Un registro DMARC no es lo mismo que protección DMARC. Esa distinción ha sido evidente para quienes trabajan en autenticación de correo electrónico durante años, pero el Informe de Adopción y Cumplimiento de DMARC 2026 de EasyDMARC, elaborado a partir del análisis de 1,8 millones de dominios entre el Fortune 500 y el Inc. 5000, hace que la brecha sea imposible de ignorar. De los 938.000 dominios que han publicado un registro DMARC, solo alrededor del 9 por ciento – aproximadamente 159.000 dominios – combinan una política de cumplimiento con informes agregados. El 91 por ciento restante tiene un registro. No tiene protección.
Lo Que Realmente Muestran los Números
EasyDMARC analizó el 1,8 millones de dominios más importantes del mundo, incluyendo todas las empresas de las listas Fortune 500 e Inc. 5000. La adopción general de DMARC alcanzó el 52,1 por ciento de ese universo, frente al 47,7 por ciento en 2025. El recuento bruto creció de 858.782 dominios habilitados para DMARC en 2025 a 937.931 a principios de 2026 – un aumento significativo que refleja la presión ejercida por la política de rechazo permanente de Google para remitentes masivos y el plazo de cumplimiento de Microsoft en mayo de 2025.
El titular de adopción parece alentador. El detalle de cumplimiento no.
De los 937.931 dominios con registros DMARC válidos, 411.935 han alcanzado una política de nivel de cumplimiento (p=quarantine o p=reject). Eso significa que 525.996 dominios – más de la mitad de los que tienen registros – se encuentran en p=none, una política de monitoreo que genera informes pero instruye a los servidores de correo receptor a no hacer nada con los mensajes que fallan la autenticación. Un dominio en p=none no está protegido. Un atacante que falsifique ese dominio no enfrenta ninguna barrera técnica para la entrega en la bandeja de entrada.
Más llamativa es la brecha en los informes. Más del 70 por ciento de los dominios habilitados para DMARC a nivel global no han configurado una etiqueta RUA – la dirección de informes que hace que los servidores de correo receptores envíen datos agregados de vuelta al propietario del dominio. Un dominio con política de cumplimiento pero sin informes está volando a ciegas. Está bloqueando correo no autenticado pero no tiene mecanismo para saber qué fuentes de envío legítimas también podría estar bloqueando, ni para detectar si nueva infraestructura de ataque está falsificando el dominio con una política que aún no lo cubre.
El criterio de protección real – política de cumplimiento más informes agregados – es cumplido por aproximadamente 159.691 dominios en el conjunto de datos de EasyDMARC. Eso es el 9 por ciento de los dominios con registros DMARC y aproximadamente el 4,6 por ciento del universo completo de 1,8 millones de dominios analizados.
La Brecha entre Fortune 500 e Inc. 5000
La brecha se ve muy diferente según el tamaño y la antigüedad de la organización.
Entre el Fortune 500, 475 de 500 empresas – el 95 por ciento – tienen registros DMARC válidos. Más importante aún, el 62,7 por ciento de las empresas Fortune 500 ha alcanzado p=reject, el nivel de cumplimiento más estricto, que instruye a todos los servidores de correo participantes a rechazar directamente cualquier mensaje que falle la autenticación contra el dominio protegido. Estas son organizaciones con equipos de seguridad dedicados, especialistas en operaciones de correo electrónico y años de inversión en infraestructura que hace que el cumplimiento de DMARC sea operativamente viable.
Entre el Inc. 5000 – las empresas privadas de más rápido crecimiento de América, con fuerte presencia de negocios en expansión y medianas empresas – el panorama es fundamentalmente diferente. La adopción es sólida con un 76,2 por ciento. El cumplimiento no lo es. Solo el 15,2 por ciento de las empresas del Inc. 5000 ha alcanzado p=reject. Más de la mitad permanece en p=none, la política de solo monitoreo. La proporción de cumplimiento de cuatro a uno entre las empresas Fortune 500 e Inc. 5000 (62,7 por ciento versus 15,2 por ciento en p=reject) define lo que EasyDMARC llama “la brecha creciente.”
Por Qué las Empresas en Crecimiento van a la Zaga
La brecha de cumplimiento entre grandes empresas y empresas de rápido crecimiento no se debe principalmente a la falta de conocimiento. La mayoría de las empresas del Inc. 5000 que han adoptado DMARC entienden lo que significa el cumplimiento. La barrera es la complejidad operativa.
Una empresa Fortune 500 probablemente tiene un programa de correo electrónico consolidado gestionado por un equipo dedicado. Cuando ese equipo pasa de p=none a p=quarantine, puede revisar sistemáticamente los informes agregados de DMARC, identificar cada fuente de envío autorizada, asegurarse de que cada una esté correctamente alineada para SPF o DKIM, y luego avanzar a p=reject con confianza.
Una empresa de rápido crecimiento del Inc. 5000 a menudo tiene el problema opuesto. Los años de crecimiento rápido generalmente implican años de adopción de SaaS sin supervisión central. Marketing usa tres proveedores de servicios de correo electrónico. Ventas usa una herramienta de secuenciación saliente. RRHH usa una plataforma de notificaciones de beneficios. TI usa un servicio de alertas. Finanzas usa un sistema de notificaciones de pago. Cada uno de esos servicios envía correo electrónico desde o en nombre del dominio de la empresa. Cada uno necesita estar autorizado en SPF o cubierto por DKIM antes de que p=reject pueda implementarse sin interrumpir el flujo de correo legítimo.
Los datos de EasyDMARC capturan esta dinámica con precisión. Entre las empresas del Inc. 5000 con registros DMARC, solo el 67,4 por ciento ha configurado informes agregados RUA – lo que significa que casi un tercio carece de visibilidad para comprender siquiera su panorama de envío actual antes de intentar el cumplimiento. No se puede aplicar una política que no se puede ver.
A Quién Atacan los Atacantes
La brecha de cumplimiento no es simplemente un problema de conformidad. Es una señal de objetivo.
Las operaciones sofisticadas de compromiso de correo electrónico empresarial y las campañas de suplantación de dominio verifican rutinariamente si un dominio objetivo tiene cumplimiento DMARC antes de decidir cómo proceder. Un dominio en p=reject requiere que el atacante invierta en un dominio parecido (lo que lleva tiempo, cuesta dinero y es más detectable). Un dominio en p=none puede ser falsificado directamente, sin costo adicional, con el mensaje que pretende originarse del dominio legítimo exacto. Para un atacante que ejecuta una campaña de suplantación de proveedor o apunta al departamento financiero de una empresa, el registro WHOIS y la política DMARC son dos de las primeras cosas que consulta.
Las empresas del Inc. 5000 – empresas en crecimiento con ingresos en expansión, transferencias bancarias frecuentes, relaciones activas con proveedores y a menudo posturas de seguridad menos maduras que sus contrapartes del Fortune 500 – representan exactamente el tipo de objetivo que se beneficia de la suplantación directa de dominio. Más del 50 por ciento de ellas son accesibles por ese método ahora mismo.
El Camino de la Conformidad al Cumplimiento
El informe de EasyDMARC enmarca 2026 como la transición del sector desde la adopción impulsada por la conformidad hasta el cumplimiento impulsado por la madurez. La fase de conformidad fue sencilla: publicar un registro DMARC para evitar ser rechazado por los requisitos de remitentes masivos de Google o Microsoft. La fase de madurez requiere algo más difícil: comprender quién envía correo electrónico en su nombre, alinear cada fuente legítima y mover la política a un nivel que realmente detenga el correo no autorizado.
Ese camino tiene cuatro pasos prácticos.
Comience con informes agregados configurados y una dirección receptora monitoreada. Un registro DMARC sin etiqueta RUA es casi inútil para la planificación del cumplimiento – no proporciona datos.
Use los datos agregados para mapear cada fuente de envío. Cada dirección IP y dominio que aparece en los informes DMARC que no está ya autorizado representa ya sea una brecha a corregir o una fuente a eliminar.
Alinee cada fuente legítima. Para SPF, eso significa asegurarse de que la IP del servidor de envío esté cubierta en el registro SPF del dominio de envío. Para DKIM, significa confirmar que el dominio de firma coincida con el dominio del encabezado From: (o el dominio del sobre en una configuración de alineación flexible). Los servicios de correo electrónico de terceros típicamente ofrecen documentación para este paso; el desafío es saber que cada servicio lo necesita.
Avance la política en etapas. Mueva de p=none a p=quarantine primero, monitoree si hay correo legítimo siendo puesto en cuarentena, resuelva las brechas y luego mueva a p=reject. El enfoque por etapas minimiza el riesgo de bloquear correo que debería ser entregado.
La infraestructura de informes no es opcional. Es el ciclo de retroalimentación que hace posible el cumplimiento.
Los datos de EasyDMARC trazan una línea clara: las grandes empresas aplican cumplimiento, las empresas en crecimiento monitorean, y los atacantes conocen la diferencia. Si su registro DMARC está en p=none, su dominio sigue estando disponible para suplantación. Regístrese gratis en Excello Mail para obtener las herramientas de monitoreo, alineación y gestión de políticas que convierten un registro DMARC en protección real.