Los datos del informe State of DMARC 2026 de Valimail sitúan a la educación superior como el sector con peor aplicación de DMARC de todas las categorías industriales medidas. Universidades, facultades e institutos se encuentran en apenas el 33,71% de aplicación, una cifra que coloca al sector por detrás del comercio minorista, la manufactura, los servicios financieros, la sanidad y todos los demás sectores estudiados. El único sector que se aproxima es el de artes y ocio, con un 31,61%.
El análisis de Proofpoint de febrero de 2026 sobre las 100 mejores universidades australianas llegó a una conclusión coherente: el 66% de esas instituciones no ha implementado DMARC a nivel de política p=reject. Otro 7% de las instituciones analizadas no publica ningún registro DMARC. En Estados Unidos y Canadá, la investigación de dmarcian encontró que el 60% de los dominios universitarios son susceptibles de sufrir ataques de phishing porque carecen de registro DMARC, contienen errores en sus registros o están configurados en p=none.
El sector no está inmóvil. Una ola de instituciones avanzó hacia la aplicación en las últimas semanas. La Universidad de Clemson comenzó a aplicar DMARC para los remitentes externos de correo electrónico el 2 de junio, exigiendo a todos los departamentos y divisiones que utilizan plataformas externas para enviar correo con dominio universitario que verificaran que sus configuraciones cumplen la nueva política. La Universidad de Toronto activó su cambio de aplicación el 1 de mayo. La Universidad de Cornell aplica p=reject a todas las direcciones @cornell.edu, bloqueando en todo el mundo los mensajes que no superan la autenticación. Pero el progreso es desigual, y los datos dejan claro que el sector aún tiene el camino más largo por recorrer.
Por Qué los Dominios Universitarios Son Tan Complejos de Proteger
La educación superior presenta un desafío de aplicación de DMARC que pocas organizaciones enfrentan a la misma escala. Una universidad mediana típica puede tener decenas de departamentos, cada uno gestionando sus propias comunicaciones de correo electrónico con relaciones de proveedores gestionadas de forma independiente. Sumemos plataformas de relaciones con ex alumnos, sistemas de notificación de residencias estudiantiles, servicios de notificación de investigaciones, sistemas de gestión del aprendizaje, comunicaciones deportivas, plataformas de venta de entradas, flujos de trabajo de recursos humanos, procesamiento de ayudas a estudiantes y sistemas de alertas de emergencia, y la imagen de la infraestructura de envío de una sola institución se vuelve genuinamente compleja.
Cada una de esas plataformas externas envía correo usando el dominio de la universidad. Si alguna de ellas no está configurada con la firma DKIM correcta o no está cubierta por el registro SPF de la institución, pasar a p=reject bloqueará su correo. Y como las universidades normalmente operan con estructuras de gobernanza descentralizadas, donde cada facultad o departamento controla sus propias relaciones con proveedores, el trabajo de identificar y autenticar cada fuente de envío no es un proyecto único. Requiere coordinación interinstitucional entre partes interesadas que pueden no haber tenido ningún motivo previo para comunicarse con el equipo de seguridad.
Esa complejidad es la razón principal por la que los datos sectoriales de Valimail tienen el aspecto que tienen. No es que los equipos de seguridad de la educación superior carezcan de experiencia o compromiso. Es que la superficie de autenticación de una gran universidad de investigación es estructuralmente más extensa y distribuida que la mayoría de los entornos empresariales, y reducirla a un estado en el que p=reject pueda aplicarse de forma segura requiere más tiempo, más coordinación y más herramientas que las organizaciones con estructuras más simples.
Qué Hacen los Atacantes Con los Dominios Universitarios Abiertos
La consecuencia práctica de una política DMARC no aplicada o ausente en un dominio universitario es que cualquiera puede enviar correo que aparentemente proviene de esa institución. Los dominios universitarios son objetivos de suplantación de alto valor.
La investigación de dmarcian documenta resultados del mundo real: las campañas de phishing que utilizan identidades de correo electrónico universitarias han derivado en la extracción de credenciales bancarias de estudiantes y personal y, significativamente, en la redirección de desembolsos de ayudas económicas a estudiantes hacia cuentas fraudulentas. Un correo convincente que parece provenir de ayuda.financiera@[universidad].edu pidiendo a un estudiante que actualice su información de depósito directo no requiere ningún acceso a los sistemas universitarios. Solo requiere que el dominio universitario no tenga ninguna política de aplicación.
La amenaza no se limita a los estudiantes. El profesorado de instituciones de investigación recibe notificaciones de becas, solicitudes de intercambio de datos e invitaciones de colaboración que hacen referencia a la identidad universitaria. Los administradores gestionan nóminas, pagos a proveedores y datos de recursos humanos. En cada caso, un mensaje suplantado que llega desde un dominio institucional reconocido elude el heurístico básico que los destinatarios utilizan para determinar la confianza. Un estudio de Proofpoint encontró que el 97% de las principales universidades de Australia, Estados Unidos y el Reino Unido exponían a estudiantes, personal y partes interesadas al riesgo de ser suplantados por ciberdelincuentes, una cifra impulsada en gran medida por la ausencia de DMARC en nivel de aplicación.
La Ola de Aplicación Es Real pero Estrecha
Los anuncios de Clemson y la Universidad de Toronto forman parte de un patrón más amplio. Múltiples instituciones han avanzado silenciosamente hacia la aplicación en 2026 después de completar la fase de mapeo de fuentes que precede a los cambios de política. La cifra sectorial de Valimail del 33,71% significa que más de un tercio de los dominios de educación superior medidos han completado ese trabajo, un número significativo que no existía hace dos o tres años.
Pero también significa que dos tercios permanecen en nivel de monitorización o por debajo. Para las instituciones en p=none, los informes agregados que se están generando ahora mismo contienen la información necesaria para mapear cada fuente de envío legítima. Esos datos ya existen. La brecha entre tenerlos y actuar sobre ellos es operativa, no técnica.
Para las instituciones que aún no han publicado ningún registro DMARC, el primer paso es simplemente publicar p=none con una dirección de informes rua. En pocas semanas, el panorama de lo que está enviando como dominio de la institución se vuelve visible, incluidas fuentes que los equipos de TI pueden no haber sabido que existían.
El Problema Estructural Que Crean las Plataformas Externas de Correo
El desencadenante específico de la acción de aplicación del 2 de junio de Clemson, que requería que las aplicaciones externas cumplieran la política DMARC, apunta al punto de bloqueo más común para las instituciones de educación superior que intentan alcanzar p=reject.
Una universidad puede tener su infraestructura central en Microsoft 365 o Google Workspace, con la firma DKIM correctamente configurada para esos entornos. Pero cuando un departamento pone en marcha una nueva plataforma de email marketing, una organización estudiantil adopta una herramienta de boletines o un grupo de investigación configura notificaciones automatizadas a través de un servicio en la nube, ese nuevo remitente se convierte inmediatamente en una brecha de autenticación. A menos que alguien añada proactivamente el servicio al registro SPF y configure la firma DKIM, la primera indicación de que algo va mal es un informe agregado DMARC que muestra fallos de autenticación o, si la aplicación ya está activa, correo rebotado.
El modelo de Clemson, que exige a los departamentos enviar una solicitud de verificación antes de utilizar una herramienta de correo externa, es un enfoque de gobernanza que sortea el problema de la descentralización. Inserta un punto de control antes de que los nuevos remitentes entren en funcionamiento, en lugar de intentar remediarlos a posteriori.
Lo Que Exigen Google y Microsoft No Es Suficiente Protección
Tanto Google como Microsoft han establecido requisitos DMARC para los remitentes masivos, con p=none como mínimo. Las universidades que publican una política p=none han satisfecho los requisitos del proveedor de buzón. No han protegido su dominio.
p=none indica a los servidores de correo receptores que entreguen el correo no autenticado y emitan informes al respecto. Un phisher que suplanta un dominio universitario para atacar a estudiantes potenciales con una solicitud de ayuda financiera falsa, o que se hace pasar por un decano para llevar a cabo una estafa de tarjetas regalo contra el personal, pasa directamente a través de una política p=none. La institución recibe un informe agregado. La víctima recibe el mensaje.
La distancia entre p=none y p=reject no es principalmente una distancia técnica. Es el tiempo necesario para trabajar con los datos de los informes agregados, identificar cada fuente de envío legítima, verificar la autenticación de cada una y progresar a través de p=quarantine antes de alcanzar el rechazo total. Para una gran universidad de investigación con cientos de sistemas de envío, ese proceso lleva meses. Para una institución más pequeña con un control de TI centralizado, puede llevar semanas.
El Estándar Que Está Emergiendo
Lo que han hecho Clemson, Toronto y Cornell representa la dirección de avance del sector. La presión institucional para superar el mínimo de cumplimiento de los proveedores de buzón está aumentando a medida que los ataques de phishing contra comunidades académicas se vuelven más sofisticados y los marcos regulatorios de varias jurisdicciones comienzan a tratar la autenticación de correo electrónico como una base de seguridad más que como una buena práctica.
La educación superior tiene desafíos estructurales que otros sectores no tienen. Pero esos desafíos tienen soluciones, y las instituciones que han avanzado a p=reject demuestran que el trabajo es alcanzable. El 33,71% que ha llegado hasta allí no es un techo. Es la evidencia de que el camino existe.
Cada fuente de envío legítima que utiliza tu institución aparece en los informes agregados de DMARC, pero solo si tienes las herramientas adecuadas para leerlos. Excello Mail mapea toda tu infraestructura de envío, identifica cada brecha de autenticación y te guía desde p=none hasta p=reject sin interrumpir el correo legítimo. Regístrate gratis en Excello Mail y ve exactamente dónde está tu dominio.