Proofpoint publico esta semana una nueva investigacion sobre el estado de la autenticacion de correo electronico entre las empresas Fortune 100 de India, y la cifra principal contradice la narrativa habitual. La adopcion no es el problema. El 97% de estas empresas ha publicado un registro DMARC. Lo que Proofpoint encontro en cambio es una brecha de aplicacion: el 41% de ellas se ha detenido en una politica que monitorea o pone en cuarentena el correo sospechoso en lugar de una que lo rechaza directamente. Solo el 59% ha pasado a p=reject, la configuracion que realmente indica a los servidores receptores que rechacen los mensajes que fallan la autenticacion.
Esa distincion, entre publicar un registro y aplicar una politica, no es un tecnicismo. Es la diferencia entre un dominio que parece protegido en una lista de verificacion de cumplimiento y uno que esta realmente protegido en la bandeja de entrada frente al phishing.
Un Registro No Es Una Politica
DMARC tiene tres configuraciones de politica significativas: p=none, que pide a los servidores receptores que no hagan nada mas que informar sobre los fallos, p=quarantine, que les pide que envien el correo sospechoso a spam, y p=reject, que les pide que lo rechacen directamente. Un dominio que se queda en p=none sigue generando informes agregados y sigue apareciendo en una auditoria como “con DMARC”, pero no autoriza que se bloquee nada en realidad. Los atacantes que suplantan ese dominio obtienen exactamente las mismas probabilidades de entrega que habrian obtenido sin ningun registro DMARC.
El hallazgo de Proofpoint de que el 41% de las empresas Fortune 100 de India no ha llegado a p=reject significa que mas de un tercio de las marcas corporativas mas reconocidas y confiables del pais, los nombres en los que los clientes ya depositan una confianza automatica, todavia dejan esa confianza sin proteger. Un correo de factura fraudulenta, un aviso falso de recursos humanos, un mensaje de servicio al cliente suplantado usando el dominio exacto de una de estas empresas tiene una posibilidad real de llegar a una bandeja de entrada sin filtrar, porque la politica vigente no le dice a los servidores receptores que lo detengan.
Por Que las Empresas Mas Grandes Son los Objetivos de Mayor Valor
El gerente de pais de Proofpoint en India lo expuso con claridad: estas empresas estan entre los nombres mas confiables de la economia digital del pais, y esa confianza es precisamente lo que las convierte en objetivos atractivos. Un correo de phishing que suplanta a una pequena empresa desconocida despierta sospechas. Un correo de phishing que suplanta a un banco, una telecomunicacion o un minorista de las Fortune 100 se beneficia de anos de reconocimiento de marca acumulado que juega a favor del atacante antes de que el destinatario lea una sola palabra del mensaje.
La investigacion tambien senala a la IA como el acelerante. La advertencia de Proofpoint es que la IA esta permitiendo a los actores de amenazas suplantar marcas confiables a una escala y velocidad nunca vistas, generando contenido de imitacion convincente y senuelos dirigidos mucho mas rapido de lo que cualquier campana manual podria lograr. La escala se multiplica contra cualquier brecha que exista en la politica de autenticacion de un dominio. Una brecha de aplicacion del 41% entre las empresas mas grandes del pais no es un error de redondeo a esa escala, es una invitacion permanente.
Aplicar la Politica Es un Proyecto, No un Interruptor
La razon por la que tantas organizaciones se estancan en p=none o p=quarantine rara vez es indiferencia. Es el miedo a bloquear correo legitimo. El dominio de una empresa suele enviar a traves de un proveedor de nomina, un CRM, una plataforma de marketing, un sistema de tickets de soporte y media docena de servicios de terceros mas, cada uno de los cuales necesita ser identificado y autorizado con SPF y DKIM antes de que sea seguro activar una politica de rechazo. Saltarse ese paso de inventario hace que la aplicacion corra el riesgo de descartar silenciosamente una factura real o un restablecimiento de contrasena real junto con los fraudulentos. Ese riesgo, no la apatia, es lo que deja a tantas empresas bien dotadas de recursos estacionadas indefinidamente en modo monitoreo.
La solucion no es complicada, pero requiere que alguien realmente lea los informes agregados que DMARC produce en p=none, identifique cada fuente de envio legitima y la autorice, antes de avanzar la politica. Saltar directamente a p=reject sin esa visibilidad es como el correo legitimo termina atrapado en el fuego cruzado. No aplicar la politica en absoluto, indefinidamente, es como el fraude termina pasando en su lugar.
La Conclusion
Las cifras de Proofpoint describen exactamente la brecha que ha definido la adopcion de DMARC durante anos: publicar un registro es facil, y la mayoria de las grandes organizaciones ya lo ha hecho. Aplicar ese registro contra intentos reales de fraude es la parte que se posterga, a veces durante anos, mientras el dominio queda expuesto bajo la apariencia de estar protegido. Si atiendes a clientes que ya confian en tu marca, esa brecha es precisamente con lo que cuenta un correo suplantado.
Tener un registro DMARC no es lo mismo que aplicarlo. Registrate gratis en Excello Mail y obten la visibilidad que necesitas para llevar tu dominio del monitoreo a una politica de rechazo totalmente aplicada con confianza.