ARTÍCULO DEL BLOG

  • 7 minutos de lectura

El auge de DMARC: por qué crece la autenticación obligatoria del correo electrónico

El papel vital de DMARC en la autenticación del correo electrónico y la seguridad de los dominios está en el candelero ahora más que nunca, a medida que aumentan los ataques de phishing y las empresas y organismos reguladores hacen obligatoria su implementación.

Sendmarc Blog | El auge de DMARC
En los últimos años, la ciberdelincuencia ha crecido exponencialmente y el phishing ha sido el método de ataque más popular, con un envío diario estimado de 3.400 millones de correos electrónicos basura. Esto ha llevado a una mayor necesidad de autenticación del correo electrónico para evitar la suplantación de dominios, lo que ha dado lugar a la adopción de la autenticación, notificación y conformidad de mensajes basada en dominios (en inglés, DMARC) para mitigar esta y otras amenazas basadas en el correo electrónico. Pero, ¿cuándo se creó DMARC y por qué ha aumentado su adopción en los últimos años?

Exploración de la creación y el crecimiento de DMARC

DMARC es un estándar global de autenticación de correo electrónico que interroga y verifica el origen de un mensaje y garantiza que todos los mensajes recibidos de un dominio son auténticos. Permite a las organizaciones ver cuándo los ciberdelincuentes están utilizando su dominio sin autorización, al tiempo que ayuda a garantizar que los correos electrónicos legítimos lleguen a la bandeja de entrada del destinatario previsto.

El trabajo para establecer DMARC como un estándar global se inició en 2011 por un grupo de organizaciones de alto perfil, incluyendo Google, Facebook, Yahoo! Mail y PayPal, por nombrar algunos. En enero de 2012 se publicó un borrador de la especificación DMARC y en marzo de 2013 ya estaba circulando públicamente.

Esto significa que durante más de una década, las organizaciones y los organismos reguladores han reconocido la necesidad de esta mejor práctica global, pero solo en los últimos años ha despegado realmente su adopción. Esto se debe a que los ataques de phishing han crecido un 150% por año desde 2019 y, en los últimos años, el número de nombres de marca que han sido suplantados en ataques de phishing casi se ha duplicado.

Al suplantar el dominio de correo electrónico de una marca de confianza, los ciberdelincuentes pueden crear correos electrónicos sofisticados que engañan a las víctimas para que instalen malware o entreguen información confidencial o dinero. Por ello, no es de extrañar que las organizaciones busquen cada vez más autenticar los correos electrónicos con DMARC para proteger sus marcas contra la suplantación.

Como resultado, la adopción de DMARC está aumentando de forma constante cada año, con un incremento masivo del 84 % en el número de políticas válidas en 2021. Pero con menos de 6 millones de registros DMARC en todo el mundo en 2022, todavía queda mucho camino por recorrer.

Resulta alentador que la tasa de crecimiento anual compuesta (CAGR) prevista para DMARC sea del 37,53% en los próximos cinco años y que, para 2028, se espere que el tamaño del mercado mundial alcance los US$ 1.720 millones, frente a los US$ 254,56 millones de 2022.

Es probable que esto se deba a que las organizaciones, los organismos reguladores y los gobiernos recomiendan ahora encarecidamente la adopción de DMARC o la hacen obligatoria, lo que contribuirá casi con toda seguridad a impulsar la implementación del protocolo.

Lo que DMARC obliga a tener en cuenta

1. Requisitos para remitentes masivos de Google y Yahoo

A partir de febrero de 2024, Google y Yahoo empezaron a supervisar a los remitentes de correo masivo, antes de la fecha límite de junio para que las organizaciones implementen DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF) y DMARC, si envían más de 5 000 correos electrónicos a la vez o en un periodo de 24 horas, a direcciones de Gmail o Yahoo.

Dado que algunos remitentes ya ven errores temporales por correo electrónico no autenticado, las organizaciones deben dar prioridad a tener registros DMARC correctamente configurados. Esto no solo evitará que los ciberdelincuentes suplanten sus dominios y lancen ataques de phishing a clientes, socios, empleados o cualquier otra parte interesada, sino que también ayudará a garantizar que los correos electrónicos legítimos se entreguen siempre.

En 2022, casi el 49% de los correos electrónicos de todo el mundo no llegaron a la bandeja de entrada, y en 2023 esa cifra sigue siendo escandalosamente alta, casi el 46%. Muchos de ellos son correos legítimos enviados desde el dominio de una empresa, pero como las organizaciones no tienen una política DMARC en vigor, los correos auténticos a menudo se marcan como spam y nunca llegan a la bandeja de entrada del destinatario. Ahora, Google y Yahoo han subido la apuesta, con reglas de remitente destinadas a prevenir el spam y garantizar la seguridad de los usuarios, obligando a tener un registro DMARC.

Así pues, independientemente de la plataforma de correo electrónico que utilice una organización, ésta debe tomar las medidas necesarias para garantizar una entrega ininterrumpida a los usuarios de Gmail y Yahoo. Microsoft también ha empezado a emitir alertas en los paneles de control de los clientes, advirtiendo a los usuarios de que deben asegurarse de que los registros de autenticación están configurados o se encontrarán con problemas de entregabilidad al enviar correos electrónicos a cuentas de terceros.

Aunque es cierto que Microsoft "hace DMARC", sus dos funciones principales son enviar informes y hacer cumplir DMARC, lo que no es suficiente para que un propietario de dominio logre el cumplimiento de DMARC. Los usuarios que aún no dispongan de la autenticación adecuada deberían integrar sin problemas una solución DMARC completa en su entorno de Microsoft 365 para garantizar el pleno cumplimiento.

Al suplantar el dominio de correo electrónico de una marca de confianza, los ciberdelincuentes pueden crear sofisticados mensajes de correo electrónico que engañan a las víctimas para que instalen malware o entreguen información confidencial o dinero. Por ello, no es de extrañar que las organizaciones busquen cada vez más autenticar los correos electrónicos con DMARC para proteger sus marcas frente a la suplantación de identidad.

Blog de Sendmarc | Aplicar DMARC

2. Anti-phishing obligatorio y DMARC muy recomendado por PCI DSS v4.0

La versión 4.0, sección 5.4 de la Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS), ha convertido la implementaciión de mecanismos antiphishing en un requisito para cualquier empresa que almacene información de titulares de tarjetas y procese pagos con tarjeta de crédito. En su guía de implementación, el PCI Security Standards Council recomienda controles antiphishing como DMARC, para impedir que los phishers suplanten su dominio. Las organizaciones tienen hasta marzo de 2025 para implementar procesos y mecanismos para detectar y proteger contra el phishing, o podrían enfrentarse a multas y potencialmente incluso perder su derecho a procesar pagos.

3. Gobiernos de todo el mundo han hecho obligatorio DMARC

Muchos países han hecho obligatorio DMARC para los departamentos gubernamentales. El Reino Unido lideró la carga en 2016 y otros países han seguido su ejemplo en los últimos años, siendo Canadá y Dinamarca los últimos en hacer obligatorio tener una política DMARC. Estos gobiernos han implementado estas medidas para salvaguardar a los ciudadanos de correos electrónicos de phishing e información falsa y, en última instancia, mantener la confianza del público.

Todo esto ha puesto de relieve la implementación de DMARC como la forma más sencilla y eficaz de proteger a los remitentes y destinatarios contra la suplantación de dominios. Esperamos que siga aumentando el número de organismos reguladores y organizaciones que hagan obligatoria la autenticación del correo electrónico.

El impacto de no implementar DMARC en el negocio: Pérdida de ingresos y clientes

Los mandatos anteriores son necesarios para salvaguardar el entorno de correo electrónico de su organización del alcance de los ciberdelincuentes, mantener la confianza de clientes y partes interesadas, así como evitar pérdidas financieras y de clientes.

La adopción de DMARC no sólo tiene que ver con el cumplimiento de las nuevas normativas, sino también con la protección de las personas y organizaciones con las que hace negocios, así como con el mantenimiento de la buena reputación de su empresa.

Adoptar DMARC debe ser un esfuerzo de toda la organización, ya que no disponer de las normas correctas de autenticación del correo electrónico afecta a su capacidad para seguir haciendo negocios. Todos los departamentos deben tener una idea clara de cómo impacta DMARC en su trabajo:

  1. La suplantación de identidad afecta a la confianza de los clientes
    y daña la reputación de la empresa. Esto provoca pérdidas de clientes, lo que repercute directamente en su cuenta de resultados.
  2. Los departamentos de marketing, finanzas y otros utilizan a menudo soluciones de terceros para enviar comunicaciones,
    por lo que necesitan trabajar estrechamente con sus equipos de TI o seguridad para ayudarles a entender qué proveedores de servicios están enviando correos electrónicos legítimos utilizando el dominio de su empresa.


Si una organización no dispone de los protocolos adecuados de autenticación del correo electrónico según los nuevos requisitos de Google y Yahoo, los correos electrónicos legítimos procedentes de proveedores de servicios serán rechazados o irán a parar a las carpetas de spam, lo que significa que la información importante puede no llegar a los principales interesados. Y para echar más leña al fuego, tanto Google como Yahoo contabilizan los correos electrónicos falsos dentro del límite de 5 000 correos electrónicos permitidos a sus usuarios en un día.

Adopta DMARC para garantizar la legimitidad y entregabilidad del correo electrónico

Una solución DMARC completa es esencial para ayudar a prevenir la actividad fraudulenta de correo electrónico o la interrupción de la entregabilidad, así como el cumplimiento de las normas destacadas en este artículo. Sendmarc es un experto líder en seguridad de correo electrónico que proporciona una integración DMARC perfecta y una detección de amenazas que no interrumpirá el flujo de correo electrónico de su empresa. También ofrecemos informes detallados de quién está haciendo qué en su entorno de correo electrónico. Estos informes te ayudarán en las auditorías de cumplimiento de normativas, ya que podrás demostrar que tienes plena visibilidad de todos los cambios realizados y que has tomado las medidas adecuadas para evitar la suplantación de tu dominio.

¿Crees que tu dominio puede ser vulnerable? Comprueba el riesgo aquí o ponte en contacto con nosotros para ver cómo podemos garantizar que solo se envíen correos electrónicos reales desde tu dominio y, a su vez, ayudar a tu empresa a cumplir con las nuevas normativas.

Iniciar prueba gratuita

Compartir

ÚLTIMOS ARTÍCULOS

Todos los artículos
Integración SSO Blog Card Image | Sendmarc | Dmarc Protección y Seguridad
  • 12 minutos de lectura

Por qué el SSO es esencial para las empresas modernas

Explora las funciones, ventajas y opciones de integración del single sign-on (inicio de sesión único -SSO) y descubre cómo refuerza la ciberseguridad de tu empresa.
Leer más
DMARC Policy Blog Card Image | Sendmarc | Dmarc Protection and Security
  • 16 minutos de lectura

Cómo funcionan las políticas DMARC - p=none, p=quarantine, p=reject

Descubre cómo la implementación de la política DMARC adecuada en tu empresa puede detener la suplantación de identidad en el correo electrónico, proteger la reputación de la marca e impulsar la capacidad de entrega.
Leer más
Un ciberdelincuente utiliza un ordenador portátil y ataca a los compradores navideños. Arriba aparece un carrito de la compra, advertencia de la amenaza.
  • 12 minutos de lectura

Protégete contra las amenazas de ciberseguridad navideñas

En nuestro último artículo, descubrirás cómo proteger tu empresa contra el aumento de las amenazas de ciberseguridad en la temporada navideña.
Leer más
Logotipo Sendmarc en blanco sobre fondo transparente
distintivo de certificación ISO/IEC 27001:2022

¿Hasta qué punto tu marca es vulnerable a los estafadores por correo electrónico?

Si corres riesgo de suplantación de identidad, uno de nuestros expertos se pondrá en contacto para ayudarte.

Linkedin-in Youtube X-twitter Facebook-f

Plataforma y servicios

Compañía

Plataforma y servicios

Recursos