Una oleada de nuevos datos de la industria publicados esta primavera transmite un mensaje único y urgente: la mayoría de las organizaciones han hecho lo justo para evitar que Gmail y Outlook los bloqueen — y absolutamente nada para impedir que los atacantes suplanten sus dominios.
Dos informes importantes — el Informe de Adopción y Cumplimiento DMARC 2026 de EasyDMARC y el Informe sobre el Estado de DMARC 2026 de Valimail — dan cifras concretas a una brecha que los equipos de seguridad llevan años advirtiendo. La diferencia entre “tener DMARC” y “estar protegido por DMARC” nunca ha sido más grande, y el panorama de amenazas nunca ha hecho más urgente cerrarla.
Los Números de Adopción Son Positivos. Los de Protección, No Tanto.
El informe de EasyDMARC, elaborado a partir del análisis de 1,8 millones de dominios, encontró que el 52,1% de los dominios ya tienen un registro DMARC — frente al 47,7% en 2025 y representando un crecimiento del 79% en tres años. Ese titular suena alentador. El detalle que hay debajo no lo es tanto.
De esos dominios con registros DMARC, solo alrededor del 9% combinan una política de aplicación con informes agregados — la configuración que realmente bloquea los correos suplantados y te mantiene informado sobre quién envía en tu nombre. El 91% restante tiene:
- Una política
p=noneque monitoriza pero no bloquea nada, o - Una política de aplicación sin informes, lo que los deja volando a ciegas
El informe independiente de Valimail encontró una brecha similar: la conciencia sobre DMARC ha alcanzado el 78%, pero la aplicación real se ha estancado en solo el 42%, creando una brecha de 36 puntos entre las organizaciones que conocen DMARC y las que realmente están protegidas por él.
¿Por Qué p=none No Es Suficiente?
Cuando Google y Yahoo anunciaron los requisitos para remitentes masivos a principios de 2024, y cuando Microsoft siguió su ejemplo a mediados de 2025, millones de propietarios de dominios se apresuraron a publicar un registro DMARC. Muchos publicaron v=DMARC1; p=none; — el mínimo requerido para satisfacer las comprobaciones de cumplimiento de los proveedores de correo.
Esto es lo que hace p=none: le dice a los servidores de correo receptores que monitoricen el correo no autenticado de tu dominio y te envíen informes — pero que lo entreguen igualmente. Un atacante que suplante tu dominio para enviar una campaña de robo de credenciales a tus clientes pasará sin problemas a través de una política p=none. Puede que eventualmente veas ese tráfico en tus informes agregados. Tus clientes ya habrán sido afectados.
La aplicación legítima comienza en p=quarantine (enviando el correo no autenticado a spam) y culmina en p=reject (bloqueándolo por completo). Los datos de EasyDMARC muestran que solo 411.935 dominios — menos de la mitad de los que tienen algún registro DMARC — han alcanzado quarantine o reject.
El Contexto de Amenazas Hace Esto Urgente
Estas brechas de cumplimiento existen contra un telón de fondo de ataques de correo electrónico que escalan rápidamente.
Valimail rastreó más de 2.500 millones de correos sospechosos en nombre de sus clientes solo en 2025. La telemetría de seguridad de Microsoft detectó 8.300 millones de amenazas de phishing por correo solo en el primer trimestre de 2026. Las campañas de phishing potenciadas por inteligencia artificial — con prosa impecable que imita convincentemente las comunicaciones de ejecutivos, facturas de proveedores y alertas de TI — aumentaron un 204% interanual, con un correo malicioso detectado cada 19 segundos.
Los kits de Phishing-as-a-Service (PhaaS) ahora impulsan el 90% de las campañas de alto volumen, lo que significa que actores con poca habilidad técnica pueden atacar a tus clientes o empleados usando exactamente la identidad de tu dominio si no has avanzado más allá de p=none.
Las compañías Fortune 500 han entendido el mensaje: el 95% ya tiene DMARC, con más del 80% en políticas de nivel de aplicación. Las organizaciones más pequeñas — del Inc. 5000, empresas regionales, organizaciones sin ánimo de lucro — se quedan muy atrás, lo que las convierte en objetivos atractivos para la suplantación.
Lo Que Google y Microsoft Realmente Requieren (y Por Qué No Es Suficiente)
Ambos grandes proveedores de buzones de correo establecen sus requisitos como pisos mínimos, no techos:
- Google (Gmail): Los dominios que envían 5.000+ mensajes por día deben tener SPF, DKIM y un registro DMARC en
p=noneo superior. Gmail comenzó a rechazar correos no conformes a finales de 2025. - Microsoft (Outlook.com, Hotmail, Live, MSN): Mismo umbral de volumen, mismos requisitos de SPF/DKIM/DMARC. La aplicación comenzó el 5 de mayo de 2025; el correo no conforme ahora es rechazado con el error
550 5.7.515.
Cumplir estos requisitos mantiene tu correo fuera del contenedor de rechazo. No protege tu dominio de la suplantación por parte de actores maliciosos. Cumplir con la casilla de conformidad y detenerse ahí es exactamente cómo el 91% de los dominios habilitados con DMARC siguen siendo vulnerables.
Cómo Cerrar Realmente la Brecha
Cerrar la brecha de aplicación de DMARC es un proceso de tres fases — no un cambio de DNS puntual.
Fase 1 — Monitorizar. Publica p=none con una dirección de informes rua. Deja pasar de dos a cuatro semanas y recopila informes agregados (RUA) de cada proveedor de buzón que recibe correo de tu dominio.
Fase 2 — Identificar y autenticar. Revisa tus informes agregados para encontrar cada fuente de correo legítima: tu ESP, tu CRM, tu plataforma de tickets, tu servicio de correo transaccional. Asegúrate de que cada una esté cubierta por tu registro SPF o firmada con DKIM usando tu dominio.
Fase 3 — Aplicar. Una vez que todos tus flujos de correo legítimo se autentiquen correctamente, pasa a p=quarantine, monitoriza una o dos semanas, luego escala a p=reject. Con reject, el correo no autorizado que pretende ser de tu dominio es rechazado en la puerta.
El paso de informes es el que más organizaciones omiten cuando se apresuran a cumplir los plazos de conformidad. Sin él, mover a aplicación arriesga bloquear tu propio correo legítimo. Con él, el camino a p=reject es metódico y de bajo riesgo.
¿Listo para ir más allá del cumplimiento y lograr protección real? Excello Mail te ofrece un camino completamente gestionado desde p=none hasta p=reject — incluyendo análisis de informes agregados, descubrimiento de fuentes y aplicación guiada. Empieza tu prueba gratuita en excello.email →