Dark
Light

Sólo el 7,7% de los dominios de correo electrónico aplica un bloqueo de autentificación efectivo

Un nuevo informe de EasyDMARC revela que más del 90% de los 1,8 millones de dominios analizados sigue expuesto al spoofing de correo, pese al avance normativo y a las exigencias de los grandes proveedores. La carencia de políticas p=reject y la ausencia de visibilidad a través de informes agravan un problema que alimenta campañas de phishing cada vez más sofisticadas.
3 de junio, 2025

La firma de autentificación de correo EasyDMARC acaba de publicar su 2025 DMARC Adoption Report, un estudio que radiografía el nivel de protección de los principales dominios mundiales frente a la suplantación de identidad. Este documento concluye que únicamente el 7,7% de los dominios analizados ha activado la política p=reject, la configuración más estricta de DMARC (Domain-based Message Authentication, Reporting and Conformance), que bloquea los mensajes fraudulentos antes de que estos lleguen al buzón.

La consecuencia de esto es que alrededor del 90% permanece vulnerable a ataques de spoofing, lo que da margen a los ciberdelincuentes para afinar campañas de phishing dirigidas a empleados y clientes.

El protocolo DMARC se apoya en los estándares SPF y DKIM para comprobar que el dominio del remitente no ha sido falsificado. Ha sido concebido para que los propietarios de dominios de correo electrónico puedan proteger su dominio del uso no autorizado, comúnmente conocido como suplantación de identidad (spoofing).

Su funcionamiento se basa en la publicación de una entrada DNS de DMARC, de forma que cualquier servidor de correo electrónico receptor pueda autentificar el correo entrante según las instrucciones publicadas por el propietario del dominio en la entrada DNS. Si el correo electrónico supera la autentificación, se marcará como fiable y se entregará, mientras que si no supera la verificación, el mensaje de correo podría entregarse, ponerse en cuarentena o rechazarse, según las instrucciones del registro DMARC.

Aunque su adopción ha aumentado desde 2023, impulsada por requisitos como PCI DSS 4.0.1 y por las políticas de Google, Yahoo y Microsoft, la mayoría de las organizaciones se limita a la política pasiva p=none, que recopila datos pero no bloquea el correo malicioso.

Los países que han impuesto mandatos estrictos muestran descensos notables en la tasa de correos de phishing aceptados. En Estados Unidos, esta proporción ha caído del 68,8% en 2023 al 14,2% en 2025. Situaciones similares se observan en el Reino Unido y la República Checa, donde la regulación pública obliga a las entidades a aplicar políticas bloqueantes.

En cambio, en jurisdicciones con directrices voluntarias —como los Países Bajos o Catar— los avances son prácticamente nulos desde 2023. La ausencia de una obligación formal mantiene a gran parte del tejido empresarial bajo el mismo nivel de riesgo de hace dos años.

Más allá de las normativas, EasyDMARC detecta que el 52,2% de los dominios carece siquiera de un registro DMARC básico. Entre quienes sí lo implementan, la política dominante continúa siendo p=none, que no impide la entrega de correos fraudulentos.

Deficiencias técnicas y falta de visibilidad

El informe señala otro punto crítico: más del 40% de los dominios con DMARC activo no incluye etiquetas RUA para la recepción de informes. Sin estos, las organizaciones desconocen qué mensajes fallan en el proceso de autentificación y quién intenta enviar correos en su nombre, lo que limita la capacidad de respuesta ante incidentes.

Según resume la dirección de EasyDMARC, dejar la política en modo pasivo equivale a instalar un sistema de seguridad sin encenderlo. Mientras el volumen y la sofisticación de los ataques crece, las empresas que no completan la transición a p=reject corren el riesgo de exponer su comunicación corporativa y su reputación.

Los investigadores relacionan la falta de controles robustos con el aumento de campañas de spoofing de dominios; en mayo de 2024, una alerta del Gobierno estadounidense describía cómo el grupo Kimsuky, vinculado a Corea del Norte, explotaba configuraciones laxas de DMARC para hacerse pasar por académicos y periodistas especializados en Asia oriental.

Un mes después, en julio de 2024, Guardio Labs documentaba el uso de una vulnerabilidad en el servicio de protección de correo de Proofpoint para falsificar marcas de gran consumo como Disney, Nike o Coca-Cola. Ambas campañas se apoyaban en políticas de autenticación permisivas que permitieron a los atacantes insertar mensajes verosímiles en las bandejas de entrada.

Ante la presión regulatoria y la actividad criminal, el mensaje del sector es claro: detenerse en la mitad del camino ya no es una opción. Completar la adopción de DMARC con políticas bloqueantes y mecanismos de informe se perfila como una prioridad para los responsables de TI y de compras tecnológicas que buscan proteger la cadena de comunicación corporativa y cumplir con las exigencias de cumplimiento normativo.

Ver más

Relacionados