Tener un registro DMARC y usarlo realmente para detener el correo falsificado son, en realidad, dos cosas muy distintas. El Informe de Estado de DMARC 2026 de Valimail documenta esa brecha con una precisión inusual: el conocimiento de DMARC – el porcentaje de dominios que han publicado algún registro DMARC – ha alcanzado el 78%. La aplicación efectiva – el porcentaje que ha configurado esa política en quarantine o reject, lo que significa que realmente detiene el correo falsificado – se sitúa en apenas el 42%.
Esa brecha de 36 puntos porcentuales no es una distinción menor. Es la ventana precisa que una creciente oleada de herramientas de suplantación impulsadas por inteligencia artificial está diseñada para explotar, y el hallazgo principal del informe – “La protección del correo electrónico se estanca mientras la suplantación de identidad impulsada por IA alcanza máximos históricos” – describe exactamente lo que sucede en ese espacio.
Lo Que Significan Realmente los Niveles de Política
La distinción importa porque los tres valores de política DMARC disponibles no son equivalentes:
p=nonepublica un registro y solicita informes agregados, pero instruye a los servidores receptores a entregar el mensaje independientemente del resultado de autenticación. El propietario del dominio se entera de que está ocurriendo suplantación; el correo falsificado igualmente llega a la bandeja de entrada.p=quarantineenruta los mensajes fallidos a la carpeta de correo no deseado o spam.p=rejectinstruye a los servidores receptores a descartar completamente los mensajes fallidos.
Solo las políticas quarantine y reject detienen la entrega del correo falsificado. El 78% de conocimiento captura a todos los que tienen cualquier registro DMARC en DNS. El 42% de aplicación captura solo a aquellos cuya política realmente previene algo.
El Informe de Adopción 2026 paralelo de EasyDMARC, que examinó más de 1,8 millones de dominios, encontró que de los 937.931 dominios con registros DMARC válidos, 525.996 – más de la mitad – permanecen estancados en p=none. Un dominio en p=none ha anunciado la intención de eventualmente protegerse. Pero no se ha protegido realmente.
La Aceleración de la IA
Lo que hace que la brecha de aplicación sea especialmente peligrosa en 2026 es lo que los atacantes ahora pueden hacer con ella. Valimail rastreó más de 2.500 millones de correos sospechosos en nombre de sus clientes solo en 2025 – una cifra que refleja no ruido aleatorio sino campañas de suplantación dirigidas a organizaciones e individuos específicos.
La IA reduce el coste y eleva simultáneamente el techo de calidad de los ataques de suplantación. Producir un correo electrónico de phishing convincente que imite de cerca el estilo de comunicación de un ejecutivo requería antes investigación, tiempo y cierta habilidad lingüística. Los modelos de lenguaje actuales generan esos señuelos en segundos, personalizados para el destinatario, indistinguibles del texto escrito por humanos. La capa de ingeniería social del ataque ha sido industrializada.
La capa de autenticación – la parte que determina si un correo que dice provenir de un dominio está realmente autorizado por ese dominio – no ha seguido el mismo ritmo. Un dominio en p=none no ofrece resistencia a ese ataque. El señuelo escrito por IA llega sin ninguna fricción.
Donde las Brechas Son Mayores
El informe de Valimail desglosa las tasas de aplicación por industria, y el contraste entre sectores es notable. El Comercio Minorista en línea lidera con el 72,73% de los dominios con políticas de aplicación efectiva. La Manufactura le sigue con el 67,61%. Estos sectores han normalizado la aplicación de DMARC hasta el punto de que es ahora una base operativa estándar.
Los sectores regulados cuentan una historia más complicada. Los Servicios Financieros se sitúan en el 59,18% de aplicación y la Atención Sanitaria en el 57,42%. Ambos sectores enfrentan requisitos de reporte obligatorios que han impulsado la concienciación. Pero concienciación y aplicación no son el mismo requisito. Las organizaciones en ambos sectores que publicaron un registro p=none para satisfacer una casilla de verificación del auditor han cumplido técnicamente con el requisito de concienciación mientras permanecen completamente desprotegidas.
Los sectores más expuestos son Artes y Recreación con el 31,61% de aplicación y la Educación Superior con el 33,71%. Las instituciones educativas operan entornos de envío fragmentados – sistemas de información estudiantil, plataformas de comunicación con exalumnos, herramientas de marketing departamentales, sistemas de venta de entradas para eventos – que crean suficiente complejidad de alineación SPF y DKIM como para que la aplicación parezca arriesgada. El resultado es que instituciones que manejan volúmenes significativos de datos personales y transacciones financieras de alto valor siguen con políticas de solo monitoreo años después de que el entorno de amenazas exigiera algo más sólido.
La Brecha Entre Grandes Empresas y Mercado Medio
El análisis a nivel de dominio de EasyDMARC revela una brecha estructural entre organizaciones grandes y medianas. Las empresas del Fortune 500 han casi cerrado la brecha de aplicación: 475 de 500 tienen registros DMARC válidos, más del 80% están en políticas de aplicación efectiva, y el 62,7% ha alcanzado p=reject – la configuración más sólida disponible.
El panorama es marcadamente diferente un nivel más abajo. Entre las empresas del Inc. 5000, solo el 15,2% ha alcanzado p=reject. El mercado medio adoptó DMARC ampliamente en respuesta a los mandatos de autenticación de Gmail, Yahoo y Microsoft, pero no ha completado el paso hacia la aplicación efectiva. Los mandatos requerían un registro DMARC. No requerían uno que realmente detuviese algo.
Esa asimetría tiene una consecuencia práctica: los atacantes que apuntan a organizaciones del mercado medio se enfrentan a barreras de autenticación significativamente menores que cuando atacan a las grandes empresas.
BIMI Se Estanca en el 4%
Brand Indicators for Message Identification – el estándar que muestra el logotipo verificado de una marca en bandejas de entrada compatibles – sigue siendo una oportunidad de señalización de confianza en gran medida sin aprovechar. El informe de Valimail muestra que la adopción global de BIMI se ha estancado en solo el 4%, a pesar de que el estándar es compatible con Gmail, Apple Mail y Yahoo Mail.
BIMI requiere una política DMARC p=quarantine o p=reject como requisito técnico previo. Dado que más de la mitad de todos los dominios configurados con DMARC aún no pueden cumplir ese requisito, la baja adopción de BIMI se explica en parte por la propia brecha de aplicación. Pero incluso entre las organizaciones que han alcanzado la aplicación efectiva, la adopción de BIMI es mínima.
Eso puede cambiar a medida que el phishing generado por IA se convierta en la capacidad predeterminada del atacante. Cuando los destinatarios no pueden distinguir el texto escrito por IA del escrito por humanos, las señales visuales de identidad a nivel de bandeja de entrada se convierten en uno de los pocos indicadores restantes de que un mensaje es genuinamente de quien dice ser.
Lo Que Requiere Cerrar la Brecha
Los datos de Valimail y EasyDMARC describen conjuntamente un patrón consistente: las organizaciones adoptan DMARC para cumplir un requisito de cumplimiento, se detienen en p=none y no avanzan porque la aplicación efectiva parece incierta. La incertidumbre es casi siempre la misma: preocupación de que alguna fuente de envío legítima no esté correctamente autenticada, y que pasar a la aplicación efectiva bloquee el correo real.
Esa preocupación no es irracional. Las grandes organizaciones tienen muchas fuentes de envío – plataformas CRM, herramientas de automatización de marketing, proveedores de correo transaccional, sistemas de soporte al cliente – y cada una necesita la configuración correcta de SPF y DKIM antes de que un dominio pueda pasar con seguridad a la aplicación efectiva.
El camino de p=none a p=reject es un proceso de descubrir esas fuentes a través del análisis de informes agregados, verificar la configuración de autenticación de cada una, corregir las brechas y luego escalar la política de forma incremental. No es un único cambio de configuración. Es un flujo de trabajo operativo. Y para las organizaciones sin infraestructura dedicada de seguridad de correo electrónico, es el paso que nunca se realiza – dejando el dominio permanentemente en la ventana que los atacantes han aprendido a atacar.
La brecha que describe el informe de Valimail es medible, los ataques que la llenan se están acelerando y el camino para cerrarla es bien conocido. Excello Mail proporciona el análisis de informes agregados, el descubrimiento de fuentes de envío y las herramientas de escalada guiada de políticas que mueven las organizaciones del monitoreo a la aplicación efectiva. Regístrate gratis en Excello Mail y comienza a cerrar tu brecha de aplicación hoy mismo.