Explicación de la rotación de claves DKIM: mejores prácticas, métodos y herramientas

La rotación de claves DKIM es el proceso de sustituir las claves criptográficas DKIM existentes por otras nuevas para mantener la seguridad del correo electrónico. Suena técnico, pero la idea es sencilla: al igual que las contraseñas no deben permanecer iguales para siempre, tampoco deben hacerlo las claves DKIM.

La rotación periódica de claves DKIM ayuda a prevenir la suplantación de identidad en el correo electrónico, el phishing y el uso no autorizado de su dominio. En esta guía, explicaremos qué son las claves DKIM, por qué es importante rotarlas, con qué frecuencia debe hacerlo y cuáles son las formas más seguras de hacerlo (manualmente o automáticamente).

¿Qué son las claves DKIM?

DKIM (DomainKeys Identified Mail) es un protocolo de autenticación de correo electrónico que verifica si un correo electrónico realmente proviene del dominio que dice representar.

Cuando se envía un correo electrónico, el servidor remitente lo firma con una clave criptográfica privada. La clave pública correspondiente se publica en el DNS como un registro TXT. Cuando el servidor de correo del destinatario recibe el mensaje, recupera la clave pública del DNS y la utiliza para validar la firma. Si la firma coincide, se confirma que el mensaje es auténtico y no ha sido manipulado.

Este proceso refuerza la confianza entre los servidores de envío y recepción. También mejora la colocación en la bandeja de entrada y protege los dominios contra la suplantación de identidad. DKIM funciona junto con SPF y DMARC, formando una defensa por capas contra la suplantación de identidad y el phishing.

Pero la protección criptográfica no es una configuración única que se pueda olvidar. Las claves también deben evolucionar.

Por qué es crucial rotar las claves DKIM

La rotación de claves DKIM consiste en generar un nuevo par de claves privada/pública y retirar el antiguo tras un periodo de transición seguro. Pero, ¿por qué es importante? Si un actor malintencionado obtiene acceso a su clave privada, puede firmar correos electrónicos fraudulentos que parecen legítimos. Esto puede dar lugar a:

• Campañas de phishing desde tu dominio
• Suplantación de identidad de marca
• Lista negra de correo electrónico
• Daños en la capacidad de entrega

Cuanto más tiempo permanece activa una clave, mayor es el riesgo de exposición. Incluso si la clave no se ve comprometida, su reutilización a largo plazo aumenta la superficie de ataque. ¡Pero eso no es todo! También hay una razón operativa: las claves obsoletas (como las claves de 1024 bits) pueden dejar de cumplir las expectativas de seguridad actuales y afectar a la fiabilidad de la autenticación. Por lo tanto, la rotación de DKIM protege tanto la reputación de su marca como su infraestructura de correo electrónico, ya que ayuda a que sus claves se mantengan actualizadas, modernas y herméticas.

¿Con qué frecuencia se deben rotar las claves DKIM?

No existe una regla universal única, pero las mejores prácticas del sector sugieren lo siguiente:

• Cada 6-12 meses para la mayoría de las organizaciones.
• Cada 3-6 meses para remitentes de alta seguridad o gran volumen.
• Inmediatamente, si se sospecha que hay un compromiso.

Las organizaciones que siguen las directrices de grupos industriales como el Grupo de Trabajo contra el Abuso en Mensajería, Malware y Dispositivos Móviles (M3AAWG) suelen adoptar políticas de rotación anual o semestral.

Longitud de clave recomendada

Igualmente importante es la longitud de la clave. Hoy en día se recomienda un mínimo de 2048 bits. Aunque algunas claves de 1024 bits siguen siendo técnicamente compatibles con algunos sistemas, cada vez se consideran más débiles. La actualización a claves de 2048 bits refuerza la resistencia criptográfica y se ajusta a los estándares modernos.

Métodos de rotación de claves DKIM

Hay varias formas de rotar las claves DKIM, dependiendo de su infraestructura y nivel de control.

1. Rotación manual de la clave DKIM

Puede rotar manualmente sus claves DKIM de vez en cuando creando nuevas claves para su dominio. Para ello, siga estos pasos:

• Dirígete a nuestra herramienta gratuita para generar registros DKIM.
• Introduzca la información de su dominio e introduzca el selector DKIM que desee
• Pulse el botón "Generar".
• Copie su nuevo par de claves DKIM
• La clave pública se publicará en su DNS, sustituyendo su registro anterior
• La clave privada debe ser compartida con su ESP (si está subcontratando sus correos electrónicos) o cargada en su servidor de correo electrónico (si maneja la transferencia de correo electrónico en sus instalaciones)

2. Delegación de la clave DKIM del subdominio

Los propietarios de dominios pueden externalizar la rotación de claves DKIM permitiendo que un tercero se encargue de ello por ellos. Esto es cuando el propietario del dominio delega un subdominio dedicado a un proveedor de correo electrónico y le pide que genere un par de claves DKIM en su nombre. Esto permite a los propietarios evadir la molestia de la rotación de la clave DKIM externalizando la responsabilidad a un tercero.

Sin embargo, esto puede causar problemas de anulación de políticas con las entradas DMARC. Se recomienda que los controladores de dominio supervisen y revisen las claves rotadas para garantizar una implementación fluida y sin errores.

3. Delegación de clave DKIM CNAME

CNAME significa nombre canónico, y son registros DNS que se utilizan para apuntar a los datos de un dominio externo. La delegación CNAME permite a los propietarios de dominios apuntar a la información del registro DKIM que mantiene cualquier tercero externo. Esto es similar a la delegación de subdominios, ya que el propietario del dominio sólo tiene que publicar algunos registros CNAME en sus DNS, mientras que la infraestructura DKIM y la rotación de claves DKIM son gestionadas por el tercero al que apunta el registro.

Por ejemplo,
«domain.com» es el dominio desde el que se firmarán los correos electrónicos originales, y «third-party.com» es el proveedor que se encargará del proceso de firma.

s1._dominio.dominio.com CNAME s1.dominio.com.terceros.com

El registro CNAME mencionado anteriormente debe publicarse en el DNS del propietario del dominio.
Ahora, s1.domain.com.third-party.com ya tiene un registro DKIM publicado en su DNS, que puede ser: s1.domain.com.third-party.com TXT «v=DKIM1; p=MIG89hdg599…».

Esta información se utilizará para firmar los correos electrónicos procedentes de domain.com.

Nota: Debe publicar varios registros DKIM (se recomienda al menos 3 registros CNAME) con diferentes selectores en su DNS para habilitar la rotación de claves DKIM. Esto permitirá a su proveedor cambiar entre claves durante la firma y le proporcionará opciones alternativas.

4. Rotación automática de la clave DKIM

La mayoría de los proveedores de correo electrónico y los proveedores de servicios de correo electrónico de terceros permiten la rotación automática de la clave DKIM para los clientes. Por ejemplo, si utiliza Office 365 para enrutar sus correos electrónicos, le alegrará saber que Microsoft admite la rotación automática de claves DKIM para sus usuarios de Office 365.

Hemos cubierto un documento completo sobre cómo habilitar la rotación de claves DKIM para sus correos electrónicos de Office 365 en nuestra base de conocimientos.

Mejores prácticas para la rotación de claves DKIM

Aquí tienes una lista rápida que puedes seguir:

• Utilice claves de 2048 bits como mínimo.
• Rotar cada 6-12 meses.
• Utilizar varios selectores
• Mantener un registro de rotación
• Pruebe las nuevas llaves antes de retirar las antiguas.
• Permitir un período de gracia durante la transición.
• Coordinar con todos los ESP y proveedores.
• Supervisar los informes DMARC tras la rotación.

Errores comunes y cómo evitarlos

Incluso los equipos con experiencia cometen errores. Estos son algunos problemas comunes relacionados con la rotación:

1. Quitar las llaves antiguas demasiado pronto.

Siempre hay que esperar a que se complete la propagación del DNS y el flujo de correo antes de borrar nada. Aquí, configurar los informes DMARC puede ser útil. Solo tienes que generar un registro DMARC y definir una etiqueta «rua» con tu dirección de correo electrónico para recibir informes diarios sobre tu estado de autenticación y los resultados.

2. Saltarse la verificación

Comprueba siempre los resultados de la autenticación después de habilitar un nuevo selector. Puedes hacerlo manualmente o, preferiblemente, con la ayuda de una herramienta de verificación DKIM para obtener claridad e información instantáneas.

3. No utilizar selectores múltiples.

Las configuraciones con un solo selector crean riesgo de tiempo de inactividad. Asegúrese de definir selectores separados para registros DKIM separados configurados en su dominio, de modo que los servidores receptores puedan localizar sus claves fácilmente.

4. Delegación mal configurada

Los registros CNAME o subdominio incorrectos pueden romper la alineación DKIM, así que asegúrate de verificar tu configuración cada vez que realices cambios.

5. Ignorar el tamaño de la clave

Las claves obsoletas de 1024 bits debilitan la postura de seguridad. Los expertos recomiendan configurar claves DKIM de al menos 2048 bits para mejorar la protección y cumplir con los estándares de seguridad modernos.

Implementación de una estrategia de rotación de claves DKIM

Lo llamamos las 3 D de la rotación de claves DKIM:

Paso 1. Debatir: Acordar con las partes interesadas y los proveedores la frecuencia de rotación, el tamaño de la clave (se recomienda 2048 bits) y el método de delegación.

Paso 2. Decida: ahora elija su modelo de rotación: manual, delegación CNAME, delegación de subdominio o totalmente automatizado.

Paso 3. Implementación: Por último, implemente de forma segura generando un nuevo selector, supervise su autenticación y elimine las claves antiguas solo después de la validación.

Ejemplo de calendario de rotación

Enero: Añadir nuevo selector y clave
Febrero: Cambiar la firma al nuevo selector
A mediados de febrero: Eliminar la clave antigua
Repetir cada 6-12 meses

Resumen

La rotación de claves DKIM es un componente crítico, pero a menudo pasado por alto, de la seguridad del correo electrónico. Dejar las claves sin cambiar durante años aumenta el riesgo de exposición y debilita su marco de autenticación. En resumen, rotar las claves cada 6-12 meses, utilizar un cifrado de 2048 bits, mantener múltiples selectores y supervisar los resultados de la autenticación constituyen la base de una estrategia de rotación sólida.

Para facilitar la rotación y autenticación de su clave DKIM, ¡PowerDMARC puede ayudarle! Nuestro equipo de expertos ha ayudado a más de 10 000 organizaciones a automatizar la configuración y gestión de protocolos, sin conjeturas ni tiempos de inactividad. ¡Póngase en contacto con nosotros hoy mismo para obtener más información o empezar!

Preguntas frecuentes

1. ¿La rotación de claves DKIM requiere tiempo de inactividad?

No. La rotación de claves DKIM no debería causar tiempo de inactividad si se implementa correctamente. Al introducir un nuevo selector y mantener la clave antigua activa durante un período de gracia, los correos electrónicos continúan autenticándose normalmente durante la transición.

2. ¿Debo rotar las claves DKIM para todas las fuentes de envío al mismo tiempo?

No necesariamente. Si utiliza varios proveedores de servicios de correo electrónico o servidores de correo internos, cada fuente puede tener su propia configuración DKIM. La rotación debe coordinarse por fuente de envío para evitar desajustes en la autenticación.

3. ¿Cuánto tiempo debo conservar la clave DKIM antigua después de la rotación?

Por lo general, se recomienda mantener la clave antigua publicada durante al menos 1 o 2 semanas después de cambiar a un nuevo selector. Esto tiene en cuenta los retrasos en la propagación del DNS y los correos electrónicos en cola que aún pueden hacer referencia a la firma anterior.

4. ¿Las claves DKIM pueden caducar automáticamente?

Las claves DKIM no caducan técnicamente a menos que las configures para que lo hagan. Los registros DNS permanecen activos hasta que se eliminan o sustituyen manualmente.

5. ¿Es necesaria la rotación de claves DKIM para cumplir con DMARC?

DMARC no exige explícitamente la rotación de claves DKIM. Sin embargo, la rotación periódica refuerza la autenticación general del correo electrónico y reduce el riesgo de fallos de alineación DKIM causados por claves comprometidas u obsoletas.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• El formato del número de serie de SOA no es válido: causas y cómo solucionarlo - 13 de abril de 2026
• Cómo enviar correos electrónicos seguros en Gmail: guía paso a paso - 7 de abril de 2026
• Cómo enviar correos electrónicos seguros en Outlook: guía paso a paso - 2 de abril de 2026