La guía completa de Red Sift sobre la seguridad del correo electrónico
¿Cuáles son las obligaciones y recomendaciones globales para DMARC en 2026?
Para los equipos de ciberseguridad, seguridad del correo electrónico y TI, comprender y cumplir los requisitos globales de DMARC (Domain-based Message Authentication, Reporting, and Conformance) es esencial.
En Red Sift hemos realizado una visión general en formato tabla sobre las normativas y recomendaciones vigentes de DMARC en distintas partes del mundo. Nuestro objetivo es ofrecer una guía clara y directa que resuma los requisitos globales en un formato accesible para todos.
Ya seas un profesional de TI en seguridad, un administrador de correo electrónico o responsable de cumplimiento, esta tabla es una herramienta fundamental para asegurarte de que la protección del correo electrónico de tu organización cumple con las mejores prácticas y los estándares internacionales.
Obligaciones y recomendaciones DMARC en todo el mundo
Área aplicada | Nombre | Descripción | Tipo de obligación | Más información |
Global | Nuevos requisitos para remitentes de gran volumen | Las organizaciones que envían más de 5.000 correos electrónicos al día deben autenticar los dominios de envío mediante TLS, DKIM, SPF, Alineación DKIM o SPF y establecer una política DMARC de p=none. | Obligación para el sector privado | |
Global | PCI DDS v4.0 Requisito 5.4.1 | Deben emplearse “mecanismos automatizados” para detectar y bloquear intentos de phishing. La norma exige “procesos y mecanismos” pero no específica una solución concreta; las mejores prácticas recomiendan DMARC, SPF y DKIM. | Obligación de cumplimiento | |
Canadá | Requisitos de configuración para servicios de gestión de correo electrónico | Es necesario garantizar que el remitente o destinatario del correo gubernamental sea verificable mediante Sender Policy Framework, Domain Keys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting and Conformance (DMARC). | Obligación para organismos gubernamentales | |
Dinamarca | Requisitos técnicos mínimos para organizaciones gubernamentales 2023 | Todas las entidades gubernamentales están obligadas a implementar, en todos sus dominios, una política DMARC de p=reject. | Obligación para organismos gubernamentales | |
Nueva Zelanda | Information Security Manual Nueva Zelanda, v3.6, sección 15.2 (2022) | El futuro sucesor de SEEMail utilizará DMARC; como resultado, proveedores y autoridades deberán cumplir: 1. Cumplimiento de DMARC de SHOULD a MUST [CID:6019] [CID:6021] 2. Política DMARC de p="none" a p="reject" [CID:6020] 3. Cumplimiento de DKIM de SHOULD a MUST [CID:1797] [CID:1798] | Obligación para organismos gubernamentales | |
Irlanda | Norma básica de ciberseguridad para el sector público, sección 2.9 | Las organizaciones del sector público deben implementar TLS, SPF, DKIM y aplicar una política DMARC a todos los correos electrónicos entrantes. | Obligación para organismos gubernamentales | |
Países Bajos | Estándar "Cumple o Explica" | Normas obligatorias para entidades públicas que exigen DKIM, SPF y DMARC, además de STARTTLS y DANE. | Obligación para organismos gubernamentales | |
Arabia Saudita | Guía para la implementación de controles esenciales de ciberseguridad (ECC), sección 2-4-3 | Las organizaciones nacionales deben adoptar todas las medidas necesarias para analizar y filtrar el correo electrónico (incluidos phishing y spam) mediante tecnologías de protección avanzadas y actualizadas. Entre los enfoques recomendados figuran DKIM, SPF y DMARC. | Obligación para organismos gubernamentales | |
Reino Unido | Manual de políticas de ciberseguridad gubernamental – Principio: B3 Seguridad de datos | Los organismos gubernamentales deben tener registros DMARC, DKIM y SPF para sus dominios. Esto debe estar vinculado a MTA-STS y TLS Reporting. El requisito proviene del Minimum Cybersecurity Standard de 2018. | Obligación para organismos gubernamentales | |
Reino Unido | Asegurando el correo electrónico gubernamental | Todos los correos electrónicos de organizaciones del sector público en Internet deben, como mínimo, cifrarse mediante TLS y autenticarse con DMARC. | Obligación para organismos gubernamentales | |
Reino Unido | Actualización de recomendaciones de seguridad para servicios digitales | Cada servicio en service.gov.uk debe publicar una política DMARC. | Obligación para organismos gubernamentales | |
EE. UU. | Directiva Operativa Obligatoria 18-01: Reforzando la seguridad de correo y web | Todas las agencias federales deben reforzar la seguridad web mediante STARTTLS, SPF, DKIM y DMARC con política p=reject. | Obligación para organismos gubernamentales | |
Australia | Recomendaciones de ciberseguridad: guía para el correo electrónico | Recomienda la implementación de SPF, DKIM y DMARC con política p=reject | Recomendación | |
Australia | Cómo combatir el correo fraudulento | Recomienda el uso de SPF, DKIM y DMARC para prevenir el uso indebido de dominios propios como fuente de correos electrónicos falsos. | Recomendación | |
Australia | Estrategias para contener correos maliciosos | Recomienda los métodos más eficaces para proteger a las organizaciones de ataques por correo electrónico, en particular el uso de DKIM, SPF y DMARC con la política "p=reject". | Recomendación | |
Canadá | Guía de implementación: Protección de dominios de correo electrónico (ITSP.40.065 v1.1) | Para una protección completa contra el spoofing, las organizaciones deberían implementar SPF, DKIM y DMARC. | Recomendación | |
UE | Normas de seguridad para la comunicación por correo electrónico | Se recomienda utilizar STARTTLS, SPF, DKIM, DMARC y DANE para proteger las comunicaciones por correo electrónico. | Recomendación | |
Alemania | Contramedidas contra spam y phishing, sección 3.1 | Medidas recomendadas para proveedores de acceso a Internet para reducir problemas derivados de malware y spam a través de SPF, DKIM y DMARC. | Recomendación | |
Arabia Saudita | Campañas de phishing con el malware Emotet | Implementa Domain-based Message Authentication, Reporting and Conformance (DMARC) para detectar suplantaciones de correo electrónico utilizando registros Domain Name System (DNS) y firmas digitales. | Recomendaciones | |
Escocia | Una estrategia de ciberresiliencia para Escocia: Plan de acción para el sector público 2017-2018, v2 | Las organizaciones públicas deben beneficiarse de la protección contra la suplantación proporcionada por DMARC. | Recomendaciones | |
Reino Unido | Seguridad del correo electrónico y anti-suplentación v2 | Dificulta el envío de correos electrónicos falsificados desde los dominios de tu organización implementando SPF, DKIM y DMARC con al menos la política p=none, incluso para los dominios no utilizados. Protege tus correos durante el transporte con TLS. | Recomendaciones | |
Reino Unido | Phishing: defensa de las organizaciones v1.1 | DMARC, SPF y DKIM son defensas de nivel 1 para bloquear correos falsificados utilizados para atacar a una organización. | Recomendaciones | |
Estados Unidos | CIS Controles de Seguridad Críticos v8.0, IG2-9.5 | Implementa la política y la verificación DMARC, empezando por Sender Policy Framework (SPF) y los estándares DomainKeys Identified Mail (DKIM). | Recomendaciones | |
Estados Unidos | CISA INSIGHTS Mejorar la seguridad del correo electrónico y web | Habilita DKIM, SPF y DMARC con la política p=reject. | Recomendaciones | |
Estados Unidos | Multi-State Information Sharing and Analysis Center (MS-ISAC) Directrices de ransomware | Para reducir el riesgo de correos electrónicos falsos o alterados enviados desde dominios válidos, implementa una política DMARC y su verificación correspondiente. | Recomendaciones | |
Estados Unidos | NIST 800-53 Catálogo de controles de seguridad – Revisión 5: SI-08 | Utiliza mecanismos de protección antispam en los puntos de entrada y salida del sistema para detectar y gestionar mensajes no deseados. DMARC, SPF y DKIM son una manera de hacerlo. | Recomendaciones | |
Estados Unidos | NIST Special Publication 800-177 Revisión 1: Email de confianza | Recomienda implementar SPF, DKIM y DMARC, y otros controles para fortalecer la confianza en el correo electrónico. | Recomendaciones |
¿Qué ocurre a partir de ahora?
El panorama de la seguridad y autenticación del correo electrónico está en constante evolución.
En Red Sift entendemos la complejidad de implementar y gestionar DMARC. Nuestra solución galardonada Red Sift OnDMARC está diseñada para simplificar la adopción de DMARC, ofreciéndote tecnología de vanguardia y conocimientos especializados reconocidos.
Preguntas frecuentes: Guía sobre la seguridad del correo electrónico
Todas las medidas de seguridad para el correo electrónico (excepto DMARC) resultan ineficaces si un correo malicioso parece provenir de un dominio legítimo. El motivo es un defecto en el Simple Mail Transfer Protocol (SMTP). En octubre de 2008, Network Working Group lo clasificó oficialmente como "fundamentalmente inseguro" y señaló que cualquiera puede suplantar un dominio y enviar correos fraudulentos en nombre del propietario del dominio.
Cualquier persona con conocimientos básicos de programación puede, con una búsqueda rápida en Google, adquirir lo necesario para suplantar la identidad de correo electrónico de otro. El resultado es un correo que parece legítimo y no presenta señales típicas de phishing. Con 3.400 millones de correos de phishing diarios, los sistemas de correo siguen siendo el principal objetivo de los ciberdelincuentes.
SPF (Sender Policy Framework) verifica si un correo electrónico fue enviado desde una dirección IP autorizada por el registro SPF del dominio remitente. Esto se realiza a través de un registro DNS TXT que enumera los servidores de correo autorizados.
DKIM (DomainKeys Identified Mail) utiliza una firma criptográfica, validada con una clave pública en el DNS, para confirmar que el contenido del correo no ha sido modificado y proviene de un dominio autorizado. Ambas son esenciales para la seguridad del correo electrónico, pero no impiden la suplantación exacta del dominio.
Aunque estos protocolos muestran al destinatario quién envió el correo, no proporcionan instrucciones sobre cómo se debe actuar. Los principales proveedores de correo requerirán a partir de 2026 SPF y DKIM para el envío de comunicaciones masivas.
DMARC significa Domain-based Message Authentication, Reporting and Conformance. Es un protocolo de seguridad de correo saliente que permite a los propietarios de dominios informar a los buzones de destino que rechacen correos falsificados. DMARC combina los resultados de SPF y DKIM para determinar si tu correo es legítimo y está autorizado.
La política DMARC (definida por el tag “p=” en el registro DNS) indica a los servidores de destino qué hacer con estos correos electrónicos. DMARC previene imitaciones exactas del dominio al instruir a los servidores receptores para que no admitan correos no autenticados. Desde 2026, DMARC se ha convertido en el estándar para las organizaciones que envían comunicaciones masivas.
La especificación SPF limita las búsquedas DNS a 10. Si tu registro SPF supera este umbral, la verificación SPF falla. Los mecanismos contados son: a, ptr, mx, include, redirect y exists. En la práctica, 10 búsquedas suelen no ser suficientes: muchas empresas usan varias herramientas de envío de correo.
G Suite por sí solo ocupa 4 búsquedas DNS, y pueden sumarse otras 7, por ejemplo, con actividades de marketing en HubSpot, con lo que el límite se supera. Con más de 10 búsquedas SPF, la validación del correo causa errores aleatorios. En 2026, las empresas optan por una gestión SPF dinámica en lugar de tratar de mantener manualmente las configuraciones “aplanadas”.
Mail Transfer Agent Strict Transport Security (MTA-STS) es un estándar que garantiza el cifrado de los correos enviados entre dos servidores de correo. Establece que los correos se deben enviar solo a través de una conexión cifrada con Transport Layer Security (TLS), previniendo así las interceptaciones por parte de ciberdelincuentes. El protocolo SMTP, por sí solo, no es seguro y es susceptible a ataques “man-in-the-middle”, que permiten interceptar y modificar la comunicación.
Además, el cifrado en SMTP es opcional; esto significa que los correos pueden transmitirse en claro. Sin MTA-STS, un atacante puede interceptar la comunicación y forzar la transmisión sin cifrar del mensaje. En 2026, MTA-STS representa una medida estándar de seguridad para las organizaciones que manejan comunicaciones sensibles.
Implementar DMARC te permitirá bloquear intentos de phishing que aparentan provenir de tu dominio, aumentar la confianza de los clientes, reducir el riesgo cibernético y cumplir los requisitos de envíos masivos de Google, Yahoo y Microsoft.
DMARC también contribuye al cumplimiento de PCI DSS 4.0 y aumenta la resiliencia organizativa en relación con la evolución de las amenazas informáticas. Con una política configurada en p=reject (aplicación), DMARC bloquea fraudes a proveedores, el robo de cuentas y la suplantación de correos, impidiendo que terceros usen tu dominio para phishing o Business Email Compromise (BEC). Según el Data Breach Investigations Report de Verizon 2025, más del 17–22% de todos los incidentes de ingeniería social corresponden a ataques BEC.
Red Sift OnDMARC acelera la adopción de DMARC gracias a la búsqueda automatizada de remitentes, sugerencias prácticas, detección de anomalías y acceso basado en roles para equipos globales. En 2026, las plataformas líderes permiten que las empresas alcancen la plena aplicación p=reject en 6–8 semanas en lugar de los seis meses tradicionales.
Una de las ventajas más citadas de OnDMARC es el tiempo medio de 6–8 semanas hasta lograr la plena enforcement. La robusta automatización de la plataforma analiza constantemente todos los eventos en tu dominio y proporciona recomendaciones y sugerencias sobre las acciones necesarias. Ya 24 horas después de agregar tu registro DMARC personalizado en DNS, OnDMARC empieza a analizar los informes DMARC y a presentarlos en paneles claros.
Los mayores proveedores de correo como Microsoft, Google y Yahoo exigen desde 2024–2025 DMARC para quienes realicen envíos masivos (es decir, organizaciones que superan los 5.000 correos diarios), y estos requisitos ya son estándar en 2026.
Además de las exigencias de los proveedores de correo, sectores y normativas regulatorias enteras adoptan cada vez más DMARC. Las agencias federales de EE. UU. deben usar DMARC, al igual que los proveedores de servicios de pago regulados por DORA. Además, implementar DMARC refuerza el cumplimiento de normativas como PCI DSS 4.0, GDPR y NIS2. Para los equipos de ciberseguridad, seguridad del correo y TI, es esencial alinear la protección del correo electrónico organizacional con las mejores prácticas y requisitos internacionales.