Seguridad del correo electrónico más allá de los filtros antispam: DMARC, BIMI y el futuro de la autenticación del correo electrónico
1 min de lectura
Google y Yahoo exigieron desde febrero de 2024 la autenticación DMARC – para todos los remitentes que envíen más de 5.000 correos electrónicos al día. Quien no implemente DMARC, verá sus mensajes clasificados como spam. Sin embargo, DMARC es solo el comienzo: SPF, DKIM y BIMI conforman, en conjunto, el futuro de la autenticación del correo electrónico.
En resumen
- Google/Yahoo desde febrero de 2024: DMARC obligatorio para remitentes masivos
- DMARC en modo «Enforce»: Solo el 33 % de las empresas alemanas (asociación eco)
- BIMI: Logotipo de la marca en la bandeja de entrada – un ancla visible de confianza para los destinatarios
- El correo electrónico sigue siendo el vector de ataque n.º 1: El 91 % de los ciberataques comienza por correo electrónico
SPF, DKIM, DMARC: La tríada de autenticación
SPF (Sender Policy Framework): Define, mediante un registro DNS, qué servidores están autorizados a enviar correos electrónicos en nombre de un dominio. Protege contra el spoofing directo del dominio.
DKIM (DomainKeys Identified Mail): Firma criptográficamente cada correo electrónico. El destinatario puede verificar que el mensaje no ha sido manipulado y que efectivamente proviene del dominio indicado.
DMARC (Domain-based Message Authentication): Se basa en SPF y DKIM y define qué debe hacerse con los correos electrónicos que no superen la verificación: nada (none), cuarentena (quarantine) o rechazo (reject). Además: informes sobre todos los resultados de autenticación.
Por qué DMARC debe configurarse en «reject»
La mayoría de las empresas implementan DMARC en modo monitorización (p=none) – y lo dejan así. Esto equivale a una alarma antirrobo que solo registra eventos, pero nunca se activa. Solo con p=reject se bloquean efectivamente los correos electrónicos falsificados.
El paso de none a reject requiere trabajo: todas las fuentes legítimas de correo electrónico (herramientas de marketing, CRM, sistemas de atención al cliente, proveedores externos) deben estar autenticadas mediante SPF y DKIM. Los informes DMARC (en formato XML) muestran qué fuentes aún no están alineadas (aligned). Herramientas como dmarcian, Valimail o PowerDMARC automatizan su análisis.
BIMI: El logotipo de la marca como ancla de confianza
BIMI (Brand Indicators for Message Identification) muestra el logotipo de la marca verificada del remitente directamente en la bandeja de entrada – en Gmail, Apple Mail y Yahoo Mail. Requisito previo: DMARC en modo Enforce (quarantine o reject) más un certificado VMC (Verified Mark Certificate).
El efecto es doble: los destinatarios identifican al instante si un correo electrónico procede realmente del remitente declarado. Y la marca gana visibilidad – cada correo electrónico se convierte en un punto de contacto para la imagen corporativa. Para empresas con alto volumen de correo electrónico (ventas, marketing, soporte), BIMI constituye una ventaja estratégica.
Plan de implementación
Fase 1 (semanas 1-2): Verificar y corregir el registro SPF, activar DKIM en todos los servidores de correo electrónico, configurar DMARC con p=none e iniciar la generación de informes. Fase 2 (meses 1-3): Analizar los informes DMARC, alinear todas las fuentes legítimas y avanzar progresivamente de none a quarantine y luego a reject. Fase 3 (opcional): Registrar el logotipo para BIMI, solicitar el certificado VMC y configurar el registro DNS de BIMI.
El error más frecuente: cambiar demasiado rápido a reject antes de que todas las fuentes legítimas estén alineadas. Esto bloquea los propios correos electrónicos. Los informes DMARC son la clave – indican exactamente qué fuentes aún requieren ajustes.
Datos clave
Adopción de DMARC en Alemania: Solo el 33 % está en modo Enforce – el 67 % carece de protección contra el spoofing de dominios
Correo electrónico como vector: El 91 % de los ciberataques comienza por correo electrónico (Proofpoint)
Exigencia de Google: Desde febrero de 2024: DMARC obligatorio para remitentes con 5.000+ correos electrónicos/día
Preguntas frecuentes
¿Cuánto cuesta la implementación de DMARC?
Los registros DNS son gratuitos. Las herramientas de análisis DMARC cuestan entre 100 y 500 EUR/mes. Para una empresa con 3-5 fuentes de correo electrónico, la implementación completa es factible en 4-8 semanas. BIMI con certificado VMC supone un coste adicional de aproximadamente 1.500 EUR/año.
¿Protege DMARC contra el phishing?
DMARC protege contra el spoofing de dominios – es decir, contra correos electrónicos que simulan provenir de su dominio. No protege directamente contra el phishing desde dominios ajenos (lookalikes, cuentas de correo gratuito). Para ello se necesitan pasarelas de seguridad para correo electrónico con detección basada en inteligencia artificial.
¿Necesito un proveedor de servicios especializado?
Para configuraciones sencillas (un dominio, pocas fuentes de correo electrónico) basta con conocimientos técnicos básicos y una herramienta de análisis DMARC. Para entornos complejos (múltiples dominios, decenas de proveedores externos, escenarios de fusiones y adquisiciones), resulta rentable contar con un socio especializado como dmarcian, Valimail o Red Sift.
Artículos relacionados
- Tendencias de ciberseguridad 2026: Las 7 evoluciones que los responsables de seguridad deben conocer
- Cybersec Europe 2026: La conferencia de ciberseguridad de Bruselas, en el corazón de la regulación europea
- Cómo detectar correos electrónicos de phishing generados por IA: 7 señales de alerta para 2026
Más contenido de la red MBF Media
- Cloud Magazin – Nube, SaaS e infraestructura TI
- myBusinessFuture – Digitalización, IA y negocio
- Digital Chiefs – Liderazgo estratégico para ejecutivos
Fuente de imagen: Pexels / Markus Winkler
