Imagina que un proveedor recibe un correo supuestamente enviado desde tu cuenta corporativa, pidiéndole que cambie el número de cuenta para el próximo pago. El mensaje parece legítimo: el dominio es el tuyo, el nombre del remitente coincide y el tono es el habitual. El problema es que tú no lo enviaste. Y lo peor: probablemente no te enteres hasta que detectes que el pago no llegó y tengas que reclamarlo.
Esto no es un escenario hipotético: es exactamente lo que facilita la ausencia de DMARC en el dominio de una empresa. Y, según datos de informes oficiales, en las pymes la proporción de dominios sin DMARC es significativamente mayor.
Qué es DMARC y por qué existe
DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo de seguridad que controla quién está autorizado a enviar correo desde tu dominio. No es un filtro antispam ni un antivirus: es una política que le dice al servidor receptor qué hacer cuando recibe un email que dice ser de tu empresa pero no puede verificarlo.
Para entender cómo funciona, hay que conocer dos mecanismos previos sobre los que se apoya:
- SPF define qué servidores están autorizados a enviar correo en nombre de tu dominio. Si el correo llega desde una IP no autorizada, falla SPF.
- DKIM añade una firma digital a cada correo saliente. El servidor receptor verifica esa firma para confirmar que el mensaje no fue alterado y que realmente proviene de tu dominio.
DMARC actúa como árbitro: recoge los resultados de SPF y DKIM, verifica que el dominio autenticado coincida con el que aparece en el campo "De" del correo, y aplica la política que hayas definido. Si el correo no supera la verificación, DMARC decide qué ocurre con él.
Un correo llega al servidor de tu cliente diciendo ser de tuempresa.com. El servidor consulta tu registro DMARC en el DNS. Si no pasa la verificación y tienes política de rechazo activa, el correo se descarta antes de llegar a la bandeja de entrada. Tu cliente nunca lo ve.
Las tres políticas DMARC: de la observación al bloqueo
DMARC no es un interruptor de encendido y apagado. Funciona en tres niveles que se activan progresivamente:
- p=none (monitorización): No filtra nada. Solo registra qué correos pasan o fallan la verificación y envía informes al administrador. Es el punto de partida recomendado para no interrumpir envíos legítimos mientras se audita la configuración.
- p=quarantine (cuarentena): Los correos que no superan la verificación van a la carpeta de spam del destinatario. Reducción de exposición sin bloqueo total.
- p=reject (rechazo): Los correos no verificados se descartan directamente. Es la configuración objetivo: máxima protección, cero tolerancia al spoofing.
"Sin DMARC, los servidores de correo no tienen instrucciones sobre qué hacer con los mensajes que suplantan tu dominio. Los entregan."
— Lógica del protocolo DMARC, RFC 7489Qué ocurre cuando no está configurado
En octubre de 2024, una campaña de phishing suplantó a la Fábrica Nacional de Moneda y Timbre enviando correos desde su dominio con malware adjunto. En diciembre del mismo año, ciberdelincuentes llegaron a suplantar al propio INCIBE — el Instituto Nacional de Ciberseguridad — para extorsionar a usuarios. En ambos casos, la ausencia o mala configuración de DMARC facilitó que los correos fraudulentos llegaran a sus destinatarios.
Para una pyme, las consecuencias son las mismas aunque la escala sea diferente. Un dominio sin DMARC expone a la empresa a tres riesgos concretos:
- Fraude financiero: correos falsos solicitando transferencias o cambios de datos bancarios a proveedores o clientes.
- Daño reputacional: si tu dominio se usa para enviar spam o phishing, los grandes proveedores de correo pueden marcar tu dominio como sospechoso — afectando también a tus envíos legítimos.
- Pérdida de confianza: clientes que reciben correos fraudulentos "de tu empresa" y caen en el engaño difícilmente distinguirán entre el ataque y tu marca.
Cómo activar DMARC en tu dominio
La implementación técnica es responsabilidad del equipo IT o del proveedor que gestiona tu DNS. Pero como responsable de la empresa o del área de IT, conviene entender el proceso para validar que se está haciendo correctamente.
El proceso estándar tiene cuatro fases:
- Verificar que SPF y DKIM están activos antes de configurar DMARC. Si alguno de los dos falla, DMARC no puede funcionar correctamente.
- Publicar un registro DMARC en el DNS con política p=none e incluir una dirección para recibir los informes agregados (etiqueta rua=).
- Analizar los informes durante 2-4 semanas. Los informes muestran qué servidores envían correo en nombre de tu dominio — legítimos e ilegítimos. Esta fase es crítica para no bloquear por error envíos válidos como newsletters o plataformas de soporte.
- Escalar a p=quarantine y después a p=reject una vez confirmado que todos los emisores legítimos están correctamente autorizados.
Puedes comprobar si tu dominio tiene DMARC activo en menos de un minuto con herramientas gratuitas como MXToolbox o el comprobador de DMARC de Google. Busca "DMARC checker" e introduce tu dominio. Si no aparece ningún registro, tienes trabajo pendiente.
DMARC no es la única medida de seguridad necesaria en el correo corporativo, pero sí es una de las más rápidas de activar y con mejor retorno: reduce de forma drástica la suplantación del dominio. En otras palabras, cierra una puerta que muchas empresas tienen abierta sin saberlo —y que los atacantes conocen perfectamente.
Si quieres revisar el estado de tu dominio o necesitas ayuda para implementar DMARC correctamente, el equipo de Expacom puede hacer una auditoría inicial sin compromiso.
Más artículos sobre Ciberseguridad
