Durante años, el cumplimiento de DMARC pareció un problema exclusivo de las grandes empresas. Las organizaciones más grandes contaban con personal de TI para gestionar la configuración DNS, los informes agregados y el trabajo minucioso de identificación de fuentes necesario para pasar de p=none a p=reject sin interrumpir el correo legítimo. Las organizaciones más pequeñas se quedaban indefinidamente en p=none, técnicamente conformes con los requisitos mínimos de Google y Microsoft, pero prácticamente sin protección.
Ese panorama está cambiando. La edición 2026 del estándar internacional de ciberseguridad SMB1001 — publicado por Dynamic Standards International y certificable desde enero de 2026 — ahora exige el cumplimiento de DMARC para las pequeñas y medianas empresas que buscan la certificación Gold. Es el primer estándar internacional de ciberseguridad diseñado específicamente para pymes que traza una línea clara entre monitoreo y protección.
Qué Es SMB1001 y Por Qué Importa
SMB1001 es un marco de certificación de ciberseguridad de cinco niveles creado para organizaciones que no cuentan con equipos de seguridad de escala empresarial. Sus niveles corresponden aproximadamente a grados crecientes de madurez operacional: Bronze cubre controles fundamentales como firewalls y copias de seguridad; Silver añade cuentas individuales y autenticación multifactor en el correo electrónico; Gold requiere detección de amenazas en endpoints, un plan de respuesta a incidentes documentado y — con la actualización de 2026 — cumplimiento verificado de DMARC; Platinum y Diamond incorporan auditorías externas, pruebas de penetración y gestión formal de riesgo con proveedores.
El estándar tiene reconocimiento internacional y se alinea explícitamente con el Cyber Essentials del Reino Unido, la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) del Departamento de Defensa de los EE.UU. y los Essential Eight de Australia. Cuando un requisito de contratación gubernamental o proceso de adquisición hace referencia a uno de esos marcos, la certificación SMB1001 satisface los controles equivalentes. Ese reconocimiento cruzado es un factor importante para las empresas más pequeñas que operan en sectores regulados o cadenas de suministro gubernamentales.
La edición 2026 incluyó seis cambios sustanciales respecto a la versión anterior. El primero — y el que más atención ha recibido de la comunidad de seguridad — es la introducción de controles de autenticación de correo electrónico y anti-suplantación que exigen explícitamente DMARC en nivel de cumplimiento.
Lo Que el Estándar Requiere en la Práctica
SMB1001:2026 introduce controles de autenticación de correo electrónico a partir del Nivel 2 (Silver) y los refuerza en el Nivel 3 (Gold) y superiores.
En Silver, el estándar requiere un registro SPF válido que enumere con precisión todas las fuentes de envío autorizadas para el dominio.
En Gold, los requisitos se amplían para incluir:
- Firma DKIM: todo el correo saliente debe estar firmado con una clave DKIM publicada en DNS
- Un registro DMARC con una política de
p=quarantineop=reject, nop=none - Alineación entre el dominio del encabezado From y el dominio autenticado por SPF o DKIM
- Una dirección de informes (
rua) especificada en el registro DMARC
La orientación del estándar es explícita en un punto crítico: las organizaciones no deben pasar a p=quarantine o p=reject hasta que hayan verificado que todos los flujos de correo legítimo están correctamente autenticados. Avanzar hacia el cumplimiento antes de completar la identificación de fuentes arriesga bloquear el correo saliente de sistemas CRM, servicios de correo transaccional, plataformas de marketing y otras herramientas que envían en nombre del dominio. El estándar trata ese trabajo de verificación como un paso obligatorio, no como una precaución opcional.
El Contexto de Amenazas Que Impulsó el Cambio
La actualización de SMB1001 no ocurrió en el vacío. La edición 2026 refleja un entorno de amenazas que ha cambiado significativamente en contra de las organizaciones más pequeñas.
El Informe de Investigaciones de Brechas de Datos de Verizon 2025 encontró que el ransomware apareció en el 88% de las brechas de pymes y que las pequeñas y medianas empresas son atacadas casi cuatro veces más frecuentemente que las grandes empresas. La lógica económica de este ataque es directa: las pymes a menudo mantienen relaciones con organizaciones más grandes a través de cadenas de suministro, servicios profesionales y redes de proveedores. Comprometer la identidad de correo electrónico de una pyme — suplantando su dominio para enviar mensajes de phishing a la empresa a la que sirve — puede producir objetivos de mayor valor en la cadena.
El Informe de Adopción de DMARC 2026 de EasyDMARC dibuja el contraste con nitidez. Entre las empresas de Fortune 500, el 95% tiene DMARC, con más del 80% en nivel de cumplimiento. Entre las empresas de Inc. 5000 — un proxy razonable para pymes grandes y empresas en etapa de crecimiento — la adopción de DMARC se sitúa en el 76%, pero solo el 15% ha alcanzado p=reject. Entre las empresas más pequeñas sin presión externa de cumplimiento, los números son peores.
Esa brecha entre adopción y cumplimiento es precisamente lo que los atacantes explotan. Un dominio con p=none anuncia al mundo que tiene conciencia de DMARC pero sin cumplimiento. Cualquier correo electrónico que afirme originarse en ese dominio — sin importar quién lo haya enviado realmente — será entregado por los servidores de correo receptores que respetan la instrucción explícita de no tomar ninguna acción.
Por Qué p=none No Es Cumplimiento
La confusión entre tener un registro DMARC y estar protegido por DMARC es generalizada. Cuando Google y Microsoft establecieron sus requisitos para remitentes masivos, exigieron un registro DMARC en p=none o superior. Para muchas organizaciones, publicar p=none fue el final del proyecto.
SMB1001:2026 rechaza explícitamente esa posición. El nivel Gold requiere p=quarantine o p=reject. Los autores del estándar son claros: p=none es una fase de monitoreo, no una fase de protección. Las organizaciones en p=none están recopilando datos que pueden o no estar leyendo; no están protegiendo su identidad de dominio ni a sus clientes de la suplantación.
La distinción importa en la práctica. El informe de EasyDMARC encontró que más de la mitad de todos los dominios con un registro DMARC permanecen en p=none. Eso significa que más de la mitad de los dominios habilitados para DMARC han hecho el papeleo para el cumplimiento mientras dejan la puerta abierta para la suplantación. SMB1001:2026 cierra esa laguna para las organizaciones que rige.
El Camino Hacia Gold
Para una pyme que actualmente se encuentra en p=none — o sin ningún registro DMARC — el camino hacia la certificación Gold bajo SMB1001:2026 es una secuencia de pasos verificables:
Paso 1: Inventariar las fuentes de envío. Listar cada sistema que envía correo electrónico usando su dominio: su proveedor de correo principal, su ESP, su servicio de correo transaccional, su CRM, su plataforma de atención al cliente, su software de contabilidad, su sistema de RRHH. Muchas organizaciones se sorprenden por la cantidad de fuentes que existen.
Paso 2: Autenticar cada fuente. Asegurarse de que cada fuente esté incluida en su registro SPF (dentro del límite de 10 consultas) o esté firmando con DKIM usando su dominio. Los remitentes de subdominios deben gestionarse mediante aplanamiento de SPF o usando subdominios dedicados con sus propias claves DKIM.
Paso 3: Verificar con informes agregados. Publicar p=none con una dirección de informes rua y revisar los informes durante dos a cuatro semanas. Los informes mostrarán cada fuente que envía correo que afirma su dominio y si esa fuente está pasando o fallando la autenticación. Cualquier fuente que falle es un flujo legítimo que necesita autenticarse o una fuente de suplantación que el cumplimiento bloqueará.
Paso 4: Avanzar hacia el cumplimiento. Una vez que los informes agregados muestren que todas las fuentes legítimas están pasando, pasar a p=quarantine. Monitorear durante una a dos semanas. Si ningún correo legítimo está siendo mal enrutado, escalar a p=reject. En ese punto, el uso no autorizado de la identidad de su dominio queda bloqueado en el servidor receptor antes de llegar a un destinatario.
Paso 5: Mantener visibilidad continua. La configuración de DMARC no es una tarea de una sola vez. Las nuevas fuentes de envío — una herramienta de marketing recién implementada, una integración de proveedor, un empleado que usa un servicio no autorizado — aparecen en los informes agregados y deben abordarse antes de que causen desviación del cumplimiento.
La Señal Regulatoria Más Amplia
SMB1001:2026 se une a una lista creciente de marcos que ahora tratan el cumplimiento de DMARC como un requisito de seguridad de referencia. PCI DSS v4.0 lo exige para cualquier organización que maneje datos de titulares de tarjetas. NIS2 y DORA en la Unión Europea reconocen la autenticación de correo electrónico como un control de ciberseguridad requerido. La Poste exige autenticación completa para todos los remitentes — no solo los masivos — que entregan en su red. Google y Microsoft aplican la autenticación para remitentes de alto volumen.
La dirección del camino regulatorio es consistente: el DMARC solo de monitoreo ya no es aceptable como control completo. Las organizaciones que han tratado p=none como la línea de meta descubren cada vez más que los reguladores, los organismos de certificación y los proveedores de buzones no están de acuerdo.
Para las pymes que han estado observando cómo las grandes empresas navegan esta transición y se preguntan cuándo les llegará a ellas: la respuesta, con la publicación de SMB1001:2026, es ahora.
Excello Mail hace que el camino de p=none a p=reject sea manejable para empresas de todos los tamaños. Identificación automatizada de fuentes, análisis de informes agregados, cumplimiento guiado y monitoreo continuo — todo lo necesario para cumplir con la certificación Gold de SMB1001:2026 y mantenerla. Regístrese gratis en excello.email →