El auge de DMARC: por qué crece la autenticación obligatoria del correo electrónico

En los últimos años, la ciberdelincuencia ha crecido exponencialmente y el phishing ha sido el método de ataque más popular, con un envío diario estimado de 3.400 millones de correos electrónicos basura. Esto ha llevado a una mayor necesidad de autenticación del correo electrónico para evitar la suplantación de dominios, lo que ha dado lugar a la adopción de la autenticación, notificación y conformidad de mensajes basada en dominios (en inglés, DMARC) para mitigar esta y otras amenazas basadas en el correo electrónico. Pero, ¿cuándo se creó DMARC y por qué ha aumentado su adopción en los últimos años?

DMARC es un estándar global de autenticación de correo electrónico que indaga y verifica el origen de un mensaje y garantiza que todos los mensajes recibidos de un dominio sean auténticos. Permite a las organizaciones ver cuándo los ciberdelincuentes están utilizando su dominio sin autorización, al tiempo que ayuda a garantizar que los correos electrónicos legítimos lleguen a la bandeja de entrada del destinatario.

Los esfuerzos para establecer DMARC como un estándar global se iniciaron en 2011 por parte de un grupo de organizaciones de alto perfil, incluyendo Google, Facebook, Yahoo! Mail y PayPal, por nombrar algunos. En enero de 2012 se publicó un borrador de la especificación DMARC y en marzo de 2013 ya circulaba públicamente.

Esto significa que durante más de una década, las organizaciones y los organismos reguladores han reconocido la necesidad de esta mejor práctica global, pero es solo en los últimos años que la adopción realmente ha despegado. Esto se debe a que los ataques de phishing han crecido un 150 % al año desde 2019 y, en los últimos años, el número de nombres de marca que han sido suplantados en ataques de phishing casi se ha duplicado.

Al suplantar el dominio de correo electrónico de una marca de confianza, los ciberdelincuentes pueden crear sofisticados mensajes de correo electrónico que engañan a las víctimas para que instalen malware o entreguen información confidencial o dinero. Por eso no es de extrañar que las organizaciones busquen cada vez más autenticar los correos electrónicos con DMARC para proteger sus marcas contra la suplantación.

Resulta alentador que la tasa de crecimiento anual compuesto (CAGR) prevista para DMARC sea del 37,53% en los próximos cinco años y que, para 2028, se espere que el tamaño del mercado mundial alcance los 1.720 millones, frente a los 254,56 millones de 2022.

Esto se debe probablemente a que las organizaciones, los organismos reguladores y los gobiernos recomiendan ahora encarecidamente la adopción de DMARC o lo hacen obligatorio, lo que contribuirá casi con toda seguridad a impulsar la implantación del protocolo.

1. Requisitos de envío masivo de Google y Yahoo

A partir de febrero de 2024, Google y Yahoo empezaron a vigilar a los remitentes de correo masivo, antes de la fecha límite de junio para que las organizaciones implanten DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF) y DMARC, si envían más de 5 000 correos electrónicos a la vez o en un periodo de 24 horas, a direcciones de Gmail o Yahoo.

Dado que algunos remitentes ya observan errores temporales por correo electrónico no autenticado, las organizaciones deben dar prioridad a tener sus registros DMARC correctamente configurados. Esto no solo evitará que los ciberdelincuentes suplanten sus dominios y lancen ataques de phishing contra clientes, socios, empleados o cualquier otra parte interesada, sino que también ayudará a garantizar que los correos electrónicos legítimos se entreguen siempre.

En 2022, asi el 49 % de los correos electrónicosno alcanzaron siquiera la bandeja de entrada, y en 2023 esa cifra también fue escandalosamente alta: casi el 46 %. Muchos de ellos son correos legítimos enviados desde el dominio de una empresa, pero como las organizaciones no tienen una política DMARC en vigor, los correos auténticos a menudo se marcan como spam y nunca llegan a la bandeja de entrada del destinatario. Ahora, Google y Yahoo han subido la apuesta, con normas de remitente destinadas a prevenir el spam y garantizar la seguridad de los usuarios mediante la obligación de tener un registro DMARC.

Así pues, independientemente de la plataforma de correo electrónico que utilice una organización, ésta debe tomar las medidas necesarias para garantizar una entrega ininterrumpida a los usuarios de Gmail y Yahoo. Microsoft también ha empezado a emitir alertas en los paneles de control de los clientes, advirtiendo a los usuarios de que deben asegurarse de que los registros de autenticación están configurados o se encontrarán con problemas de entregabilidad al enviar correos electrónicos a cuentas de terceros.

Aunque es cierto que Microsoft "aplica DMARC", sus dos funciones principales son enviar informes y hacer cumplir DMARC, lo que no es suficiente para que el propietario de un dominio logre el cumplimiento pleno de DMARC. Los usuarios que aún no dispongan de la autenticación adecuada deben buscar la integración perfecta de una solución DMARC completa en su entorno de Microsoft 365 para garantizar el pleno cumplimiento.

Al suplantar el dominio de correo electrónico de una marca de confianza, los ciberdelincuentes pueden crear sofisticados mensajes de correo electrónico que engañan a las víctimas para que instalen malware o entreguen información confidencial o dinero. Por eso no es de extrañar que las organizaciones busquen cada vez más autenticar los correos electrónicos con DMARC para proteger sus marcas contra la suplantación.

2. Antiphishing obligatorio y DMARC muy recomendado por PCI DSS v4.0

La versión 4.0, sección 5.4, de la norma de seguridad de datos del sector de tarjetas de pago (PCI DSS), ha convertido la implantación de mecanismos antiphishing en un requisito para cualquier empresa que almacene información de titulares de tarjetas y procese pagos con tarjeta de crédito. En su guía de implantación, el PCI Security Standards Council recomienda controles anti-spoofing como DMARC, para impedir que los phishers suplanten tu dominio. Las organizaciones tienen hasta marzo de 2025 para implementar procesos y mecanismos de detección y protección contra el phishing, o podrían enfrentarse a multas e incluso perder el derecho a procesar pagos.

3.Gobiernos de todo el mundo han hecho obligatorio el uso de DMARC

Muchos países han hecho que DMARC sea obligatorio para los departamentos gubernamentales. El Reino Unido lideró la iniciativa en 2016 y otros países han seguido su ejemplo en los últimos años, siendo Canadá y Dinamarca los últimos en hacer obligatoria una política DMARC. Estos gobiernos han implementado estas medidas para proteger a los ciudadanos de correos electrónicos de phishing e información falsa y, en última instancia, mantener la confianza del público.

Todo esto ha puesto de relieve que la adopción de DMARC es la forma más sencilla y eficaz de proteger a remitentes y destinatarios contra la suplantación de dominios. Esperamos que siga aumentando el número de organismos reguladores y organizaciones que hagan obligatoria la autenticación del correo electrónico.

Los mandatos anteriores son necesarios para salvaguardar el entorno de correo electrónico de su organización del alcance de los ciberdelincuentes, mantener la confianza de clientes y partes interesadas, así como evitar pérdidas financieras y de clientes.

Adoptar DMARC debe ser un esfuerzo de toda la organización, ya que no disponer de las normas correctas de autenticación del correo electrónico afecta a su capacidad para seguir haciendo negocios. Todos los departamentos deben tener una idea clara de cómo impacta DMARC en su trabajo:

1. La suplantación de identidad afecta a la confianza de los clientes y daña la reputación de la empresa. Esto provoca pérdidas de clientes, lo que repercute directamente en tu cuenta de resultados.
2. Los departamentos de marketing, finanzas y otros utilizan a menudo soluciones de terceros para enviar comunicaciones, por lo que necesitan colaborar estrechamente con sus equipos de TI o seguridad para ayudarles a comprender qué proveedores de servicios envían correos electrónicos legítimos utilizando el dominio de tu empresa.

Si una organización no dispone de los protocolos adecuados de autenticación del correo electrónico según los nuevos requisitos de Google y Yahoo, los correos electrónicos legítimos procedentes de proveedores de servicios serán rechazados o irán a parar a las carpetas de spam, lo que significa que la información importante podría no llegar a los principales interesados. Y para echar más leña al fuego, tanto Google como Yahoo cuentan los correos electrónicos falsos dentro del límite de 5 000 correos electrónicos permitidos a sus usuarios en un día.

Una solución DMARC completa es esencial para ayudar a prevenir la actividad fraudulenta de correo electrónico o la interrupción de la entregabilidad, así como el cumplimiento de las normas destacadas en este artículo. Sendmarc es un experto líder en seguridad de correo electrónico que proporciona una integración DMARC perfecta y una detección de amenazas que no interrumpirá el flujo de correo electrónico de su empresa. También ofrecemos informes detallados de quién está haciendo qué en su entorno de correo electrónico. Ser capaz de entregar estos informes ayuda con las auditorías de cumplimiento, ya que userás capaz de demostrar la plena visibilidad de los cambios realizados y las medidas adoptadas para evitar que tu dominio sea suplantado.

¿Crees que tu dominio puede ser vulnerable? Analiza tu nivel de riesgo aquí o póngase en contacto con nosotros para ver cómo podemos garantizar que solo se envíen mensajes de correo electrónico reales desde tu dominio y, a la vez, ayudar a tu empresa a cumplir con las nuevas normativas.