estaba afectado por esta CVE, y descartar el producto cloud a raíz del incidente ESG sigue siendo un error de análisis frecuente. Es además el argumento que Barracuda pone por delante para impulsar la migración de ESG a EGD: eliminar la superficie de ataque del appliance on-premise.

📋 Plan de acción recomendado

De la auditoría inicial a la política DMARC estricta, aquí tienes la secuencia completa para evaluar y luego desplegar Barracuda Email Gateway Defense.

Auditar tu postura de email actual (MX, SPF, DKIM, DMARC) con las herramientas de CaptainDNS
Clarificar la necesidad de producto: confirma que evalúas EGD (cloud) y no el appliance ESG, y elige el plan (Advanced, Premium, Premium Plus) según tus necesidades en DMARC, concienciación y copia de seguridad
Comparar con Mimecast, Proofpoint y Microsoft Defender según tu tamaño, tu presupuesto y tu modelo (interno o MSP)
Solicitar un POC e identificar tu región EGD (US, DE, UK, CA, AU, IN) que condiciona el include SPF
Configurar la consola regional, añadir el dominio, recuperar el identificador MX y sincronizar el directorio
Probar en prioridad 99: validar el enrutamiento sin riesgo de pérdida de mensaje
Conmutar los MX a prioridad baja fuera de las horas punta y suprimir todos los antiguos MX
Bloquear el conector M365/Google Workspace para que solo acepte las IP de Barracuda
Implementar SPF (include regional, -all), DKIM (2048 bits) y DMARC (p=none y luego endurecimiento)
Vigilar la cuarentena, los informes DMARC y subir hacia p=reject tras 4 a 8 semanas de vigilancia limpia

📚 Guías de pasarelas de email

Este análisis forma parte de nuestra serie sobre las soluciones de seguridad de email:

Mimecast Secure Email Gateway: arquitectura, configuración DNS, comparativa y plan de acción
Proofpoint Secure Email Gateway: Nexus AI, TAP, EchoSpoofing 2024 y configuración DNS
Abnormal Security: IA conductual, despliegue API, Attune 1.0

FAQ

¿Qué es Barracuda Email Gateway Defense?

Barracuda Email Gateway Defense (EGD) es un Secure Email Gateway cloud que filtra el 100 % del tráfico de email entrante antes de que alcance tu servidor de correo. Rediriges tus registros MX hacia la infraestructura Barracuda (<id>.ess.barracudanetworks.com), que inspecciona cada mensaje (reputación, anti-spam, anti-malware, Advanced Threat Protection, anti-phishing) y luego transfiere el tráfico limpio hacia Microsoft 365, Google Workspace o Exchange. Es el antiguo Barracuda Email Security Service (BESS), históricamente orientado a pymes y MSP, con más de 200 000 clientes en todo el mundo.

¿Cuál es la diferencia entre Email Gateway Defense y Email Security Gateway?

Son dos productos distintos. Email Gateway Defense (EGD) es el servicio SEG cloud, alojado enteramente en Barracuda bajo ess.barracudanetworks.com, sin hardware que gestionar. Email Security Gateway (ESG) es un appliance físico o virtual legacy, desplegado on-premise o en el cloud del cliente, que la organización administra y parchea ella misma. Es el appliance ESG, y no el servicio cloud EGD, el que fue afectado por la CVE-2023-2868 en 2023. Barracuda impulsa activamente la migración de los clientes ESG a EGD mediante su programa ESG Elevate.

¿Cuáles son los registros MX de Barracuda?

Los MX de Barracuda Email Gateway Defense siguen el formato <identificador-cliente>.ess.barracudanetworks.com, por ejemplo d9307303a.ess.barracudanetworks.com. El identificador es único para tu cuenta y visible en la página de verificación de dominio de la consola EGD. Durante el despliegue, Barracuda recomienda añadir este MX en prioridad 99 para la fase de prueba (el correo legítimo permanece en el antiguo servidor), y luego pasarlo a prioridad baja (10) y suprimir los antiguos MX una vez validada la configuración.

¿Qué include SPF usar con Barracuda?

El include SPF depende de tu región. En Estados Unidos: include:spf.ess.barracudanetworks.com. En Alemania/Europa: include:spf.ess.de.barracudanetworks.com. En el Reino Unido: include:spf.ess.uk.barracudanetworks.com. En Canadá: include:spf.ess.ca.barracudanetworks.com. En Australia: include:spf.ess.au.barracudanetworks.com. En la India: include:spf.ess.in.barracudanetworks.com. Barracuda recomienda terminar el registro por -all. Vigila el número total de lookups DNS para mantenerte por debajo del límite de 10 impuesto por la RFC 7208.

¿Cómo detectar que un dominio está protegido por Barracuda?

Dos firmas DNS lo identifican. En el lado entrante: un registro MX que termina por .ess.barracudanetworks.com (dig MX dominio.com +short). En el lado saliente: la presencia de un include:spf.ess[.<region>].barracudanetworks.com en el registro TXT del dominio (dig TXT dominio.com +short). Cruzar los dos disipa toda ambigüedad. También puedes utilizar la herramienta DNS Lookup de CaptainDNS para mostrar estos registros de forma legible sin manipular dig.

¿Barracuda funciona con Microsoft 365 y Google Workspace?

Sí. Barracuda Email Gateway Defense es independiente del proveedor de correo. En modo gateway, rediriges los MX hacia Barracuda cualquiera que sea tu servidor de destino (Microsoft 365, Google Workspace, Exchange on-premise), y luego configuras la conexión saliente en la consola EGD. En el lado de Microsoft 365, la integración se basa concretamente en tres conectores (dos entrantes, uno saliente) más una política «allow spoofing» para el tráfico procedente de Barracuda; el bloqueo anti-elusión pasa por un conector partner entrante que solo acepta las IP de Barracuda. Para Microsoft 365, los planes superiores añaden una capa de defensa de la bandeja de entrada por API y un módulo Incident Response para retirar los mensajes maliciosos ya entregados.

¿La CVE-2023-2868 afecta a Email Gateway Defense (cloud)?

No. La CVE-2023-2868 (inyección de comandos mediante parsing de archivos .tar, CVSS 9.8) afectaba exclusivamente al appliance Email Security Gateway (ESG), no al servicio cloud Email Gateway Defense (EGD). Si usas EGD, no estabas expuesto a esta vulnerabilidad. El incidente, explotado ya en octubre de 2022 por el actor UNC4841 (atribución de Mandiant, China-nexus), llevó a Barracuda a recomendar el reemplazo físico de los appliances ESG comprometidos el 6 de junio de 2023, debido a puertas traseras persistentes que sobrevivían a los parches. Es uno de los argumentos esgrimidos para migrar del appliance ESG al cloud EGD.

¿Barracuda es adecuado para las pymes y los MSP?

Sí, es incluso su posicionamiento predilecto. Barracuda EGD está diseñado para ser simple de desplegar y de operar sin equipo SOC dedicado, con una relación precio/cobertura atractiva para las pymes y el mid-market. Para los MSP, la arquitectura multi-tenant permite aprovisionar, configurar y supervisar la seguridad de email de decenas de clientes desde una consola central, con remediación en masa y facturación por uso. Es uno de los programas MSP más logrados del mercado, allí donde soluciones enterprise siguen siendo pesadas de operar en modo multi-cliente.

¿Cómo migrar del appliance ESG a Email Gateway Defense?

La migración consiste en pasar de un filtrado on-premise a un filtrado cloud, mediante el programa Barracuda «ESG Elevate». Aprovisionas EGD en la consola regional, trasladas tus políticas de filtrado (Barracuda proporciona asistentes), pruebas en prioridad 99 sin riesgo de pérdida de mensaje, y luego conmutas los MX del appliance hacia <id>.ess.barracudanetworks.com en prioridad baja, suprimiendo los antiguos MX. El beneficio principal: ya no hay appliance que mantener ni parche crítico que aplicar de urgencia, lo que elimina la superficie de ataque que había sido explotada por la CVE-2023-2868.

¿Barracuda gestiona DMARC y DKIM?

Sí. La firma DKIM se configura en la consola EGD: eliges un selector, Barracuda genera el par de claves, y publicas la clave pública en TXT en selector._domainkey.captaindns.com (prefiere 2048 bits). Para DMARC, EGD se apoya en tu alineación SPF/DKIM, y pilotas la política de p=none hacia p=reject. En el plan Premium Plus, el módulo Domain Fraud Protection agrega y visualiza los informes DMARC y acompaña la subida a política estricta. En EGD a secas, puedes pilotar DMARC con una herramienta de terceros validando al mismo tiempo la sintaxis con el verificador DMARC de CaptainDNS.

Descarga las tablas comparativas

Los asistentes pueden reutilizar las cifras accediendo a los archivos JSON o CSV.

Glosario

SEG (Secure Email Gateway): pasarela de seguridad de email que filtra el tráfico entrante y saliente entre Internet y el servidor de correo, analizando cada mensaje (spam, malware, phishing) antes de transmitirlo al destinatario.
EGD (Email Gateway Defense): el Secure Email Gateway cloud de Barracuda, alojado bajo ess.barracudanetworks.com. Antiguamente Barracuda Email Security Service (BESS). Tema de este artículo.
ESG (Email Security Gateway): el appliance Barracuda legacy (físico o virtual), administrado y parcheado por el cliente. No confundir con EGD. Es la gama afectada por la CVE-2023-2868.
BESS (Barracuda Email Security Service): antiguo nombre del servicio cloud hoy llamado Email Gateway Defense.
MX (Mail Exchanger): registro DNS que indica los servidores responsables de la recepción de los emails de un dominio. Desplegar Barracuda EGD implica redirigir los MX hacia <id>.ess.barracudanetworks.com.
SPF (Sender Policy Framework): protocolo de autenticación que lista los servidores autorizados a enviar emails para un dominio. Registro TXT limitado a 10 lookups recursivos (RFC 7208). Barracuda usa un include regional (spf.ess[.<region>].barracudanetworks.com).
DKIM (DomainKeys Identified Mail): protocolo que firma criptográficamente los emails. La clave pública se publica en el DNS, permitiendo al destinatario verificar la integridad y el origen del mensaje.
DMARC (Domain-based Message Authentication, Reporting and Conformance): protocolo que verifica la alineación entre el dominio From y los dominios autenticados por SPF o DKIM, y define la política a aplicar en caso de fallo (none, quarantine, reject).
ATP (Advanced Threat Protection): módulo Barracuda que analiza los archivos adjuntos y las cargas útiles desconocidas en una sandbox para detectar las amenazas zero-day por observación conductual.
Impersonation Protection: motor Barracuda de detección de los ataques por suplantación (BEC), basado en el aprendizaje de los patrones de comunicación normales de la organización para detectar las anomalías.
Incident Response: módulo Barracuda que permite retirar automáticamente los emails maliciosos ya entregados en las bandejas de entrada, con remediación en masa, particularmente útil para los MSP.
BEC (Business Email Compromise): fraude por email en el que el atacante se hace pasar por un directivo o un partner de confianza para obtener una transferencia o datos sensibles. A menudo sin enlace ni archivo adjunto, por tanto invisible para los filtros por firma.
MSP (Managed Service Provider): proveedor que gestiona la infraestructura IT de varios clientes. La arquitectura multi-tenant de Barracuda está pensada para este modelo.
CVE-2023-2868: vulnerabilidad crítica (CVSS 9.8) de inyección de comandos mediante el parsing de archivos .tar en el appliance ESG, explotada por UNC4841. No afecta al servicio cloud EGD.
UNC4841: actor de amenaza sospechoso de estar vinculado a China (China-nexus), a quien Mandiant atribuye la explotación de la CVE-2023-2868 sobre los appliances ESG ya desde octubre de 2022.

FAQ