La guía definitiva de Red Sift sobre seguridad del correo electrónico
¿Cuáles son las obligaciones y recomendaciones globales para DMARC en 2026?
Para los equipos de ciberseguridad, seguridad del correo electrónico y TI, comprender y cumplir los requisitos globales de DMARC (Domain-based Message Authentication, Reporting, and Conformance) es esencial.
En Red Sift hemos realizado una visión general en formato tabla sobre las normativas y recomendaciones vigentes de DMARC en distintas partes del mundo. Nuestro objetivo es ofrecer una guía clara y directa que resuma los requisitos globales en un formato accesible para todos.
Ya seas un profesional de TI en seguridad, un administrador de correo electrónico o responsable de cumplimiento, esta tabla es una herramienta fundamental para asegurarte de que la protección del correo electrónico de tu organización cumple con las mejores prácticas y los estándares internacionales.
Obligaciones y recomendaciones DMARC en todo el mundo
Área aplicada | Nombre | Descripción | Tipo de obligación | Más información |
Global | Nuevos requisitos para remitentes de gran volumen | Las organizaciones que envían más de 5.000 correos electrónicos al día deben autenticar los dominios de envío mediante TLS, DKIM, SPF, Alineación DKIM o SPF y establecer una política DMARC de p=none. | Obligación para el sector privado | |
Global | PCI DDS v4.0 Requisito 5.4.1 | Deben emplearse “mecanismos automatizados” para detectar y bloquear intentos de phishing. La norma exige “procesos y mecanismos” pero no específica una solución concreta; las mejores prácticas recomiendan DMARC, SPF y DKIM. | Obligación de cumplimiento | |
Canadá | Requisitos de configuración para servicios de gestión de correo electrónico | Es necesario garantizar que el remitente o destinatario del correo gubernamental sea verificable mediante Sender Policy Framework, Domain Keys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting and Conformance (DMARC). | Obligación para organismos gubernamentales | |
Dinamarca | Requisitos técnicos mínimos para organizaciones gubernamentales 2023 | Todas las entidades gubernamentales están obligadas a implementar, en todos sus dominios, una política DMARC de p=reject. | Obligación para organismos gubernamentales | |
Nueva Zelanda | Information Security Manual Nueva Zelanda, v3.6, sección 15.2 (2022) | El futuro sucesor de SEEMail utilizará DMARC; como resultado, proveedores y autoridades deberán cumplir: 1. Cumplimiento de DMARC de SHOULD a MUST [CID:6019] [CID:6021] 2. Política DMARC de p="none" a p="reject" [CID:6020] 3. Cumplimiento de DKIM de SHOULD a MUST [CID:1797] [CID:1798] | Obligación para organismos gubernamentales | |
Irlanda | Norma básica de ciberseguridad para el sector público, sección 2.9 | Las organizaciones del sector público deben implementar TLS, SPF, DKIM y aplicar una política DMARC a todos los correos electrónicos entrantes. | Obligación para organismos gubernamentales | |
Países Bajos | Estándar "Cumple o Explica" | Normas obligatorias para entidades públicas que exigen DKIM, SPF y DMARC, además de STARTTLS y DANE. | Obligación para organismos gubernamentales | |
Arabia Saudita | Guía para la implementación de controles esenciales de ciberseguridad (ECC), sección 2-4-3 | Las organizaciones nacionales deben adoptar todas las medidas necesarias para analizar y filtrar el correo electrónico (incluidos phishing y spam) mediante tecnologías de protección avanzadas y actualizadas. Entre los enfoques recomendados figuran DKIM, SPF y DMARC. | Obligación para organismos gubernamentales | |
Reino Unido | Manual de políticas de ciberseguridad gubernamental – Principio: B3 Seguridad de datos | Los organismos gubernamentales deben tener registros DMARC, DKIM y SPF para sus dominios. Esto debe estar vinculado a MTA-STS y TLS Reporting. El requisito proviene del Minimum Cybersecurity Standard de 2018. | Obligación para organismos gubernamentales | |
Reino Unido | Asegurando el correo electrónico gubernamental | Todos los correos electrónicos de organizaciones del sector público en Internet deben, como mínimo, cifrarse mediante TLS y autenticarse con DMARC. | Obligación para organismos gubernamentales | |
Reino Unido | Actualización de recomendaciones de seguridad para servicios digitales | Cada servicio en service.gov.uk debe publicar una política DMARC. | Obligación para organismos gubernamentales | |
EE. UU. | Directiva Operativa Obligatoria 18-01: Reforzando la seguridad de correo y web | Todas las agencias federales deben reforzar la seguridad web mediante STARTTLS, SPF, DKIM y DMARC con política p=reject. | Obligación para organismos gubernamentales | |
Australia | Recomendaciones de ciberseguridad: guía para el correo electrónico | Recomienda la implementación de SPF, DKIM y DMARC con política p=reject | Recomendación | |
Australia | Cómo combatir el correo fraudulento | Recomienda el uso de SPF, DKIM y DMARC para prevenir el uso indebido de dominios propios como fuente de correos electrónicos falsos. | Recomendación | |
Australia | Estrategias para contener correos maliciosos | Recomienda los métodos más eficaces para proteger a las organizaciones de ataques por correo electrónico, en particular el uso de DKIM, SPF y DMARC con la política "p=reject". | Recomendación | |
Canadá | Guía de implementación: Protección de dominios de correo electrónico (ITSP.40.065 v1.1) | Para una protección completa contra el spoofing, las organizaciones deberían implementar SPF, DKIM y DMARC. | Recomendación | |
UE | Normas de seguridad para la comunicación por correo electrónico | Se recomienda utilizar STARTTLS, SPF, DKIM, DMARC y DANE para proteger las comunicaciones por correo electrónico. | Recomendación | |
Alemania | Contramedidas contra spam y phishing, sección 3.1 | Medidas recomendadas para proveedores de acceso a Internet para reducir problemas derivados de malware y spam a través de SPF, DKIM y DMARC. | Recomendación | |
Arabia Saudita | Campañas de phishing con el malware Emotet | Implementa Domain-based Message Authentication, Reporting and Conformance (DMARC) para detectar suplantaciones de correo electrónico utilizando registros Domain Name System (DNS) y firmas digitales. | Recomendaciones | |
Escocia | Una estrategia de ciberresiliencia para Escocia: Plan de acción para el sector público 2017-2018, v2 | Las organizaciones públicas deben beneficiarse de la protección contra la suplantación proporcionada por DMARC. | Recomendaciones | |
Reino Unido | Seguridad del correo electrónico y anti-suplentación v2 | Dificulta el envío de correos electrónicos falsificados desde los dominios de tu organización implementando SPF, DKIM y DMARC con al menos la política p=none, incluso para los dominios no utilizados. Protege tus correos durante el transporte con TLS. | Recomendaciones | |
Reino Unido | Phishing: defensa de las organizaciones v1.1 | DMARC, SPF y DKIM son defensas de nivel 1 para bloquear correos falsificados utilizados para atacar a una organización. | Recomendaciones | |
Estados Unidos | CIS Controles de Seguridad Críticos v8.0, IG2-9.5 | Implementa la política y la verificación DMARC, empezando por Sender Policy Framework (SPF) y los estándares DomainKeys Identified Mail (DKIM). | Recomendaciones | |
Estados Unidos | CISA INSIGHTS Mejorar la seguridad del correo electrónico y web | Habilita DKIM, SPF y DMARC con la política p=reject. | Recomendaciones | |
Estados Unidos | Multi-State Information Sharing and Analysis Center (MS-ISAC) Directrices de ransomware | Para reducir el riesgo de correos electrónicos falsos o alterados enviados desde dominios válidos, implementa una política DMARC y su verificación correspondiente. | Recomendaciones | |
Estados Unidos | NIST 800-53 Catálogo de controles de seguridad – Revisión 5: SI-08 | Utiliza mecanismos de protección antispam en los puntos de entrada y salida del sistema para detectar y gestionar mensajes no deseados. DMARC, SPF y DKIM son una manera de hacerlo. | Recomendaciones | |
Estados Unidos | NIST Special Publication 800-177 Revisión 1: Email de confianza | Recomienda implementar SPF, DKIM y DMARC, y otros controles para fortalecer la confianza en el correo electrónico. | Recomendaciones |
¿Qué ocurre a partir de ahora?
El panorama de la seguridad y autenticación del correo electrónico está en constante evolución.
En Red Sift entendemos la complejidad de implementar y gestionar DMARC. Nuestra solución galardonada Red Sift OnDMARC está diseñada para simplificar la adopción de DMARC, ofreciéndote tecnología de vanguardia y conocimientos especializados reconocidos.
Preguntas frecuentes: Guía de seguridad del correo electrónico
Todas las medidas de seguridad del correo electrónico (excepto DMARC) son ineficaces para detectar un correo malicioso cuando parece proceder de un dominio legítimo. Esto se debe a una falla en el Protocolo Simple de Transferencia de Correo (SMTP). En octubre de 2008, el Network Working Group lo catalogó oficialmente como "intrínsecamente inseguro", señalando que cualquier persona podría suplantar un dominio y utilizarlo para enviar correos fraudulentos haciéndose pasar por el propietario.
Cualquier persona con conocimientos muy básicos de programación puede aprender los pasos necesarios para suplantar la identidad de correo de alguien mediante una rápida búsqueda en Google. El resultado es un correo que parece legítimo, sin los indicadores típicos de phishing. Con 3.400 millones de correos de phishing enviados cada día, los sistemas de correo electrónico siguen siendo el principal objetivo de los ciberdelincuentes.
SPF (Sender Policy Framework) verifica que un correo electrónico haya sido enviado desde una dirección IP autorizada por el registro SPF del dominio emisor, a través de un registro TXT en DNS que enumera los servidores de correo autorizados.
DKIM (DomainKeys Identified Mail) utiliza una firma criptográfica, validada mediante una clave pública en DNS, para confirmar que el contenido del correo no ha sido alterado y que proviene de un dominio autorizado. Ambos son esenciales para la seguridad del correo electrónico, pero ninguno previene la suplantación exacta.
Mientras que los protocolos informan al destinatario quién es el remitente, el destinatario no recibe ninguna instrucción sobre cómo actuar ante este conocimiento. Ahora, los principales proveedores de buzones requieren SPF y DKIM para los remitentes de correos masivos en 2026.
DMARC son las siglas de Domain-based Message Authentication, Reporting, and Conformance. Es un protocolo de seguridad de correo saliente que permite a los propietarios de dominio indicar a los buzones receptores que rechacen los correos suplantados. DMARC funciona combinando los resultados de SPF y DKIM para determinar si el correo es auténtico y autorizado.
La política DMARC (definida por la etiqueta "p=" en tu registro DNS) indica a los servidores destinatarios qué hacer con el correo. DMARC detiene la suplantación exacta de dominios instruyendo a los servidores destinatarios para que no acepten correos no autenticados. En 2026, DMARC se ha convertido en un requisito estándar para las organizaciones que envían correos masivos.
La especificación SPF limita las búsquedas DNS a 10. Si tu registro SPF excede este valor, SPF fallará. Los mecanismos de SPF que se cuentan son: a, ptr, mx, include, redirect y exists. En la práctica, 10 búsquedas no son suficientes porque la mayoría de las empresas utilizan varias herramientas para enviar correos.
G Suite por sí solo consume 4 búsquedas DNS, si agregas HubSpot para marketing, que utiliza 7 búsquedas, ya estarías por encima del límite. En cuanto superas las 10 búsquedas de SPF, tu tráfico de correo comenzará a fallar en la validación aleatoriamente. Por eso, en 2026, las organizaciones están migrando a la gestión dinámica de SPF, en lugar de mantener manualmente registros aplanados.
Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar que permite cifrar los mensajes enviados entre dos servidores de correo. Especifica que los correos solo pueden enviarse sobre una conexión cifrada por Transport Layer Security (TLS), lo que impide la interceptación por parte de ciberdelincuentes. SMTP por sí solo no proporciona seguridad, por lo que es vulnerable a ataques Man-in-the-Middle donde la comunicación es interceptada y posiblemente alterada.
Además, el cifrado en SMTP es opcional, lo que significa que los correos pueden enviarse en texto plano. Sin MTA-STS, un atacante puede interceptar la comunicación y forzar el envío del mensaje en texto plano. En 2026, MTA-STS se ha convertido en un control de seguridad estándar para organizaciones que gestionan comunicaciones sensibles.
Al implementar DMARC, obtiene el beneficio de detener intentos de phishing que aparentan provenir de su organización, mayor confianza por parte de clientes, reducción del riesgo cibernético y cumplimiento de los requisitos para remitentes masivos de Google, Yahoo y Microsoft.
DMARC refuerza el cumplimiento con PCI DSS 4.0 y mejora la resiliencia organizacional ante amenazas cibernéticas en evolución. Una vez en modo p=reject (aplicación), DMARC bloquea fraudes de proveedores, secuestros de cuentas y suplantación de correos al impedir que actores maliciosos utilicen su dominio para enviar correos de phishing y llevar a cabo fraudes de tipo Business Email Compromise (BEC). Según el Data Breach Investigations Report de Verizon 2025, los ataques BEC constituyen más del 17-22% de todos los incidentes de ingeniería social.
Red Sift OnDMARC acelera el proceso DMARC con descubrimiento automatizado de remitentes, correcciones prescriptivas, detección de anomalías y acceso basado en roles para equipos globales. Para 2026, las plataformas líderes permiten a las empresas alcanzar la aplicación en modo p=reject en 6-8 semanas, en lugar de los seis meses que antes eran habituales.
Uno de los beneficios más reportados de OnDMARC es el promedio de 6-8 semanas para alcanzar la aplicación total. La potente automatización de la plataforma analiza continuamente lo que sucede en su dominio, mostrando alertas sobre dónde y cómo realizar los cambios necesarios. En menos de 24 horas desde que agrega su registro DMARC único al DNS, OnDMARC empieza a analizar y mostrar los reportes DMARC en paneles claros.
Los principales proveedores de correo, incluidos Microsoft, Google y Yahoo, ahora exigen DMARC para los remitentes masivos (organizaciones que envían más de 5.000 correos al día) desde 2024-2025, y estos requisitos se han fortalecido en 2026.
Más allá de los requisitos de los proveedores de buzones, algunas industrias y reguladores gubernamentales avanzan hacia la obligatoriedad de DMARC. Las agencias federales de EE. UU. deben utilizar DMARC, al igual que los procesadores de pagos regulados por DORA. Además, implementar DMARC refuerza el cumplimiento de regulaciones como PCI DSS 4.0, GDPR y NIS2. Para equipos de ciberseguridad, correo electrónico y TI, garantizar que la seguridad de su correo electrónico cumpla con las mejores prácticas y requisitos internacionales es esencial.