La guía de Red Sift sobre la adopción global de DMARC

Última actualización: enero de 2026

Domain-based Message Authentication, Reporting, and Conformance (DMARC) da a los propietarios de dominios el control sobre cómo los destinatarios gestionan los correos electrónicos no autenticados, previene la suplantación y protege la comunicación saliente. Sin embargo, para que DMARC haga realmente Internet más seguro, se necesita una adopción global. Un enfoque fragmentado deja superficies de ataque que pueden ser aprovechadas por ciberdelincuentes.

Una aplicación universal de DMARC:

• Refuerza la ciberseguridad: Una adopción a gran escala de políticas de cuarentena o rechazo reduciría drásticamente los ataques de phishing y suplantación.
• Genera confianza: Garantizar que los correos legítimos no sean clasificados erróneamente como spam protege las relaciones con los clientes y la reputación de la marca.
• Simplifica la conformidad: DMARC ayuda a las empresas a cumplir con los requisitos de ciberseguridad en evolución, incluidos los de los Bulk Sender de Microsoft, Google y Yahoo.
• Fomenta la colaboración: Un estándar global de seguridad en el correo electrónico beneficia tanto al sector público como al privado, protegiendo por igual a remitentes y destinatarios.

A pesar del aumento de la concienciación, la adopción global de DMARC sigue siendo baja. En diciembre de 2025, solo el 14,9% de los dominios (de una muestra de 73,3* millones) había iniciado el proceso hacia DMARC con al menos una política p=none (solo reporte). No obstante, hay datos alentadores: desde febrero de 2025 se ha observado un crecimiento del 5,2%.

El porcentaje de dominios que aplican la política DMARC más estricta y segura (p=reject) es solo del 2,5% (alrededor de 1,8 millones). Sorprendentemente, el 83,9% de todos los dominios analizados no tienen un registro DMARC visible. Esta brecha expone la necesidad urgente de una aplicación y expansión aceleradas para proteger empresas y personas frente a amenazas por correo electrónico.

*La muestra se extrae de los sitios web más utilizados/visitados del mundo.

Los análisis de Red Sift han considerado más de 73 millones de dominios pertenecientes a algunas de las mayores empresas que cotizan en bolsa, índices y grupos regulados a nivel global. A continuación, un desglose para las principales empresas cotizadas, según su país en relación a la DMARC readiness (es decir, dominios que aplican la política MÍNIMA exigida por BIMI – Brand Indicators for Message Identification –, al menos p=quarantine o p=reject).

*Datos actualizados a enero de 2026.

Las perspectivas para las empresas cotizadas más grandes han mejorado respecto a febrero de 2025: en 19 de 28 países la penetración de DMARC supera el 50%. Estados Unidos, India y Australia son los mercados más avanzados; la readiness entre todas las empresas cotizadas analizadas es del 57,6%.

Sin embargo, algunos países todavía tienen mucho camino por recorrer. Las mayores brechas de aplicación se observan en:

• Corea del Sur: Solo el 10,1% de las empresas cotizadas aplica p=reject. Es un aumento del 4% frente al año anterior.
• Japón: Solo el 25% implementa p=quarantine o p=reject, con un alza del 4,3% desde febrero de 2025.
• Tailandia: La cobertura es solo del 31,3%, con un crecimiento del 4%.

Si bien a nivel global la adopción avanza en la dirección correcta, estas diferencias resaltan la necesidad de acciones más decididas por parte de la industria y los reguladores para cerrar estas brechas y garantizar la seguridad del correo electrónico en todo el mundo.

Red Sift también recoge datos sobre grupos regulados por la SEC, bolsas de valores y mercados de Estados Unidos. A continuación, una comparación del rendimiento según mercado o grupo.

*Datos actualizados a enero de 2025.

Los índices bursátiles son líderes en la implementación de DMARC y todos alcanzan al menos un 50 % de aplicación p=reject. Tanto S&P 500 como Fortune 500 destacan con un nivel de preparación DMARC del 81 % y 81,2 % respectivamente, mostrando sólidas prácticas de ciberseguridad entre las principales empresas cotizadas estadounidenses.

Sin embargo, las empresas reguladas por la SEC están considerablemente rezagadas: solo el 30,8 % logra la preparación BIMI (DMARC p=quarantine o p=reject). Esta brecha demuestra que se necesita una mayor presión normativa y adopción sectorial para proteger mejor a las empresas financieras frente a las amenazas basadas en correo electrónico.

Muchos países ya cuentan con normas sobre ciberseguridad y protección de datos que podrían servir de base para la aplicación de DMARC. Por ejemplo:

• General Data Protection Regulation (GDPR) en la Unión Europea pone el énfasis en la seguridad de los datos y podría ampliarse con requisitos de autenticación de correo electrónico.
• California Consumer Privacy Act (CCPA) en EE. UU. se centra en la protección de los datos de los consumidores, incluyendo medidas proactivas como la adopción de DMARC.
• Digital Operational Resilience Act (DORA) en la UE prevé sólidas prácticas de ciberseguridad para las instituciones financieras, incluidas recomendaciones para la aplicación de DMARC.
• El National Institute of Standards and Technology (NIST) recomienda explícitamente DMARC, SPF y DKIM para prevenir el phishing y el spoofing. Publicaciones como NIST 800-177 y 800-53 subrayan la aplicación de p=reject para asegurar que solo los correos auténticos lleguen a su destino.

La adopción de DMARC sigue creciendo a nivel mundial, gracias a la creciente atención de gobiernos y organizaciones de seguridad informática sobre su papel en la prevención del fraude por correo electrónico.

La Internet Engineering Task Force (IETF) y la Global Cyber Alliance (GCA) han desarrollado los estándares DMARC, mientras que el European Cybercrime Centre (EC3) promueve activamente la difusión de DMARC, SPF y DKIM.

En la mayoría de los países, DMARC ya no se considera solo una práctica recomendada, sino un requisito básico para la higiene del correo electrónico. Estas directrices demuestran cómo los mensajes autenticados y protegidos por políticas son cada vez más un requisito mínimo para el sector público y los dominios de alto riesgo.

• En el Reino Unido, el Manual gubernamental de políticas de ciberseguridad y las directrices para la seguridad del correo gubernamental exigen que los dominios públicos implementen DMARC junto con SPF, DKIM y protección TLS. En EE. UU., la Binding Operational Directive 18‑01 de CISA obliga a las agencias federales a aplicar DMARC con p=reject junto a SPF y DKIM.
• Países Bajos y Nueva Zelanda introdujeron en 2018 políticas nacionales que obligan DMARC para dominios públicos, limitando así el envío no autenticado por parte de la administración pública. En Nueva Zelanda, la normativa específica ordena que las agencias protejan los dominios públicos con SPF, DKIM y DMARC según el manual nacional de seguridad de la información.
• Dinamarca ha impuesto a todas las agencias públicas la aplicación de DMARC en p=reject, logrando una de las tasas de adopción más altas de Europa. Canadá ha establecido por regulación y directrices el uso de SPF, DKIM y DMARC en los correos institucionales públicos.
• Las autoridades australianas recomiendan en sus directrices de seguridad DMARC con política p=reject para organismos públicos, convirtiéndolo de facto en un estándar obligatorio para implementaciones conformes. El conjunto de estas normativas estatales, regulaciones y directrices de los proveedores de correo electrónico demuestra cómo DMARC ha pasado de ser una buena práctica a ser un estándar global para una entrega fiable.

Red Sift recomienda:

Colaborar con organizaciones internacionales de ciberseguridad es fundamental para acelerar la adopción de DMARC y hacer frente a amenazas de correo como phishing, fraudes y Business Email Compromise (BEC).

El European Cybercrime Centre (EC3), creado por Europol, es un motor de la ciberseguridad en la UE: fomenta la difusión de DMARC, SPF y DKIM, colabora con fuerzas de seguridad, expertos y la industria, y combate el spoofing y la suplantación de dominios. EC3 también dirige la iniciativa No More Ransom, que desde 2016 combate el crimen informático a nivel internacional.

Más allá de Europa, organismos como Naciones Unidas (UN) y la International Telecommunication Union (ITU) podrían promover una rápida adopción de DMARC entre sus miembros y definir un estándar global para la autenticación de correo. También las ONG tienen un papel clave apoyando normativas que protejan personas y empresas ante las amenazas informáticas y manteniendo Internet como un entorno seguro de comunicación.

• Estados Unidos: El sector público ha avanzado mucho gracias a la obligación de DMARC impuesta por el Department of Homeland Security (DHS) para agencias federales; queda mucho por hacer en el sector privado.
• Canadá: También ha habido avances gracias al apoyo del Canadian Centre for Cyber Security (CCCS).

Red Sift recomienda:

Las regulaciones nacionales deberían extenderse a empresas privadas, especialmente en sectores críticos como finanzas, telecomunicaciones, energía y sanidad.

• Unión Europea: El foco de la UE en la ciberseguridad, por ejemplo a través de DORA y la directiva NIS2, ofrece una sólida base para la aplicación de DMARC y exige prácticas habituales de higiene informática.
• Reino Unido: El National Cyber Security Centre (NCSC) lidera la promoción de DMARC.

Red Sift recomienda:

Para reforzar la seguridad del correo en Europa, DMARC debería integrarse en las directivas de la UE para asegurar una adopción amplia. Programas de apoyo podrían reducir barreras económicas y facilitar la introducción de protocolos de seguridad de correo, en especial para pymes.

El gobierno británico también puede ser pionero ofreciendo no solo formación, sino ayudas y subvenciones a pymes del país. Facilitando la adopción de DMARC, la UE y el Reino Unido pueden promover mejores estándares de ciberseguridad, reducir el phishing y proteger los negocios.

• India: El gobierno ha impuesto DMARC a los dominios públicos, pero en el sector privado aún está en fases iniciales.
• Australia: El Australian Cyber Security Centre (ACSC) ha publicado directrices sobre DMARC, pero todavía no hay obligatoriedad.

Red Sift recomienda:

Los gobiernos pueden acelerar la implantación a través de campañas de sensibilización con socios públicos y privados.

Un gran ejemplo viene del NCSC británico, que con el programa Mail Check impulsó a organismos públicos y empresas a usar DMARC en p=reject, reduciendo el spoofing.

• África: Muchos países sufren carencia de infraestructuras y recursos, pero determinados sectores como el financiero están mejorando.
• Latinoamérica: Países como Brasil y México están reforzando la ciberseguridad, pero todavía faltan políticas DMARC estructuradas.

Red Sift recomienda:

Los países en desarrollo necesitan apoyo financiero y técnico, ya que los recursos limitados hacen difícil cumplir con las políticas obligatorias de seguridad de correo. Sin implementación, estas regiones continúan vulnerables ante phishing, spoofing y otras amenazas informáticas.

Las organizaciones internacionales deberían ofrecer ayuda, soporte técnico y formación para que empresas e instituciones puedan adoptar eficazmente DMARC. Con los recursos adecuados, la protección aumenta globalmente y se reduce la atracción de estos países para los ciberdelincuentes.

Los gobiernos, empresas y organizaciones sin ánimo de lucro deberían colaborar juntos para la difusión de DMARC. Por ejemplo:

• Red Sift ofrece herramientas gratuitas como Red Sift Investigate para comprobar el registro DMARC propio y otros protocolos.
• La Global Cyber Alliance (GCA) pone a disposición herramientas y recursos gratuitos para la adopción de DMARC.
• Messaging, Malware y Mobile Anti-Abuse Working Group (M3AAWG): Ofrece las mejores prácticas para la autenticación del correo.
• El National Cyber Security Centre (NCSC) ha anunciado recientemente cambios en el Mail Check Service, incluyendo el cese de los reportes agregados DMARC, servicio que ahora ofrecen empresas privadas recomendadas como Red Sift.

Sanidad y finanzas manejan datos altamente sensibles y son de los sectores más atacados por phishing y fraudes. En 2024, el 48 % de las organizaciones sanitarias y el 73 % de las financieras reportaron ataques de phishing, mientras que el 61 % de las sanitarias carecen de defensas adecuadas contra fugas de datos.

DMARC ayuda a identificar y bloquear correos fraudulentos enviados en nombre de hospitales, aseguradoras, bancos o proveedores de pago, reduciendo el riesgo de phishing, robo de identidad y accesos no autorizados. Aplicar p=reject asegura que solo los remitentes autorizados pueden usar el dominio de la organización, facilita el cumplimiento normativo y fortalece la confianza de clientes y usuarios.

DMARC no es opcional. A partir del 31 de marzo de 2025, PCI DSS v4.0 exige que todas las empresas que gestionan pagos con tarjeta configuren sus políticas DMARC en "quarantine" o "reject" para prevenir el spoofing y aumentar la seguridad. No cumplir puede acarrear sanciones entre 5 000 y 100 000 USD al mes, según la gravedad y duración de la infracción.

Red Sift recomienda:

DMARC no solo mejora la seguridad, también la entregabilidad del correo legítimo y reduce el spam y phishing. Con DMARC, las organizaciones sanitarias y financieras pueden mitigar riesgos, proteger datos sensibles y asegurar comunicaciones seguras.

En los sectores estratégicos aún existen carencias que los hacen objetivos frecuentes de ataques. Las soluciones existen, pero muchos aún no han tomado medidas.

Las organizaciones que no conocen DMARC o que tienen dificultades sin apoyo ni estímulo público, a menudo carecen de las competencias para implementarlo por sí solas. Hasta ahora solo unas pocas autoridades nacionales impulsan la adopción de DMARC. Ejemplos:

• CISA (Cybersecurity and Infrastructure Security Agency): Obliga la aplicación de DMARC para agencias federales estadounidenses a través de la Binding Operational Directive (BOD) 18-01. Las entidades deben configurar DMARC en p=reject para evitar spoofing y phishing.
• ENISA (European Union Agency for Cybersecurity): Ofrece recomendaciones y mejores prácticas para aplicar DMARC en Europa – centradas en proteger las comunicaciones de entidades públicas y privadas, aunque sin medidas coercitivas como CISA.
• NCCs (National Cybersecurity Centers): El NCSC británico promueve DMARC proporcionando asistencia técnica para un correo público más seguro. Otros NCC ofrecen recursos, formación y recomendaciones adaptados a las políticas nacionales de ciberseguridad.

Las carreras universitarias de informática y ciberseguridad deberían incluir siempre DMARC, profundizando en seguridad de correo y gestión de ataques avanzados. Aunque no sea el eje central, ciertos cursos cubren estos aspectos, como:

Reino Unido y Europa:

• SANS Institute: Ofrece cursos avanzados en Londres sobre varios aspectos de la seguridad, incluida la protección del correo.
• OPSWAT Academy: Un programa completo para desarrollar conciencia y preparación ante amenazas y medidas sobre correo electrónico.
• University of Southampton: Tiene un curso “Comprehensive Cybersecurity” acreditado por el National Cyber Security Centre británico, que abarca varios temas entre ellos probablemente la seguridad del correo.

Canadá y Estados Unidos:

• Cisco – Securing Email with Cisco Email Security Appliance (SESA): Curso práctico para defender el correo con Cisco ESA contra phishing y ransomware.
• SANS Institute (EE. UU. y Canadá): Imparte varios cursos presenciales de ciberseguridad en Norteamérica, incluyendo el tema de correo.
• Texas A&M Engineering Certificate Series: Programa de certificación enfocado en empleados públicos/privados y estudiantes, financiado por U.S. Department of Homeland Security (DHS) Federal Emergency Management Agency (FEMA), y de acceso gratuito.

Con la evolución de las amenazas digitales, DMARC también debe evolucionar. Las organizaciones deben mantenerse al día con la autenticación de correo y la seguridad. Las asociaciones sectoriales y los stakeholders deben seguir promoviendo la aplicación eficiente de DMARC como una prioridad política y económica.

Las innovaciones tecnológicas brindan a los criminales nuevos puntos de ataque, incluso por correo electrónico. Además de DMARC, hay cuatro áreas en las que una aplicación más sólida podrá beneficiar a los usuarios en el futuro:

1. Detección de amenazas basada en IA con DMARC Mejor aplicación de DMARC gracias a la integración de inteligencia de amenazas basada en IA, para identificar phishing, BEC y correos deepfake en tiempo real. El análisis AI optimiza SPF, DKIM y las políticas DMARC, bloqueando anticipadamente los vectores de ataque. Red Sift Radar detecta y soluciona problemas de seguridad hasta 10 veces más rápido—disponible vía Red Sift Pulse Platform.
2. Seguridad Zero-Trust en correo con DMARC Las arquitecturas Zero-Trust se refuerzan integrando DMARC (p=reject) y la verificación continua del correo. La identificación de anomalías y la verificación de identidades vía IA previenen robos de identidad, amenazas internas y accesos no autorizados al correo electrónico.
3. Blockchain y DMARC para la seguridad de la cadena de suministro Mayor protección de las comunicaciones externas combinando DMARC y blockchain: los protocolos de correo antifalsificación pueden bloquear ataques a la supply chain, suplantación de proveedores y fraudes de facturación.
4. Chatbots IA y DMARC para concienciación en seguridad Uso de chatbots de IA para analizar en tiempo real los logs DMARC y permitir a los empleados verificar al instante los correos sospechosos. Alertas automatizadas de phishing por Slack, Teams o WhatsApp mejoran la formación y la capacidad de respuesta.

Lograr un consenso global respecto a DMARC no es solo un asunto técnico, sino un compromiso compartido. Aprovechando normativas existentes, encarando desafíos regionales y promoviendo la colaboración, podemos hacer el mundo digital más seguro para todos.

Red Sift OnDMARC está diseñado específicamente para acelerar tu recorrido desde el análisis al enforcement total de DMARC, sin la típica complejidad ni los retrasos de otros proyectos. Nuestra plataforma reúne informes exhaustivos y tecnología Dynamic SPF, que actualiza automáticamente los registros SPF cuando cambian los orígenes de envío y resuelve uno de los principales obstáculos para el enforcement.

Normalmente logramos el enforcement total de DMARC en 6-8 semanas—mientras el promedio del sector es de 6-12 meses—brindando soporte continuo por parte de expertos en correo para entornos empresariales complejos. Da igual si parten desde cero o están atascados en "quarantine": OnDMARC ofrece transparencia, automatización y experiencia para proteger tu dominio del spoofing y asegurar la continuidad operativa.

En todo el mundo, la obligatoriedad del enforcement DMARC lleva a que organismos públicos y mercados esperen niveles crecientes de autenticación de correo. Una adopción tardía implica no solo un riesgo para la seguridad, sino una desventaja competitiva. OnDMARC elimina barreras técnicas y acelera los plazos de despliegue, así puedes enfocarte en el negocio dejando la complejidad del correo en nuestras manos.

1. Gobiernos: Actualizar normativas y exigir DMARC.
2. Empresas: Configurar DMARC para proteger dominios y clientes. Elige Red Sift OnDMARC y comienza ya.
3. Organismos internacionales: Promover DMARC como estándar global y herramienta de defensa ante atacantes.
4. Individuos: Apoyar la seguridad de correo en su comunidad, comprobar gratis el DMARC de su empresa y notificar vulnerabilidades con Red Sift Investigate.

Juntos nos acercamos a un mundo donde los ataques por correo sean solo un recuerdo. Trabajemos para un despliegue global completo de DMARC.