Seguridad del correo electrónico en Japón: Informe sobre la adopción de DMARC y MTA-STS en 2025

Solo en la primera mitad de 2025, la Agencia Nacional de Policía de Japón informó de la asombrosa cifra de 1,2 millones de casos de phishing, lo que sitúa al país en camino de batir todos los récords anteriores. Este asedio digital ha tenido un coste devastador: en 2024, las pérdidas financieras por fraude y estafas cibernéticas alcanzaron una cifra estimada de 3,22 billones de yenes (22 000 millones de dólares estadounidenses), y casi uno de cada tres ciudadanos fue víctima de ellos. Esta escalada no ha pasado desapercibida para las autoridades.

En respuesta a esta crisis, el Ministerio de Economía, Comercio e Industria (METI) anunció la implementación de un riguroso sistema de calificación de la ciberseguridad corporativa para el año fiscal 2025. Esta medida supone un cambio fundamental: la ciberseguridad en Japón ya no es solo una casilla más en la lista de comprobaciones de TI, sino que se ha convertido en una prioridad económica nacional.

Este informe ofrece un análisis técnico de la la postura de seguridad del correo electrónico y los dominios en los sectores clave de Japón. Examina la paradoja del alto nivel de cumplimiento normativo, pero bajo nivel de aplicación, y pone de manifiesto las deficiencias estructurales que hacen que las organizaciones sean vulnerables a las violaciones de seguridad que ahora aparecen en los titulares.

Solicitud de informe: Adopción de DMARC en Japón

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Instantánea: Japón en cifras

La siguiente tabla agrega datos de 422 dominios japoneses importantes, lo que pone de relieve la disparidad entre la adopción del protocolo y la protección activa.

SPF

DMARC

Japón DMARC

MTA-STS

DNSSEC

Logotipo BIMI

Métrica de seguridadPorcentajeInterpretación
SPF Correcto95.0%Excelente adopción fundamental.
Adopción de DMARC74.6%Alta concienciación, pero a menudo mal configurada.
Aplicación de DMARC (Rechazar)9.2%Brecha crítica: Solo ~1 de cada 10 dominios bloquea a los impostores.
Solo supervisión DMARC (Ninguna)55.0%La mayoría de los dominios son visibles pero vulnerables.
Validez del MTA-STS0.5%Ausencia casi total de cifrado en la capa de transporte.
DNSSEC habilitado16.4%Alta vulnerabilidad al secuestro de DNS.

Prueba de 15 días

Radar sectorial: ¿Quién está en riesgo y por qué?

Las cifras agregadas ocultan vulnerabilidades específicas dentro de industrias japonesas críticas. A continuación se presenta un desglose detallado del panorama de amenazas por sector.

1. Banca: objetivos de alto valor, blindaje parcial.

El sector financiero está en primera línea de frente contra el fraude, pero solo uno de cada tres dominios bancarios bloquea activamente los correos electrónicos falsificados.

Los datos

Métrica Valor
SPF Correcto 93.9%
El registro DMARC existe 97.0%
DMARC p=rechazar (Protegido) 33.3%
DMARC p=none (Vulnerable) 39.4%
MTA-STS válido 1.5%
Adopción de SPF en el sector bancario

El análisis de riesgos

El sector bancario japonés está mejor protegido que la mayoría, pero sigue existiendo una importante brecha de vulnerabilidad. Casi dos de cada tres (66,7 %) dominios bancarios no están en p=reject. Esto permite a los atacantes sofisticados eludir los filtros y enviar correos electrónicos falsos de «transferencia urgente» o «alerta de seguridad» directamente a las bandejas de entrada de clientes de alto patrimonio y del personal interno.

Además, con solo 1,5 % utilizando MTA-STS, la gran mayoría de la correspondencia financiera, incluidas las confirmaciones de transacciones y los datos confidenciales de los clientes, se transmite sin cifrado obligatorio, lo que la hace susceptible a ataques de tipo «Man-in-the-Middle» (MitM) y a exploits de downgrade.

La solución PowerDMARC

  • Aplicación por etapas:
    Transición guiada de     p=none a p=rechazar utilizando modelos de amenazas basados en inteligencia artificial para garantizar que nunca se bloqueen los correos electrónicos de transacciones legítimas.
  • MTA-STS alojado:
    Rápida implementación del cifrado de transporte para cumplir con las normas de cumplimiento financiero globales sin sobrecargar a los equipos internos de TI.

2. Educación: un punto caliente para la recolección de credenciales

Las universidades son objetivos principales del espionaje científico y el robo de identidad, pero apenas se toman medidas al respecto.

Los datos

Métrica Valor
SPF Correcto 96.0%
Sin registro DMARC 32.0%
DMARC p=none 57.3%
DMARC p=rechazar 6.7%
MTA-STS válido 0.0%

El análisis de riesgos

El sector educativo está peligrosamente expuesto. Uno de cada tres dominios carece por completo de un registro DMARC y más de la mitad se encuentra en modo de supervisión. Esto abre la puerta a campañas de phishing disfrazadas de «restablecimiento de contraseñas informáticas», «solicitudes de subvenciones» o «resultados de exámenes».

El impacto es grave: una sola cuenta comprometida de un estudiante o profesor puede provocar la filtración a gran escala de datos de investigaciones privadas o el secuestro de los recursos informáticos de la universidad para la minería de criptomonedas. El 0,0 % de adopción de MTA-STS significa que la propiedad intelectual compartida a través del correo electrónico a menudo atraviesa la web en texto claro.

La solución PowerDMARC

  • Gestión multitenant:
    Visibilidad centralizada de los distintos facultades, departamentos y sistemas de correo de antiguos alumnos.
  • Política como servicio:
    Un modelo simplificado que permite a las instituciones alcanzar un nivel de seguridad empresarial sin necesidad de contar con un centro de operaciones de seguridad (SOC) dedicado.

3. Gobierno: servicios digitales con bordes suaves

Las agencias están digitalizando los servicios al ciudadano más rápido de lo que están protegiendo los canales de comunicación que los prestan.

Los datos

Métrica Valor
SPF Correcto 95.8%
Sin registro DMARC 26.3%
DMARC p=none 61.1%
DMARC p=rechazar 4.2%
MTA-STS válido 0.0%

El análisis de riesgos

Mientras Japón impulsa la «Sociedad 5.0» y una mayor digitalización de servicios gubernamentales, la infraestructura de seguridad del correo electrónico se queda atrás. Con más del 60 % de los dominios en p=none y un 26 % sin DMARC, los ciudadanos son muy vulnerables a los correos electrónicos falsos relacionados con el pago de impuestos, notificaciones de pensiones o ayuda en caso de catástrofes.

La ausencia total (0,0 %) de MTA-STS expone las comunicaciones oficiales del gobierno a la interceptación. Esto erosiona la confianza pública en los portales de administración electrónica, ya que los ciudadanos no pueden verificar si un correo electrónico realmente proviene de una agencia gubernamental o si su contenido fue alterado durante el tránsito.

La solución PowerDMARC

  • Manuales de implementación nacional:
    Estrategias diseñadas para trasladar carteras de dominios grandes y complejas a la aplicación de la normativa, de conformidad con las bases de referencia nacionales en materia de ciberseguridad.
  • DNSSEC y MTA-STS:
    Marcos de implementación optimizados diseñados para adaptarse a los procesos de adquisición y control de cambios del sector público.
Agendar demo

4. Asistencia sanitaria: comunicaciones de vida o muerte

En el sector sanitario, un correo electrónico falsificado puede afectar no solo a las finanzas, sino también a la seguridad y la privacidad de los pacientes.

Los datos

Métrica Valor
SPF Correcto 95.2%
Sin registro DMARC 42.8%
DMARC p=none 52.4%
DMARC p=rechazar 0.0%
DNSSEC habilitado 4.8%
Adopción de DNSSEC en el sector sanitario

El análisis de riesgos

Este es quizás el conjunto de datos más alarmante. El cero por ciento de los dominios de atención médica aplican p=reject. Esto significa que todos y cada uno de los dominios de atención médica analizados son técnicamente susceptibles de suplantación de dominio directa.

Los atacantes pueden hacerse pasar por administradores de hospitales o proveedores de seguros para enviar «notificaciones de resultados de pruebas» o «recordatorios de pago» falsos, engañando a los pacientes para que revelen datos médicos y financieros confidenciales. La falta de aplicación del cifrado (MTA-STS) pone aún más en peligro el cumplimiento de las normativas de privacidad de los pacientes.

La solución PowerDMARC

  • Aumento gradual consciente del riesgo:
    Una transición cuidadosa hacia la aplicación que prioriza la entrega de correos electrónicos clínicos críticos (informes de laboratorio, recordatorios de citas) mientras bloquea las amenazas.
  • Cifrado sin fisuras:
    MTA-STS alojado para cifrar los flujos de correo electrónico sin necesidad de realizar reconfiguraciones complejas de los servidores de correo heredados del hospital.

5. Medios de comunicación: desinformación y exposición de fuentes

Los medios de comunicación japoneses defienden la democracia y la percepción pública, pero los atacantes siguen pudiendo falsificar fácilmente sus cabeceras.

Los datos

Métrica Valor
SPF Correcto 89.7%
Sin registro DMARC 24.1%
DMARC p=none (Vulnerable) 69.0%
DMARC p=rechazar (Protegido) 5.2%
MTA-STS válido 0.0%
Adopción del SPF por parte de los medios de comunicación

El análisis de riesgos

El sector de los medios de comunicación tiene la menor precisión de SPF (89,7 %) de todas las industrias analizadas, lo que indica dificultades para gestionar infraestructuras de remitentes complejas (boletines informativos, marketing, herramientas de terceros).

Más críticamente, casi el 70 % de los dominios se sitúan en p=none. Esto permite a los actores maliciosos suplantar a medios de comunicación de confianza para difundir «noticias falsas», hacer circular desinformación durante las elecciones o enviar avisos falsos de renovación de suscripciones para recopilar datos de tarjetas de crédito.

Con una adopción del MTA-STS del 0,0 %, las comunicaciones entre periodistas y fuentes confidenciales no están cifradas, lo que supone un grave riesgo para la protección de las fuentes y la libertad de prensa.

La solución PowerDMARC

  • Protección de periodistas:
    Rápida escalada a     p=cuarentena y p=rechazo para garantizar que nadie pueda hacerse pasar por reportero o editor.
  • Visibilidad de la TI en la sombra:
    Identificación de servicios de correo no autorizados de terceros que suelen utilizar los departamentos de marketing o regionales.

6. Telecomunicaciones: guardianes con puertas abiertas

Las empresas de telecomunicaciones garantizan la conectividad nacional, pero dejan la puerta principal abierta en su propia infraestructura de correo electrónico.

Los datos

Métrica Valor
SPF Correcto 95.5%
Sin registro DMARC 17.9%
DMARC p=none (Vulnerable) 49.3%
DMARC p=rechazar (Protegido) 9.0%
DNSSEC habilitado 9.0%
Logotipo BIMI

El análisis de riesgos

Los proveedores de telecomunicaciones son objetivos de gran valor para los ataques de «intercambio de SIM» y la apropiación de cuentas. Con casi la mitad (49,3 %) de los dominios en p=none y casi el 20 % sin DMARC, los atacantes pueden falsificar fácilmente correos electrónicos de «actualizaciones de facturación», «advertencias de límite de datos» o «actualización de SIM» para engañar a los clientes y que les faciliten sus credenciales.

La baja adopción de DNSSEC (9,0 %) resulta irónica para los proveedores de conectividad, ya que deja su propia infraestructura vulnerable al spoofing de DNS, que puede redirigir el tráfico de los clientes.

La solución PowerDMARC

  • Gestión de políticas de gran volumen:
    Estrategias de aplicación especializadas que gestionan millones de notificaciones a clientes sin generar falsos positivos.
  • Controles centrados en el DNS:
    Fortalecimiento de la capa DNS para proteger tanto los portales orientados al cliente como los dominios operativos internos.
Prueba de 15 días

7. Transporte: billetes, carga y confianza en movimiento

Desde las aerolíneas hasta la logística, las organizaciones de transporte funcionan con el correo electrónico, y muchas de ellas siguen confiando en mensajes no autenticados.

Los datos

Métrica Valor
SPF Correcto 98.4%
Sin registro DMARC 39.7%
DMARC p=none (Vulnerable) 55.6%
DMARC p=rechazar (Protegido) 0.0%
MTA-STS válido 0.0%

El análisis de riesgos

El sector del transporte tiene el mayor índice de corrección SPF (98,4 %), pero la aplicación más débil. El 0 % de los dominios de transporte aplican p=reject.

Esta brecha invita a los atacantes a enviar correos electrónicos falsos con asuntos como «Cancelación de vuelo», «Factura de aduana» o «Cambio de fecha de entrega». En logística, esto puede provocar el robo de mercancías o el desvío de la cadena de suministro. En el caso de los viajes de los consumidores, abre la puerta a la recopilación masiva de credenciales y al fraude con tarjetas de crédito.

Al igual que en otros sectores, una puntuación MTA-STS del 0,0 % significa que los manifiestos de carga sensible, los itinerarios de los pasajeros y los datos de los pasaportes suelen transmitirse sin un cifrado verificado.

La solución PowerDMARC

  • Integridad de la cadena de suministro:
    Rápida implementación de     políticas DMARC adaptadas a los motores de reservas, los sistemas de distribución global (GDS) y las integraciones de socios logísticos.
  • Protección B2B y B2C:
    Protección simultánea para notificaciones de gran volumen a consumidores (billetes/tarjetas de embarque) y comunicaciones confidenciales de carga B2B.

Bajo el capó: cuatro debilidades estructurales

Más allá de los riesgos específicos del sector, cuatro debilidades sistémicas afectan al ecosistema del correo electrónico japonés.

1. La «trampa del confort» de p=none

El 55,0 % de los dominios japoneses tienen DMARC, pero carecen de aplicación. Este modo de «solo supervisión» ofrece visibilidad, pero ninguna protección. Se trata de una falsa sensación de seguridad que permite a los atacantes seguir suplantando marcas de confianza, mientras que la organización se limita a observar lo que ocurre en los registros.

«Una política de p=none es como instalar una cámara de seguridad pero dejar la puerta principal abierta. Puedes ver cómo entran los ladrones, pero no puedes hacer nada para detenerlos. La alta tasa de adopción en Japón es prometedora, pero sin cambiar a p=reject, el trabajo solo estará medio hecho».

Maitham Al Lawati, director ejecutivo de PowerDMARC

«Esto lo vemos constantemente en las grandes empresas: añaden una nueva herramienta de marketing y, de repente, sus correos electrónicos de facturación empiezan a rebotar. El límite de 10 consultas es un techo infranqueable en el DNS. Sin tecnología «SPF Flattening» » para comprimir estos registros, el crecimiento de su pila digital rompe inevitablemente la capacidad de entrega de su correo electrónico».

Yunes Tarada, Gerente de Prestación de Servicios, PowerDMARC

2. Complejidad del SPF a gran escala

Mientras que el 95,0 % de los dominios tienen un SPF, el 5,0 % restante presenta errores críticos de configuración. En organizaciones complejas, esto suele deberse a que se alcanza el «límite de 10 búsquedas» para las consultas DNS, lo que provoca que los correos electrónicos legítimos de proveedores externos (CRM, sistemas de RR. HH.) no superen la autenticación y desaparezcan.

3. MTA-STS: El punto ciego

Con solo un 0,5 % de validez en todos los ámbitos, Japón tiene un punto ciego casi total en lo que respecta a la seguridad del transporte. Sin MTA-STS, los atacantes pueden llevar a cabo «ataques de degradación», que obligan a los servidores de correo electrónico a eliminar el cifrado y transmitir los mensajes en texto plano, legible por cualquiera que supervise la red.

«El cifrado estándar del correo electrónico (STARTTLS) es oportunista: solicita el cifrado, pero no lo exige. MTA-STS es la única forma de forzar ese bloqueo. Dado que el 99,5 % de los dominios japoneses carecen de él, para un atacante es muy fácil eliminar el cifrado y leer las comunicaciones corporativas confidenciales en tránsito».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

«Las organizaciones invierten mucho en generar confianza en la marca, pero un solo secuestro de DNS puede destruirla en cuestión de segundos. DNSSEC actúa como guardián de su identidad digital, garantizando que cuando los clientes se pongan en contacto con usted, se conecten con el verdadero . Ya no es solo un protocolo informático, sino una capa fundamental de la gestión de la reputación de la marca».

Ahona Rudra, director de marketing, PowerDMARC

4. DNSSEC: la base débil

DNSSEC está habilitado solo en el 16,4 % de los dominios. Sin él, el sistema de directorios de Internet (DNS) queda desprotegido. Los atacantes más sofisticados pueden secuestrar el DNS , redirigiendo todo el flujo de correo electrónico de una empresa a un servidor fraudulento sin que el remitente o el destinatario se den cuenta.

Contáctenos

Benchmarking global: Japón en contexto

Para comprender realmente la «paradoja japonesa», debemos comparar sus datos de 2025 con los recientes hallazgos de PowerDMARC en Europa, África, Sudamérica y Oceanía.

Los datos revelan una realidad alarmante: Japón tiene el cumplimiento básico (SPF) más alto del mundo, pero ocupa un lugar peligrosamente bajo en cuanto a la aplicación real aplicación real (p=rechazo).

Mientras que países como Suecia y Noruega han logrado traducir la adopción en protección (bloqueando los ataques), Japón sigue estancado en el «modo de supervisión». Quizás lo más alarmante es que Perú, Nigeriae Italia aplican políticas de seguridad estrictas en proporciones significativamente más altas que Japón.

Clasificación mundial: datos de 2025

Datos extraídos de los informes regionales sobre adopción de PowerDMARC 2025.

PaísSPF Correcto (Identidad)Adopción de DMARC (visibilidad)Aplicación de DMARC (p=reject)MTA-STS (Cifrado)
Suecia 🇸🇪85.0%77.9%29.9%2.9%
Noruega 🇳🇴85.2%83.1%29.0%2.8%
Bélgica 🇧🇪90.1%79.1%24.7%<1.0%
Perú 🇵🇪86.1%66.0%17.9%0.6%
Italia 🇮🇹91.0%74.0%16.7%~1.0%
Nueva Zelanda 🇳🇿81.2%62.5%16.7%1.3%
Nigeria 🇳🇬70.3%45.9%14.2%0.0%
Japón 🇯🇵95.0%74.6%9.2%0.5%
Marruecos 🇲🇦71.3%36.5%7.5%0.0%
Túnez 🇹🇳76.4%30.1%4.8%0.0%

Perspectivas críticas: la situación actual de Japón

1. La norma nórdica (Suecia y Noruega)

  • El punto de referencia: Los países escandinavos establecen el estándar mundial en materia de «defensa activa». Con tasas de ejecución que rondan el 30 %, aproximadamente 1 de cada 3 dominios bloquea activamente los intentos de suplantación.
  • La brecha japonesa: Japón ha aumentado significativamente mayor adopción de SPF (95 % frente a ~85 %), pero tres veces menor . Esto confirma que los equipos de TI japoneses son excelentes en materia de cumplimiento (marcar la casilla), pero se muestran reacios a activar la protección.

2. Los rivales «sorprendentes» (Perú y Nigeria)

  • La realidad: Es una estadística aleccionadora que Perú (17,9 %) y Nigeria (14,2 %) tienen índices de aplicación de la ley sustancialmente más altos que Japón (9,2 %).
  • El contexto: Nigeria, que a menudo lucha contra su reputación de fraude por correo electrónico, ha tomado medidas agresivas para bloquear sus dominios corporativos. El enfoque conservador de Japón, que prioriza la precaución sobre el bloqueo, lo ha dejado más expuesto que estas economías digitales emergentes.

3. La lucha compartida (Túnez y Marruecos)

  • La comparación: La tasa de aplicación de la ley en Japón (9,2 %) se acerca peligrosamente a la de mercados en fase inicial como Marruecos (7,5 %) y Túnez (4,8 %).
  • La perspectiva: A pesar de contar con una infraestructura de «primer mundo» (alto SPF), Japón tiene, en la práctica, una postura de seguridad de «país en desarrollo» en lo que respecta a detener los ataques. La brecha entre tener las herramientas y usarlas es mayor en Japón que en cualquier otro país analizado.

El veredicto de PowerDMARC

«Japón es una anomalía mundial. En la mayoría de los países, la dificultad radica en conseguir que las empresas publiquen un registro DMARC. En Japón, los registros existen y hay un alto nivel de concienciación, pero el interruptor permanece en «apagado».

Cuando miramos Suecia o Bélgica, vemos el futuro: una alta adopción acompañada de una alta aplicación. Japón es actualmente un «tigre de papel»: parece formidable en una lista de verificación de cumplimiento (95 % de SPF), pero en la práctica ofrece poca resistencia a un atacante».

Equipo de inteligencia sobre amenazas de PowerDMARC

Conclusión: De las métricas a la acción

Los datos son claros: Japón ha sentado las bases (SPF), pero aún no ha construido las paredes (aplicación de DMARC) ni el techo (MTA-STS).

Las organizaciones japonesas no necesitan otra llamada de atención en forma de una violación de seguridad que acapare los titulares. Necesitan una vía controlada y guiada para la aplicación de la normativa. PowerDMARC transforma esta vulnerabilidad en resiliencia mediante:

Simplificando el cifrado con MTA-STS alojado y DNSSEC.

Automatizar el viaje desde p=none a p=rechazar.

Alineación con las normativas mediante manuales de cumplimiento específicos para cada sector.

Reservar una demostración Póngase en contacto con nosotros

Perspectiva de PowerDMARC

«Japón cuenta con la base técnica necesaria para convertirse en líder mundial en autenticación de correo electrónico. Ahora es urgente pasar de una visibilidad pasiva a una defensa activa, convirtiendo la excepcional adopción de SPF en una estricta aplicación de DMARC. Los sectores que actualmente se encuentran rezagados en materia de protección, como el transporte y la sanidad, tienen la oportunidad de mejorar rápidamente su postura, convirtiendo sus dominios de correo electrónico de objetivos vulnerables en canales de comunicación fiables».

Convierta la visibilidad en defensa hoy mismo

Las altas tasas de adopción en Japón demuestran que las organizaciones están preparadas para la seguridad, solo necesitan al socio adecuado para dar el paso. No dejes que tu dominio siga siendo un «tigre de papel». Pasa de la supervisión pasiva a la protección activa antes de que llegue la próxima oleada de ataques.

Póngase en contacto con PowerDMARC para comenzar su camino hacia la aplicación.

Prueba de 15 díasAgendar demo