Artículo de blog
- 23 de enero de 2025
- 8 minutos de lectura
- Edward Carroll
- DMARC Advocate
Más allá del ruido: El verdadero panorama normativo para DMARC
Cuando se trata de la seguridad del correo electrónico y el cumplimiento de la normativa, hay mucha confusión. Hemos visto afirmaciones de que el protocolo Domain-based Message Authentication, Reporting, and Conformance(DMARC) es necesario en virtud de la normativa sobre datos de privacidad, cuando los mandatos no lo exigen.
Aunque la seguridad del correo electrónico es importante para proteger la información sensible, creemos que hay que tener claro qué normativas requieren DMARC y cuáles apuntan a su aplicación generalizada.
En este artículo, vamos a destacar los mandatos reales de DMARC, desacreditar los conceptos erróneos más comunes y explicar por qué DMARC sigue siendo importante, incluso cuando no es obligatorio.
La normativa vinculada a DMARC
DMARC es una poderosa herramienta en la lucha contra la suplantación de identidad del correo electrónico, una táctica común utilizada en los ataques de Business Email Compromise (BEC), que se espera que cuesten US$ 3.220 millones este año, y el phishing. Pero no todas las normativas de ciberseguridad o privacidad de datos lo exigen directamente. He aquí un desglose de las normativas que exigen la implementación DMARC y las que no:
Mandatos que exigen DMARC
Muchos gobiernos y organismos reguladores de todo el mundo ya han hecho obligatorio el uso DMARC en sectores específicos:
A nivel global
- Requisitos de envío masivo de Google y Yahoo: Las organizaciones que envíen más de 5 000 correos electrónicos al día deben implementar DMARC.
- Mandato de Microsoft para el envío de grandes volúmenes: Las empresas que envían más de 5 000 correos electrónicos diarios a dominios de Microsoft deben tener SPF, DKIM y DMARC.
Norteamérica
- Directiva Operativa Vinculante (DBO) 18-01: Requiere que las agencias federales de EE.UU. implementen DMARC con una política p=reject .
- Manual de gestión de la información del Estado de California (SIMM) - 5315A: Obliga a DMARC a las agencias estatales de California.
- Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) DMARC: Requiere que los proveedores de servicios en la nube que trabajan con el gobierno federal de EE.UU. apliquen p=reject.
- Política de correo electrónico del Gobierno canadiense: Las agencias federales canadienses deben tener una política DMARC de p=quarantine o p=reject.
Europa
- Dinamarca, Países Bajos y Reino Unido: Todos tienen mandatos gubernamentales específicos que exigen laimplementación DMARC para la seguridad del correo electrónico del sector público.
Otras regiones
- Nueva Zelanda: Establece una política DMARC de p=reject para los organismos gubernamentales.
- Controles esenciales de ciberseguridad (ECC) de Arabia Saudí: Exige una autenticación sólida del correo electrónico, incluido DMARC.
- El sector financiero ruandés mandate: Las instituciones financieras deben implementar SPF, DKIM y DMARC.
¿Qué ocurre con otras leyes de protección de la privacidad?
Una cosa que hemos notado es que muchos asumen que las regulaciones de protección de datos bien conocidas como el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA) obligan a DMARC. Esto no es cierto. Estas leyes se centran en la protección de los datos personales, las notificaciones de infracciones y los derechos de los consumidores, pero no obligan a las empresas a implementar DMARC.
Otras normativas que se asocian erróneamente con DMARC incluyen:
- Norma sobre privacidad de la información financiera del consumidor de la Ley Gramm-Leach-Bliley (GLBA): Obliga a las entidades financieras a proteger los datos de sus clientes, pero no impone DMARC.
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA): Protege los datos de los pacientes, pero DMARC no es un requisito de cumplimiento.
- Certificación del Modelo de Madurez de Ciberseguridad (CMMC): Requiere que los contratistas del Departamento de Defensa (DoD) salvaguarden la información sensible, pero DMARC no es obligatorio.
- Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (CEI) 27001: Un marco de ciberseguridad ampliamente reconocido, pero no especifica DMARC como requisito.
- Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) v4.0: Obliga a utilizar mecanismos automatizados para detectar y proteger contra phishing, pero no exige DMARC.
Para que quede claro, aunque DMARC ayuda a las organizaciones a alinearse con los objetivos de estas normativas -reduciendo el riesgo de ataques phishing que podrían dar lugar a filtraciones de datos-, no existe ningún requisito directo para implementar .
Por qué DMARC es importante con o sin regulaciones
Aunque no es obligatorio en todos los marcos normativos, la implementación de DMARC puede reforzar significativamente la seguridad del correo electrónico de tu empresa. He aquí por qué DMARC es importante, incluso sin requisitos de cumplimiento:
- Mejora la integridad y la confianza: DMARC, con Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM), ayuda a autenticar la integridad del correo electrónico y la identidad del remitente. Esto impide que los ciberdelincuentes suplanten o se hagan pasar fácilmente por el dominio de tu empresa, lo que fomenta la confianza de clientes y socios comerciales.
- Mejora la capacidad de entrega: Al alinearse con SPF y DKIM, DMARC reduce la posibilidad de que los correos legítimos acaben en Spam. Esto puede mejorar la capacidad de entrega y aumentar las posibilidades de que las comunicaciones importantes lleguen a los destinatarios previstos.
- Proporciona más visibilidad: DMARC permite a las organizaciones recibir reportes sobre los correos electrónicos enviados desde su dominio, incluidos los que no superan las comprobaciones DMARC. Esta visibilidad permite a las empresas supervisar y controlar el uso de su dominio de correo electrónico, detectando rápidamente el uso no autorizado y las amenazas potenciales.
- Protege la reputación de la marca: Al reducir el fraude por correo electrónico, las empresas pueden proteger la reputación de su marca del impacto negativo de los ataques basados en el correo electrónico como la ingeniería social, una amenaza común utilizada en el 98 % de los ciberataques en 2024.
Con DMARC, las empresas mejoran sus medidas de seguridad y su eficacia operativa, al tiempo que mantienen la confianza de sus interlocutores.
Transparencia en las directrices DMARC
En Sendmarc, creemos que hay que eliminar el ruido y proporcionar información precisa y práctica sobre la adopción de DMARC. Nos centramos en lo que realmente importa:
- Normativa que exige laimplementación DMARC
- Mejores prácticas y tendencias que muestran hacia dónde se dirigen los mandatos DMARC
- Orientación clara sobre cómo las organizaciones pueden anticiparse a los cambios normativos
Si tu organización está considerando DMARC, la pregunta no es si lo necesitarás, sino cuándo. Y con el aumento del phishing , que contribuyó a 932.923 ciberataques solo en el tercer trimestre de 2024, cuanto antes se instale la protección, mejor.
¿Te interesa comenzar? Ponte en contacto con nosotros y te guiaremos a través de todo el proceso.
