El Informe de Adopción DMARC 2026 de EasyDMARC, elaborado a partir del análisis de los 1,8 millones de dominios globales más importantes, contiene un hallazgo que merece más atención de la que ha recibido: más del 70 por ciento de los dominios con DMARC habilitado no tienen informes agregados configurados.
Estas organizaciones publicaron un registro DMARC. Están contadas en el 52,1 por ciento de la cifra de adopción. Pero no añadieron ninguna etiqueta rua= para recibir informes agregados, lo que significa que no tienen forma de ver quién está enviando correo electrónico que afirma provenir de su dominio.
Esa brecha define uno de los problemas estructurales en la autenticación del correo electrónico en 2026: adopción y visibilidad no son lo mismo. Un registro DMARC sin informes es una política sin retroalimentación. Y una política sin retroalimentación no puede aplicarse de forma segura.
Qué Dicen Realmente los Informes Agregados
Los informes agregados de DMARC – especificados en RFC 7489 y preservados en el recientemente publicado RFC 9989 – son documentos XML que los servidores de correo receptores envían de vuelta al propietario del dominio de forma programada, típicamente una vez al día. Cada informe cubre una ventana de 24 horas y contiene un registro de cada dirección IP que envió correo electrónico reclamando originarse desde el dominio durante ese período.
Para cada fuente de envío, el informe incluye los resultados de autenticación: ¿pasó SPF, pasó DKIM, y la combinación cumplió con los requisitos de alineación para DMARC? También incluye recuentos de mensajes, para que los propietarios de dominio puedan ver el volumen atribuido a cada fuente.
Estos datos responden preguntas que ninguna otra fuente puede responder. Puede ver si su proveedor de servicios de correo electrónico está autenticando el correo correctamente. Puede ver si un antiguo dominio de envío sigue generando tráfico que pensó que había sido retirado. Puede ver si un servidor no autorizado está enviando correo que afirma venir de su dominio – y si ese correo está pasando o fallando la autenticación.
Sin una etiqueta rua= en su registro DMARC, ninguno de esos informes le llega. Los servidores receptores los generan y los descartan. La inteligencia existe. Simplemente nunca se entrega.
El Camino de p=none a p=reject Pasa por Sus Informes
La secuencia estándar de implementación de DMARC – publicar p=none, revisar informes, identificar todas las fuentes de envío legítimas, pasar a p=quarantine, luego a p=reject – existe precisamente porque la aplicación requiere visibilidad verificada. No se puede poner en cuarentena o rechazar correo de forma segura hasta que sepa que cada fuente de envío legítima está correctamente autenticada.
Las organizaciones que omiten los informes agregados en la etapa p=none no tienen base para emitir ese juicio. No ven ninguna señal del ecosistema de correo electrónico sobre lo que su dominio está enviando ni sobre cómo se resuelve la autenticación. O nunca pasan a la aplicación, o pasan a la aplicación y rompen flujos de correo legítimos que no sabían que existían.
Los datos de EasyDMARC muestran esta dinámica en funcionamiento. Del 52,1 por ciento de los dominios más importantes con registros DMARC, solo el 43,9 por ciento aplica una política de aplicación – p=quarantine o p=reject. La mayoría atascada en p=none no es principalmente una población de organizaciones a las que no les importa la aplicación. Incluye una parte sustancial de organizaciones que publicaron registros DMARC con fines de cumplimiento normativo, establecieron la política en p=none porque es lo que recomienda cualquier guía de configuración como punto de partida seguro, y luego se detuvieron. No añadieron informes. Sin informes, no hay camino a seguir.
La Brecha de Datos Tiene una Consecuencia de Seguridad
El efecto práctico de la brecha en los informes es que más del 70 por ciento de los dominios con DMARC habilitado son invisibles para sí mismos. Un atacante podría estar usando su dominio en una campaña de phishing hoy mismo. Si esos mensajes de phishing fallan DMARC, los servidores de correo receptores pueden estar generando informes agregados que documentan cada dirección IP involucrada en la campaña. Esos informes no van a ninguna parte, porque no hay ninguna etiqueta rua= para dirigirlos.
Si el atacante usa infraestructura que pasa la alineación SPF – un remitente externo mal configurado pero ya autorizado en el registro SPF – los mensajes pueden estar llegando a los destinatarios. Sin informes agregados, el propietario del dominio no tiene ninguna señal de que esto está ocurriendo.
Ninguno de esos escenarios es detectable solo a través del registro DMARC. El registro es una declaración de política. Los informes son el mecanismo de retroalimentación que hace que la política sea significativa. Uno sin el otro es una implementación incompleta.
Cómo Cerrar la Brecha de Informes
Añadir informes agregados a un registro DMARC existente es un único cambio de DNS. La etiqueta rua= acepta una dirección de correo electrónico o URI que los servidores de correo receptores deben usar para entregar los informes. Una configuración mínima tiene este aspecto:
v=DMARC1; p=none; rua=mailto:[email protected];
La dirección no necesita estar en el mismo dominio que el registro DMARC, pero si está en un dominio diferente, ese dominio necesita publicar un registro de consentimiento en DNS. La mayoría de las organizaciones dirigen los informes a una bandeja de entrada dedicada, un servicio de informes DMARC, o ambos.
Los informes llegan como archivos adjuntos XML, que son difíciles de interpretar manualmente en cualquier volumen. Una herramienta de informes DMARC analiza el XML, agrega resultados de los servidores receptores y presenta los datos en un formato que muestra qué fuentes de envío están pasando, cuáles están fallando y qué fuentes desconocidas están generando tráfico contra su dominio.
Con esa visibilidad, el camino hacia la aplicación se convierte en un proceso estructurado en lugar de un riesgo. Identifica cada fuente de envío, confirma que está autenticada correctamente y pasa a la aplicación solo después de que cada fuente legítima está verificada. Las organizaciones en p=reject en los datos de EasyDMARC tienen informes configurados de forma abrumadora. No es una coincidencia.
Qué Dicen los Números Sobre la Seguridad del Correo en 2026
La cifra del 52,1 por ciento de adopción de DMARC representa un progreso genuino. Cada dominio que pasa de no tener registro DMARC a tener algún registro DMARC ha elevado el nivel general de autenticación de correo electrónico y ha comenzado el proceso que eventualmente lleva a la aplicación.
Pero la brecha del 70 por ciento en informes cuenta una historia más específica: las estadísticas de adopción y las estadísticas de protección miden cosas diferentes.
Un dominio con p=none y sin informes ha dado el primer paso. No ha protegido nada. La protección viene de la aplicación. La aplicación viene de la visibilidad. La visibilidad viene de los informes agregados.
Las organizaciones que han completado este camino – el 43,9 por ciento en p=quarantine o p=reject – casi con certeza llegaron allí porque leyeron sus informes y usaron esos datos para validar su infraestructura de envío antes de endurecer la política. El más del 70 por ciento sin informes aún no ha comenzado esa parte del camino.
El informe de EasyDMARC también encontró que el 95 por ciento de las empresas del Fortune 500 han implementado DMARC, con más del 80 por ciento aplicando políticas que bloquean activamente el correo no autorizado. En contraste, apenas más del 50 por ciento de las organizaciones del Inc. 5000 siguen dependiendo de políticas de solo monitoreo. La división entre empresas que han completado la aplicación y organizaciones medianas que no lo han hecho se corresponde estrechamente con qué organizaciones leyeron y actuaron sobre sus informes agregados.
Los informes agregados no son una función avanzada. Son el mecanismo alrededor del cual se construyó el protocolo. Publicar DMARC sin ellos es como instalar una cámara de seguridad sin grabación: la política está en su lugar, pero la evidencia nunca se acumula.
Excello Mail le ofrece el procesamiento de informes agregados de DMARC integrado en la misma plataforma que utiliza para gestionar la configuración de autenticación de su correo electrónico. Añada su dirección rua=, conecte su dominio y empiece a leer los datos que le muestran quién está enviando en su nombre. Regístrese gratis en Excello Mail y convierta su registro DMARC en una señal de seguridad activa.