Un nuevo informe de Paubox hace imposible ignorar la conexión entre la débil autenticación de correo electrónico y las brechas reales en organizaciones de salud: de 170 brechas relacionadas con el correo analizadas en organizaciones sanitarias durante todo 2025, el 74% involucraba dominios con DMARC configurado en modo de solo monitorización o sin ningún registro DMARC.
No es una coincidencia. Es una cadena causal. Y los datos del sector lo confirman: la industria sanitaria de Estados Unidos se sitúa en solo el 11% de aplicación de DMARC en 2026, una cifra que resulta aún más alarmante junto al recuento del primer trimestre de 2026: 120 ataques de ransomware a hospitales, clínicas y otros proveedores de salud, más 81 ataques adicionales a empresas del sector sanitario como procesadoras de facturación y fabricantes farmacéuticos.
La sanidad es uno de los objetivos de mayor valor para los ataques por correo electrónico en todas las categorías: los datos de pacientes alcanzan precios elevados en los mercados criminales, los atacantes de ransomware saben que la interrupción de la atención crea una presión que los consejos de dirección difícilmente pueden ignorar, y las campañas de phishing que suplantan marcas sanitarias apuntan tanto a empleados como a pacientes. Sin embargo, las defensas de autenticación del sector se encuentran entre las más débiles de cualquier industria regulada.
Lo Que Encontró el Análisis de Paubox
El Informe de Seguridad del Correo Electrónico en Salud 2026 de Paubox examinó 170 brechas relacionadas con el correo notificadas al HHS entre enero y diciembre de 2025. Los hallazgos en ese conjunto de brechas son contundentes.
El 74% de las organizaciones afectadas tenía DMARC configurado en p=none (solo monitorización) o no tenía ningún registro DMARC en absoluto. Ambas configuraciones producen el mismo resultado: el correo falsificado que dice provenir del dominio de la organización llega a las bandejas de entrada sin que ninguna comprobación de autenticación lo detenga.
El 67% de las organizaciones afectadas tenía registros SPF mal configurados o excesivamente permisivos. Un registro SPF demasiado amplio puede autorizar remitentes no autorizados junto con los legítimos, socavando toda la cadena de autenticación.
Ninguna de las organizaciones afectadas aplicaba MTA-STS, el protocolo que previene los ataques de degradación en el transporte cifrado de correo. Todas las organizaciones del conjunto de brechas dependían del cifrado oportunista que un atacante posicionado entre servidores de correo podría eliminar silenciosamente.
El 53% de las organizaciones afectadas usaba Microsoft 365 como plataforma principal de correo, frente al 43% en 2024. Esa concentración refleja la cuota de mercado de Microsoft 365 en el sector sanitario, pero también significa que las configuraciones incorrectas en la firma DKIM saliente y la alineación DMARC de Microsoft 365 se están propagando ampliamente en el sector.
El 41% de las organizaciones afectadas cayó en la categoría de mayor riesgo de autenticación basándose en su postura combinada de autenticación y cifrado, frente al 31% del año anterior.
La Comparativa Sectorial Que Debería Alarmar a los Directivos Sanitarios
La tasa de aplicación DMARC del 11% en la sanidad de EE.UU. resulta aún más preocupante comparada con otras industrias.
El gobierno federal de EE.UU. se sitúa en el 92% de aplicación DMARC. La diferencia proviene de un mandato directo: la Directiva Operativa Vinculante 18-01 del Departamento de Seguridad Nacional obligó a las agencias federales a implementar DMARC en modo de aplicación dentro de un plazo definido. Donde los reguladores lo exigen, la adopción se produce.
Los servicios financieros operan con aproximadamente un 60% de aplicación DMARC, impulsados por los requisitos PCI DSS, la regulación de protección al consumidor y el escrutinio directo de la FDIC y la OCC sobre el riesgo de terceros. Los incentivos financieros del sector se alinean con la seguridad: las pérdidas por fraude derivadas de dominios suplantados afectan directamente al resultado.
La sanidad noruega ha alcanzado el 55,6% en p=reject. La implementación del RGPD en Noruega y las obligaciones de la NIS2, combinadas con la presión regulatoria sectorial específica, han producido tasas de aplicación en la sanidad que las organizaciones de EE.UU. que solo operan bajo HIPAA no pueden alcanzar actualmente.
La brecha sanitaria en EE.UU. no es principalmente un problema técnico. La implementación de DMARC sigue los mismos pasos para un hospital que para cualquier otro dominio. El problema es que HIPAA actualmente no lo exige y, sin un mandato, los entornos operativos complejos y las prioridades TI en competencia mantienen a las organizaciones bloqueadas en p=none indefinidamente.
Por Qué los Entornos de Correo Sanitarios Son Genuinamente Complejos
La cifra del 11% no refleja indiferencia. Los entornos de correo en sanidad se encuentran entre los más complicados de cualquier industria, y esa complejidad hace que la aplicación de DMARC sea más difícil de lo que parece.
Un sistema hospitalario de tamaño mediano típicamente envía correo desde su plataforma corporativa de Microsoft 365 o Google Workspace, su plataforma de registros médicos electrónicos (Epic, Cerner, Oracle Health y otros envían notificaciones bajo el nombre de dominio de la organización), su sistema de portal de pacientes, su servicio de notificación de resultados de laboratorio, plataformas de recordatorio de citas, herramientas de comunicación de facturación y una larga lista de socios comerciales y proveedores que se comunican con los pacientes en nombre de la organización.
Cada uno de esos sistemas es un posible origen de envío. Cada uno necesita estar cubierto por el registro SPF de la organización o configurado para firmar con DKIM usando el dominio de la organización, o ambos. Pasar a p=reject sin haber identificado y autenticado cada una de esas rutas arriesga bloquear comunicaciones legítimas con los pacientes: recordatorios de citas, resultados de laboratorio, estados de cuenta.
Esta complejidad es real. Pero es también exactamente lo que los informes agregados DMARC están diseñados para revelar. Los datos existen en los informes RUA desde el momento en que se publica un registro p=none. El problema es que la mayoría de las organizaciones sanitarias publican ese registro de monitorización, nunca revisan sistemáticamente los informes y nunca avanzan hacia la aplicación.
Qué Hacen los Atacantes con un Dominio Sanitario en p=none
Un dominio sanitario en p=none es una plataforma lista para suplantar. Un atacante que quiere enviar phishing para robar credenciales a los empleados de un hospital puede crear mensajes con una dirección From: usando el dominio exacto del hospital. Los mensajes pueden superar SPF si el atacante usa un servicio de envío registrado, o fallar SPF pero seguir siendo entregados porque p=none indica a los servidores receptores que entreguen de todos modos. La aplicación de DMARC nunca se activa.
El mismo ataque apunta directamente a los pacientes: campañas de fraude de facturación que suplantan el dominio del hospital para solicitar redirecciones de pago, phishing de restablecimiento de contraseña que suplanta el portal de pacientes, fraude de confirmación de citas que recopila información de salud personal.
El compromiso de correo empresarial en sanidad es especialmente dañino porque las transferencias bancarias relacionadas con la facturación médica, los pagos a proveedores y las liquidaciones de seguros pueden ser cuantiosas. El 64% de los profesionales de TI sanitario encuestados en 2026 considera que su organización es vulnerable a BEC o phishing de suplantación. El 67% informa que el phishing y el BEC han impactado negativamente en la calidad de la atención al paciente.
Esas dos estadísticas van unidas. Los ataques de suplantación no se limitan a los sistemas financieros. Cuando los atacantes comprometen credenciales a través de un correo de phishing, obtienen acceso a los sistemas clínicos. Cuando el ransomware entra a través de una campaña de phishing y cifra los sistemas clínicos, las cirugías programadas se posponen, los servicios de urgencias desvían a los pacientes y las decisiones clínicas se toman sin acceso a los registros completos.
El Camino de la Exposición a la Protección Real
El camino de p=none a p=reject en sanidad sigue las mismas fases que cualquier otro dominio. Las consideraciones específicas del sector sanitario hacen que algunas fases requieran más tiempo, pero ninguno de los pasos es fundamentalmente diferente.
Establecer un inventario de envío. Antes de cambiar cualquier política, identifica cada sistema que envía correo con el dominio de la organización en la cabecera From:. Esto incluye plataformas EHR, portales de pacientes, sistemas de laboratorio, sistemas de citas, plataformas de facturación y cada canal de comunicación de socios comerciales. Los informes agregados DMARC (RUA) mostrarán el tráfico de cada origen de envío con el estado de alineación SPF y DKIM.
Autenticar cada origen. Para los sistemas controlados internamente, configura la firma DKIM con el dominio de la organización. Para los proveedores externos, trabaja con cada uno para confirmar que la firma DKIM está habilitada y alineada. Esta fase lleva más tiempo en sanidad: el número de proveedores es grande y algunas plataformas heredadas no admiten firma DKIM en absoluto, lo que requiere una estrategia de subdominio.
Pasar a cuarentena y luego a rechazo. Una vez que los datos RUA muestren autenticación consistente de todos los orígenes conocidos, pasa a p=quarantine. Monitoriza durante dos a cuatro semanas. Si no aparecen orígenes legítimos inesperados, pasa a p=reject. En ese momento, el correo falsificado que afirma ser del dominio de la organización es rechazado en el servidor receptor antes de llegar a ninguna bandeja de entrada.
Añadir MTA-STS. Dado que ninguna organización afectada en el estudio de Paubox aplicaba MTA-STS, añadirlo a la lista de verificación de aplicación es importante junto con DMARC. MTA-STS previene una clase de ataques de intermediario en el transporte de correo que operan silenciosamente y no aparecen en los informes agregados DMARC.
Los plazos realistas oscilan entre tres meses para organizaciones más pequeñas con entornos más simples y doce meses para grandes sistemas hospitalarios con decenas de plataformas de comunicación de terceros. Ningún plazo es corto. Ambos son más cortos que la próxima brecha.
¿Listo para ver cada origen que envía como el dominio de tu organización? Excello Mail analiza tus informes agregados DMARC, muestra cada origen de envío con el estado de alineación SPF y DKIM, y te da la visibilidad que necesitas para pasar de p=none a p=reject sin interrumpir las comunicaciones con los pacientes. Regístrate gratis en Excello Mail y da el primer paso para cerrar la brecha de autenticación del sector sanitario.