Informe sobre la adopción de DMARC y MTA-STS en Canadá 2026

En una época en la que el phishing potenciado por la inteligencia artificial y los sofisticados ataques de suplantación de identidad en el correo electrónico empresarial (BEC) han alcanzado niveles sin precedentes, la seguridad del correo electrónico ya no es una opción para las organizaciones canadienses. Según el Informe de IBM sobre el coste de las filtraciones de datos de 2025, el coste medio de una filtración de datos en Canadá se ha disparado hasta los 6,98 millones de dólares canadienses, y los incidentes relacionados con el phishing suponen a las organizaciones un coste medio de 7,91 millones de dólares canadienses por filtración. El impacto financiero queda aún más patente en una encuesta de KPMG Canadá de 2026, que reveló que el 72 % de las empresas canadienses perdieron hasta un 5 % de sus beneficios anuales a causa del fraude impulsado por la IA solo en los últimos 12 meses.

La velocidad de estos ataques ha alcanzado niveles sin precedentes; la investigación de IBM X-Force demuestra que la IA generativa ya es capaz de crear un cebo de phishing convincente en tan solo cinco minutos, una tarea que antes requería 16 horas de trabajo por parte de operadores humanos. A pesar de esta amenaza de alta velocidad, el Centro Canadiense contra el Fraude informa de que se perdieron 638 millones de dólares se perdieron por culpa del fraude en 2024, y la mayoría de las víctimas ni siquiera denuncian estos delitos. 

Este informe de PowerDMARC analiza el estado de seguridad de 555 dominios canadienses, revelando una peligrosa «brecha de cumplimiento» en la que la elevada adopción de protocolos básicos se ve socavada por la incapacidad de alcanzar una protección total (p=reject) y la ausencia casi total de cifrado moderno como MTA-STS.

Solicitud de informe: Adopción de DMARC en Canadá

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Indicadores de seguridad del correo electrónico en Canadá: resumen

La siguiente tabla ofrece una visión general de los protocolos de seguridad básicos implementados en los dominios canadienses analizados a fecha de marzo de 2026.

Canadá SPF

Precisión del SPF: 94,2 %

DMARC de Canadá

Adopción de DMARC: 88,7 %

DMARC p=reject (protección total) – 28,1 %

Canadá MTA-STS

Adopción de MTA-STS: 3,2 %

Adopción de DNSSEC: 9,4 %

Prueba de 15 días

Observaciones a nivel sectorial

El nivel de seguridad del correo electrónico varía considerablemente entre los principales sectores de Canadá. A continuación se ofrece un desglose del rendimiento de los distintos sectores.

1. Banca

El sector bancario canadiense es líder nacional en la aplicación del protocolo DMARC, pero la mayoría de las entidades aún no cuentan con una protección total.

Métrica Tasa de adopción
Corrección SPF 94.3%
DMARC p=rechazar 42.0%
Sin registro DMARC 8.0%
Adopción de MTA-STS 2.3%
Adopción de DNSSEC 14.8%

El riesgo crítico:

Mientras que el 42,0 % de los bancos aplica una política de «Rechazo», el 58,0 % restante, incluidos aquellos que optan por «Ninguna» o «Cuarentena», sigue siendo vulnerable a sofisticados ataques de suplantación de identidad que pueden dar lugar a fraudes financieros a gran escala y a la pérdida de la confianza de los clientes.

La solución PowerDMARC:

PowerDMARC ofrece a los bancos una solución automatizada para rechazar, garantizando que solo los remitentes autorizados puedan utilizar sus dominios, lo que detiene de raíz el phishing que suplantaba la identidad de los bancos.

2. Educación

El sector educativo es objeto de un intenso seguimiento, pero carece de la aplicación estricta de la normativa necesaria para proteger a los alumnos y al personal.

Métrica Tasa de adopción
Corrección SPF 93.7%
DMARC p=rechazar 17.7%
Sin registro DMARC 3.8%
Adopción de MTA-STS 3.8%
Adopción de DNSSEC 1.3%

El riesgo crítico:

Con solo un 17,7 % en la categoría «Rechazado», los colegios y universidades son objetivos principales de la recopilación de credenciales y de las estafas de phishing relacionadas con las matrículas que se hacen pasar por las secretarías.

La solución PowerDMARC:

Nuestra plataforma simplifica la gestión de DMARC para las instituciones educativas, permitiéndoles obtener visibilidad sobre los remitentes externos y adoptar una política de protección sin poner en riesgo la entrega de las comunicaciones legítimas del campus.

3. Gobierno

Los dominios del sector público representan al Estado y son objetivos principales de la desinformación y el phishing patrocinado por el Estado.

Métrica Tasa de adopción
Corrección SPF 93.7%
DMARC p=rechazar 31.2%
Sin registro DMARC 5.0%
Adopción de MTA-STS 6.2%
Adopción de DNSSEC 13.7%
Adopción de MTA-STS por parte del Gobierno - Canadá

El riesgo crítico:

Con solo un 31,2 % de cumplimiento efectivo, los organismos gubernamentales canadienses se quedan por detrás de los estándares internacionales, lo que expone la información de identificación personal de los ciudadanos al riesgo de ser recopilada mediante comunicaciones oficiales falsificadas.

La solución PowerDMARC:

PowerDMARC ayuda a los organismos públicos a cumplir con las normas de seguridad actuales mediante automatizar la simplificación de SPF y la generación de informes DMARC, garantizando que los dominios gubernamentales estén protegidos contra la suplantación de identidad.

Agendar demo

4. Asistencia sanitaria

A medida que los profesionales sanitarios digitalizan sus historiales, la seguridad de sus comunicaciones por correo electrónico se convierte en una cuestión fundamental en materia de privacidad.

Métrica Tasa de adopción
Corrección SPF 98.0%
DMARC p=rechazar 20.4%
Sin registro DMARC 12.3%
Adopción de MTA-STS 0.0%
Adopción de DNSSEC 8.2%
Adopción de DNSSEC en el sector sanitario - Canadá

El riesgo crítico:

El sorprendente 0 % de adopción de MTA-STS significa que casi todo el tráfico de correo electrónico del sector sanitario es potencialmente vulnerable a ataques de «hombre en el medio» (MiTM), en los que los datos de los pacientes podrían ser interceptados en texto sin cifrar.

La solución PowerDMARC:

PowerDMARC’s MTA-STS alojado y TLS-RPT permiten a los proveedores de atención sanitaria aplicar el cifrado a los correos electrónicos en tránsito, protegiendo la información sanitaria protegida (PHI) contra su interceptación.

5. Medios de comunicación

El sector de los medios de comunicación goza de gran visibilidad y se sustenta en su reputación de veracidad, pero sigue siendo vulnerable al fraude de identidad.

Métrica Tasa de adopción
Corrección SPF 98.0%
DMARC p=rechazar 20.0%
Sin registro DMARC 10.0%
Adopción de MTA-STS 0.0%
Adopción de DNSSEC 6.0%
Adopción de SPF en los medios de comunicación - Canadá

El riesgo crítico:

Los bajos índices de aplicación de la ley (20 %) permiten a los delincuentes suplantar la identidad de medios de comunicación para difundir desinformación o alertas de noticias falsas, lo que puede tener consecuencias sociopolíticas inmediatas.

La solución PowerDMARC:

PowerDMARC permite a las organizaciones de medios proteger sus dominios y mantener la confianza del público mediante:

  • Aplicación de DMARC: Llegando a p=reject para bloquear los correos electrónicos no autorizados con «noticias falsas».
  • BIMI alojado: Gestión y visualización sin esfuerzo de logotipos de marca verificados en las bandejas de entrada. Esto proporciona un sello visual de autenticidad que confirma que la noticia procede de una fuente legítima y verificada.

6. Telecomunicaciones

Los operadores protegen sus redes, pero a menudo dejan sus dominios de correo electrónico expuestos a posibles abusos.

Métrica Tasa de adopción
Corrección SPF 90.9%
DMARC p=rechazar 11.4%
Sin registro DMARC 34.1%
Adopción de MTA-STS 4.5%
Adopción de DNSSEC 4.5%
Logotipo BIMI

El riesgo crítico:

Dado que el 34,1 % de los dominios del sector de las telecomunicaciones carecen por completo de registros DMARC, este sector está muy expuesto a ataques de ingeniería social utilizados para provocar el intercambio de tarjetas SIM y la apropiación de cuentas.

La solución PowerDMARC:

PowerDMARC permite a los proveedores de telecomunicaciones bloquear las alertas de facturación fraudulentas y la suplantación de identidad en el servicio de atención al cliente mediante:

  • DMARC alojado: Simplifica la compleja gestión del DNS al permitir a los proveedores actualizar y adaptar sus políticas DMARC directamente desde el panel de control de PowerDMARC sin necesidad de realizar entradas manuales en el DNS.
  • Prevención del spoofing: Alcanzando p=rechazar para garantizar que los hackers no puedan suplantar al operador para robar las credenciales de los abonados.
Prueba de 15 días

7. Transporte

El sector del transporte es la columna vertebral de la logística, pero la seguridad de su correo electrónico es peligrosamente deficiente.

Métrica Tasa de adopción
Corrección SPF 92.2%
DMARC p=rechazar 23.4%
Sin registro DMARC 15.6%
Adopción de MTA-STS 5.2%
Adopción de DNSSEC 6.5%
Logotipo BIMI

El riesgo crítico:

El escaso uso de MTA-STS implica que los manifiestos de carga y los datos logísticos se envían sin cifrar. Además, el escaso uso de DNSSEC expone estos dominios al secuestro de DNS.

La solución PowerDMARC:

PowerDMARC protege la cadena de suministro logística al impedir el desvío de la carga mediante la autenticación de los manifiestos de embarque y a través de DMARC y MTA-STS alojado.

Entre bastidores: Debilidades estructurales en Canadá

Aunque el elevado índice de adopción de DMARC en Canadá (88,7 %) sugiere una sólida base técnica, un análisis más detallado de los datos revela una «falsa sensación de seguridad». El país se enfrenta actualmente a una enorme brecha en la aplicación de las normas y a una adopción muy baja de las protecciones modernas en la capa de transporte.

1. SPF: la identidad fundamental (pero frágil)

El SPF actúa como la «lista de invitados» de tu dominio, especificando qué direcciones IP y servicios están autorizados a enviar correo en tu nombre. Aunque es el protocolo más utilizado en Canadá, su eficacia se ve a menudo mermada por errores de configuración técnica.

  • Índice de adopción: 94,2 %; Casi todos los dominios analizados tienen un registro SPF.
  • La brecha de «exactitud»: Muchos de estos registros contienen errores, el más común de los cuales es exceder el límite de 10 consultas DNS. Cuando se alcanza este límite, los correos electrónicos legítimos de proveedores externos autorizados (como herramientas de RR. HH. o de marketing) no superan la autenticación y, a menudo, son rechazados.

La opinión de los expertos:

«El uso generalizado de SPF en Canadá es un arma de doble filo. Aunque la base está ahí, un registro SPF «dañado» suele ser peor que no tener ningún registro, ya que genera problemas impredecibles de entrega. En PowerDMARC, utilizamos «PowerSPF» para simplificar estos registros, garantizando que incluso los ecosistemas empresariales más complejos se mantengan dentro del límite y estén autenticados al 100 %».

Yunes Tarada, Director de Prestación de Servicios, PowerDMARC

La opinión de los expertos:

«La “trampa de la supervisión” es un fenómeno mundial, pero resulta especialmente acusada en Canadá. Muchas organizaciones creen que con solo tener un registro DMARC ya están protegidas. En realidad, una política con el valor «p=none» es una invitación abierta a los atacantes para que utilicen la reputación de tu marca con fines de phishing. Si no cambias a «Reject», es como si estuvieras viendo cómo te roban en casa a través de una cámara de seguridad sin haber cerrado nunca la puerta con llave».

Maitham Al Lawati, Director General de PowerDMARC

2. Distribución de políticas DMARC: la trampa del «seguimiento»

La vulnerabilidad más grave en el panorama canadiense es la dependencia de la supervisión pasiva. El mero hecho de publicar un registro DMARC no constituye una defensa, sino una herramienta de diagnóstico.

  • Ninguno (p=ninguno): 37,9 %; Estos dominios se encuentran en «modo de supervisión». Reciben informes sobre quién envía correo, pero la política indica a los servidores receptores que no hagan nada con los correos electrónicos no autorizados.
  • Cuarentena (p = cuarentena): 22,7 %; Fase de transición en la que los correos electrónicos sospechosos se desvían a la carpeta de spam del destinatario.
  • Rechazo (p = rechazo): 28,1 %; El «estándar de referencia». Solo estos dominios bloquean activamente los intentos de suplantación de identidad.

3. MTA-STS: el déficit de cifrado

Mientras que SPF y DMARC verifican quién envía el correo electrónico, MTA-STS garantiza la privacidad del mensaje durante su tránsito. Con una tasa de adopción nacional de tan solo 3,2 %, Canadá tiene un enorme punto ciego en materia de seguridad del transporte.

El protocolo STARTTLS tradicional es «oportunista», lo que significa que solo cifra si ambos servidores están de acuerdo. Los atacantes se aprovechan de esto mediante «ataques de degradación», en los que obligan a que el correo electrónico se envíe en texto plano sin cifrar.

  • El 96,8 % de los dominios canadienses analizados son actualmente vulnerables a la interceptación de tipo «man-in-the-middle» (MiTM).
  • En sectores como la sanidad y los medios de comunicación, la adopción del protocolo MTA-STS es del 0 %, lo que significa que los historiales médicos confidenciales y las comunicaciones periodísticas se transmiten sin cifrado obligatorio.

La opinión de los expertos:

«En 2026, cuando la inteligencia artificial sea capaz de interceptar y analizar enormes cantidades de datos en tiempo real, enviar correos electrónicos sin cifrar será un riesgo que ninguna empresa podrá permitirse. MTA-STS cierra la brecha que permite a los atacantes eludir el cifrado. Es la segunda parte indispensable de la ecuación de la seguridad del correo electrónico; si DMARC es el documento de identidad, MTA-STS es el furgón blindado».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

La opinión de los expertos:

«El DNSSEC es el pilar olvidado de Internet. Sin él, todas las demás capas de seguridad, incluido el DMARC, se construyen sobre arena. Si un atacante secuestra tu DNS, se hace con el control de tu identidad. Para las organizaciones canadienses, el déficit del 90,6 % en la adopción del DNSSEC representa un riesgo sistémico a nivel nacional que requiere atención inmediata».

Ahona Rudra, directora de marketing, PowerDMARC

4. DNSSEC: una base frágil

DNSSEC añade firmas digitales a los registros DNS, lo que garantiza que, cuando un usuario busque tu dominio, no sea redirigido a un servidor malicioso.

Con solo un 9,4 % de adopción, la gran mayoría de la infraestructura digital canadiense sigue siendo vulnerable al el envenenamiento de la caché DNS y al secuestro. Esto resulta especialmente peligroso para la seguridad del correo electrónico, ya que un atacante que controle su DNS puede redirigir todo el correo entrante a sus propios servidores antes de que llegue a su organización.

Contáctenos

Análisis comparativo mundial: la brecha en la aplicación de la ley (2025-2026)

La siguiente tabla muestra las cifras exactas relativas a la aplicación de las medidas de seguridad del correo electrónico a nivel nacional. La «brecha de aplicación» representa la vulnerabilidad que dejan las organizaciones que, aunque cuentan con un registro, no logran bloquear el correo no autorizado.

PaísSPF (correcto)Aplicación de DMARC (p=reject)Adopción de MTA-STSAdopción de DNSSEC
Estados Unidos (2026)95.7%49.0%1.7%18.0%
Australia (2025)92.3%46.7%5.8%6.8%
Canadá (2026)94.2%28.1%3.2%9.4%
Arabia Saudí (2026)80.6%18.4%0.2%11.9%
Italia (2025)91.0%16.7%1.0%3.5%
Perú (2025)86.1%17.9%0.6%4.6%
Uganda (2026)77.8%30.6%0.0%3.8%

Análisis: El coste de la política «pasiva»

Los datos mundiales de 2026 confirman una tendencia peligrosa: La adopción sin aplicación es una falsa sensación de seguridad. Un porcentaje enorme de dominios globales permanece en «modo de supervisión» (p=none). Aunque esto proporciona visibilidad, no detiene ni un solo correo electrónico suplantado. Países como Japón (9,2 % de aplicación) e Italia (16,7 %) demuestran que un alto nivel de conocimiento técnico no se traduce en una protección activa sin una cambio en la política de DMARC .

El déficit de cifrado

La seguridad en la capa de transporte sigue siendo la «última frontera». Con una adopción de MTA-STS inferior al 3,5 % en la mayoría de las principales economías, los correos electrónicos autenticados siguen siendo vulnerables a los «ataques de degradación», en los que los atacantes fuerzan las conexiones a texto plano sin cifrar para interceptar datos confidenciales.

Factores regulatorios

Las elevadas tasas de cumplimiento en los Estados Unidos (49,0 %) son consecuencia directa de mandatos federales estrictos y de normativas específicas del sector. La postura actual de Canadá sugiere que, sin un impulso federal similar para p=rechazar, el país seguirá quedando rezagado respecto a sus principales socios comerciales en materia de ciberresiliencia.

Conclusión: De las métricas a la acción

Los datos son claros: Canadá ha sentado unas bases técnicas sólidas, pero aún no ha logrado salvar por completo la brecha entre la supervisión pasiva y la aplicación activa de las normas de transporte. Aunque el SPF es casi omnipresente (94,2 %) y la adopción de DMARC es elevada (88,7 %), el hecho de que más del 70 % del país no haya alcanzado la aplicación plena (p = rechazo) y la falta generalizada de integridad de DNSSEC (brecha del 90,6 %) siguen constituyendo una vulnerabilidad nacional significativa.

Las organizaciones canadienses no pueden permitirse esperar a que se produzca la próxima brecha grave de ciberseguridad o un incidente catastrófico de suplantación de identidad en el correo electrónico empresarial (BEC) para pasar de la supervisión a la protección. PowerDMARC salva esta «brecha de implementación» al ofrecer:

Vías de cumplimiento automatizadas: Migración segura de empresas y pymes canadienses desde p=none a p=rechazar sin bloquear las comunicaciones empresariales críticas ni el flujo de correo de los departamentos.

Simplificación de la infraestructura: Superar el «límite de 10 consultas» con la optimización de SPF, alojar MTA-STS para cerrar la brecha de cifrado del 96,8 % y validar los registros DNSSEC en un único panel de control nativo de la nube.

Preparación normativa: Apoyo al cumplimiento de la PIPEDA, la Ley de Implementación de la Carta Digital (Proyecto de Ley C-27) y PCI-DSS 4.0 simplificando la protección contra el phishing y protegiendo las comunicaciones por correo electrónico confidenciales.

Reservar una demostración Póngase en contacto con nosotros

Perspectiva de PowerDMARC

«En la actualidad, Canadá es uno de los principales objetivos del phishing y el fraude en las facturas impulsados por la inteligencia artificial. Aunque los equipos de TI canadienses son excelentes a la hora de publicar registros básicos, a menudo se ven paralizados por el temor a bloquear correos legítimos. En 2026, adoptar una postura de «solo supervisión» equivale, en esencia, a rendirse ante las sofisticadas técnicas de suplantación de identidad. El paso a una defensa activa no es solo una mejora de la seguridad; es esencial para protegerse contra las violaciones de seguridad que apuntan al corazón de la economía digital de Canadá».

Equipo de PowerDMARC

Convierta la visibilidad en defensa hoy mismo

Las tasas de adopción en Canadá demuestran que las bases ya están sentadas; ahora es el momento de dar el paso. En un panorama en el que la IA es capaz de imitar a la perfección el tono de un directivo, no basta con confiar únicamente en la «visibilidad».

No permita que su dominio siga siendo una «frontera desprotegida». Pase de la supervisión pasiva a la protección activa antes de que la próxima oleada de ataques coordinados afecte a su sector.

Ponte en contacto con PowerDMARC para iniciar su proceso de cumplimiento.

Prueba de 15 díasAgendar demo