Informe sobre la adopción de DMARC y MTA-STS en Australia para 2025

En 2024, la Dirección Australiana de Señales (ASD) respondió a más de 1200 incidentes cibernéticos de alta prioridad, lo que supone un aumento del 11 % que pone de manifiesto que el país se encuentra bajo asedio digital. A finales de 2025, el coste financiero de esta ofensiva se ha vuelto abrumador: el coste medio de una denuncia por ciberdelito para las grandes empresas australianas se ha disparado un 219 %, superando ahora los 200 000 dólares por incidente. Con una nueva denuncia por ciberdelito cada seis minutos, el Gobierno australiano ha pasado de las recomendaciones a la regulación.

La entrada en vigor de las Normas de Seguridad de Infraestructuras Críticas (SOCI) en abril de 2025 marca una línea definitiva en la arena. La ciberseguridad ya no es una «casilla de verificación de TI» voluntaria, sino un mandato legal en virtud de la Estrategia de Ciberseguridad de Australia 2023-2030. Sin embargo, a pesar de este impulso normativo, sigue existiendo una paradoja fundamental: aunque la mayoría de los dominios australianos han establecido registros de seguridad básicos, casi la mitad no los aplica realmente, lo que deja las «arterias digitales» de la economía del país, sus sistemas de correo electrónico, totalmente expuestos a la explotación.

Este informe ofrece un análisis técnico sector por sector de la situación de la seguridad del correo electrónico y los dominios en Australia, y pone de manifiesto las deficiencias estructurales en la aplicación de DMARC y el cifrado de tránsito que siguen alimentando una epidemia de estafas por valor de 2000 millones de dólares anuales.

Solicitud de informe: adopción de DMARC en Australia

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Postura nacional general: la brecha en la aplicación de la ley

Australia muestra una fuerte adopción «básica», ya que casi todos los dominios tienen algún tipo de registro SPF y DMARC. Sin embargo, el «resultado final» revela que la mayoría de las organizaciones se encuentran en un pasivo, supervisando las amenazas en lugar de bloquearlas.

SPF

Australia SPF

DMARC

Australia-DMARC

MTA-STS

Australia MTA-STS

DNSSEC

Australia DNSSEC

Métricas nacionales de adopción

Componente del protocoloTasaImplicaciones en materia de riesgo
Corrección SPF92.3%Bajo riesgo de que el correo legítimo sea marcado como spam.
Aplicación de DMARC (p=reject)46.7%CRÍTICO: El 53,3 % de los dominios no pueden detener la suplantación de identidad.
Adopción de MTA-STS5.8%Alto riesgo de interceptación «Man-in-the-Middle».
Adopción de DNSSEC6.8%Vulnerable al secuestro de DNS y al envenenamiento de caché.

Análisis: Aunque 9 de cada 10 dominios tienen DMARC, solo la mitad lo utilizan para bloquear realmente los correos electrónicos no autorizados. Esto crea una falsa sensación de seguridad, ya que los equipos de TI ven la «casilla de verificación» de DMARC, pero siguen siendo vulnerables a suplantaciones sofisticadas.

Prueba de 15 días

Vulnerabilidades y rendimiento específicos del sector

Aunque Australia cuenta con un alto nivel básico de autenticación del correo electrónico, un análisis más detallado de los distintos sectores revela una enorme «brecha en la aplicación». Los sectores que protegen los datos más sensibles del país, desde los historiales médicos hasta los documentos de identidad oficiales, suelen recurrir a la supervisión pasiva en lugar del bloqueo activo, lo que crea oportunidades para el phishing y la interceptación sofisticados.

1. Asistencia sanitaria: protección de la privacidad de los pacientes

La violación de Medibank en 2024 sigue siendo un claro recordatorio de cómo las comunicaciones falsificadas de los proveedores pueden provocar fugas de datos catastróficas. Mientras que la sanidad tiene una base SPF elevada, la falta de cifrado de tránsito y de seguridad DNS crea un importante punto ciego para los registros de los pacientes.

Métricas de seguridad sanitaria

Métrica Tasa de adopción Estado
Corrección SPF 93.3% Alta
Aplicación de DMARC (p=reject) 46.7% Moderado
Sin registro DMARC 6.7% Vulnerable
Adopción de MTA-STS 2.2% Insignificante
Adopción de DNSSEC 0% Inexistente
Salud SPF

La amenaza

Dado que el 97,8 % de los dominios sanitarios carecen de MTA-STS, los datos de los pacientes enviados por correo electrónico son susceptibles de sufrir ataques de tipo «Man-in-the-Middle» (MiTM). Los atacantes pueden interceptar o alterar los registros médicos durante su transmisión, lo que puede dar lugar a robos de identidad o facturación médica incorrecta.

La solución PowerDMARC

  • DMARC alojado:
    Permite a los hospitales pasar a p=reject sin poner en riesgo el envío de notificaciones automáticas críticas a los pacientes.
  • MTA-STS y TLS-RPT:
    Automatiza el cifrado de los correos electrónicos en tránsito, lo que garantiza el cumplimiento de la Ley de Privacidad y protege la información médica protegida (PHI) contra la interceptación.

2. Banca y finanzas: lucha contra pérdidas anuales por valor de 1000 millones de dólares.

El sector financiero lidera la adopción de DNSSEC para evitar el secuestro de sitios web, pero sigue teniendo dificultades con las políticas «pasivas» de DMARC. DMARC que no bloquean activamente los correos electrónicos fraudulentos.

Métricas bancarias y financieras

Métrica Tasa de adopción Estado
Corrección SPF 95.3% Alta
Aplicación de DMARC (p=reject) 51.6% Moderado
Sin registro DMARC 4.7% Vulnerable
Adopción de MTA-STS 3.1% Bajo
Adopción de DNSSEC 14.1% Líder (relativo)

La amenaza

Dado que casi la mitad del sector no aplica p=reject, los estafadores pueden enviar correos electrónicos que imitan perfectamente el dominio de un banco. Estas cuentas «mula» engañan a los clientes para que transfieran fondos a cuentas controladas por delincuentes.

La solución PowerDMARC

  • Aplanamiento SPF:
    Las instituciones financieras suelen utilizar múltiples proveedores externos (marketing, CRM). PowerDMARC evita los errores SPF «Demasiadas búsquedas DNS», lo que garantiza que los correos electrónicos siempre se autentiquen.
  • Inteligencia sobre amenazas de IA:
    Mapea las fuentes globales que envían correos electrónicos en nombre del banco, identificando y bloqueando direcciones IP no autorizadas en tiempo real.

3. Gobierno: el punto de referencia de alta aplicación

Las agencias están digitalizando los servicios al ciudadano más rápido de lo que están protegiendo los canales de comunicación que los prestan.

Métricas gubernamentales

Métrica Tasa de adopción Estado
Corrección SPF 97.7% Excelente
Aplicación de DMARC (p=reject) 70.5% Fuerte
Sin registro DMARC 1.5% Seguro
Adopción de MTA-STS 18.2% Moderado
Adopción de DNSSEC 6.1% Bajo

La amenaza

A pesar de la alta aplicación de DMARC, la brecha del 81,8 % en MTA-STS permite a los atacantes degradar el cifrado del correo electrónico a texto sin cifrar. Esto expone las comunicaciones confidenciales entre los ciudadanos y organismos como la ATO o Centrelink.

La solución PowerDMARC

  • MTA-STS alojado y DNSSEC:
    Simplifica la compleja implementación de estos protocolos en diversos departamentos gubernamentales, en consonancia con las     niveles de madurez de ASD Essential Eight .
  • Informes de cumplimiento:
    Proporciona informes automatizados para que los auditores puedan demostrar que los canales de correo electrónico están protegidos de acuerdo con las normas federales.
Agendar demo

4. Telecomunicaciones: alta exposición de los datos de los abonados

Las empresas de telecomunicaciones son las guardianas de la identidad, pero actualmente presentan las tasas más bajas de aplicación de DMARC entre los sectores críticos, lo que invita al intercambio de tarjetas SIM y al robo de credenciales.

Métricas de telecomunicaciones

Métrica Tasa de adopción Estado
Corrección SPF 84.3% Bajo
Aplicación de DMARC (p=reject) 24.1% Riesgo crítico
Sin registro DMARC 12.0% Alta exposición
Adopción de MTA-STS 1.2% Insignificante
Adopción de DNSSEC 10.8% Moderado

La amenaza

Una de cada ocho empresas de telecomunicaciones no tiene registro DMARC, lo que facilita a los piratas informáticos el envío de alertas de facturas falsas. Cuando un usuario hace clic en un enlace malicioso, se le roban sus credenciales, lo que a menudo conduce a intercambios de SIM que eluden la autenticación multifactorial (MFA) de las cuentas bancarias.

La solución PowerDMARC

  • Servicios DMARC gestionados:
    Proporciona una hoja de ruta por fases para llevar a las empresas de telecomunicaciones de     p=none a p=reject, bloqueando millones de correos electrónicos falsificados en el origen.
  • Informes forenses RUF de DMARC:
    Proporciona a las empresas de telecomunicaciones visibilidad sobre las campañas de phishing específicas dirigidas a sus suscriptores.

5. Transporte y logística: detener el fraude en las facturas

Con un gran volumen de facturación internacional, el sector del transporte es un objetivo prioritario para ataques de compromiso del correo electrónico empresarial (BEC), pero aún así se queda muy atrás en la autenticación de correo electrónico.

Métricas de transporte y logística

Métrica Tasa de adopción Estado
Corrección SPF 90.2% Alta
Aplicación de DMARC (p=reject) 22.0% Riesgo crítico
Sin registro DMARC 17.1% Alta exposición
Adopción de MTA-STS 1.2% Insignificante
Adopción de DNSSEC 4.9% Bajo

La amenaza

Un sorprendente 17,1 % de los dominios carecen de DMARC. Esto permite a los atacantes suplantar la identidad de gigantes de la logística (por ejemplo, Qantas Freight o Toll) e introducir facturas fraudulentas en la cadena de suministro, lo que da lugar a fraudes electrónicos por valor de millones de dólares.

La solución PowerDMARC

  • Gestión automatizada de SPF:
    Protege redes logísticas complejas que dependen de transportistas externos, garantizando que se entregue todo el correo legítimo y bloqueando a los falsificadores.
  • BIMI (Indicadores de marca para la identificación de mensajes):
    Añade el logotipo de la empresa a los correos electrónicos autenticados en la bandeja de entrada del destinatario, lo que aumenta la confianza de los clientes que pagan facturas.

6. Medios de comunicación: Defender la confianza en la era de la información

El sector de los medios de comunicación se enfrenta a una amenaza única: la utilización de sus dominios como arma para difundir desinformación. Aunque la adopción de DMARC es aceptable, la falta de cifrado supone un riesgo para la protección de las fuentes.

Métricas de medios

Métrica Tasa de adopción Estado
Corrección SPF 91.2% Alta
Aplicación de DMARC (p=reject) 63.2% Fuerte
Sin registro DMARC 5.9% Moderado
Adopción de MTA-STS 0% Inexistente
Adopción de DNSSEC 4.4% Bajo
Logotipo BIMI

La amenaza

La ausencia total de adopción de MTA-STS significa que las comunicaciones entre periodistas y fuentes son vulnerables a la interceptación patrocinada por el Estado. Además, los dominios sin aplicación pueden utilizarse para enviar comunicados de prensa falsos que provoquen volatilidad en el mercado bursátil o pánico social.

La solución PowerDMARC

  • MTA-STS alojado:
    Protege la «huella digital» del periodista garantizando que todas las comunicaciones estén encriptadas, lo que protege a las fuentes de miradas indiscretas.
  • Panel de control de nivel empresarial:
    Permite a los conglomerados mediáticos gestionar cientos de subdominios y redacciones internacionales desde un único panel de control.
Prueba de 15 días

7. Educación: Protección de la propiedad intelectual y la investigación

Las universidades australianas son líderes mundiales en investigación, lo que las convierte en puntos críticos para el robo de propiedad intelectual (PI) mediante sofisticadas técnicas de recolección de credenciales.

Métricas educativas

Métrica Tasa de adopción Estado
Corrección SPF 91.4% Alta
Aplicación de DMARC (p=reject) 38.3% Moderado
Sin registro DMARC 8.6% Moderado
Adopción de MTA-STS 3.7% Bajo
Adopción de DNSSEC 6.2% Bajo

La amenaza

El bajo nivel de aplicación (38,3 %) permite a los atacantes falsificar correos electrónicos de «restablecimiento de contraseña de TI». Cuando los investigadores o estudiantes inician sesión en estos portales falsos, sus credenciales se utilizan para acceder a las bases de datos internas de la universidad y robar secretos comerciales o datos de investigación.

La solución PowerDMARC

  • Detección de dominios:
    Encuentra automáticamente todos los dominios «informáticos ocultos» registrados por estudiantes o profesores que puedan carecer de controles de seguridad.
  • Servicios gestionados:
    Alivia la carga técnica del mantenimiento de DMARC de los departamentos de TI de las universidades, que suelen estar sobrecargados.

Bajo el capó: cuatro debilidades estructurales

Más allá de los riesgos específicos del sector, el ecosistema de correo electrónico australiano se ve obstaculizado por cuatro vulnerabilidades sistémicas que facilitan el 2000 millones de dólares anuales en estafas.

1. La «trampa del cumplimiento» de p=none

Si bien el 92,3 % de los dominios australianos cuentan con DMARC, solo el 46,7 % aplica una política estricta. Esto deja un enorme vacío de «solo supervisión» en el que las organizaciones pueden ver las amenazas, pero no pueden detenerlas.

«Una política de p=none es como instalar una cámara de seguridad pero dejar la puerta principal sin cerrar. Puedes ver cómo entran los ladrones, pero no puedes hacer nada para detenerlos. La tasa de adopción en Australia es alta, pero el trabajo solo estará a medio hacer hasta que la política cambie a rechazar».

Maitham Al Lawati, director ejecutivo de PowerDMARC

«Las grandes empresas australianas suelen romper su propia seguridad a medida que crecen. Añadir una nueva herramienta de marketing puede hacer que se supere el límite de 10 consultas, lo que hace que facturas importantes acaben en la carpeta de correo no deseado. El aplanamiento SPF ya no es un lujo, sino un requisito para la estabilidad operativa».

Yunes Tarada, Gerente de Prestación de Servicios, PowerDMARC

2. Complejidad del SPF y el límite de 10 búsquedas

El 92,3 % de los dominios australianos muestran un SPF correcto, pero las grandes empresas suelen alcanzar el «límite de búsqueda de DNS» debido a la proliferación de pilas tecnológicas de terceros (CRM, pasarelas de pago). Esto provoca fallos aleatorios en la autenticación que afectan a la capacidad de entrega.

3. MTA-STS: el punto ciego del cifrado

Con solo un 5,8 % de adopción a nivel nacional, Australia tiene un punto ciego casi total en lo que respecta a la seguridad del transporte. Esto permite los «ataques de degradación», en los que los delincuentes obligan a los servidores a eliminar el cifrado y transmitir correos electrónicos confidenciales en texto plano.

«El cifrado oportunista (STARTTLS) no es suficiente. Sin MTA-STS, es muy fácil para un atacante eliminar la seguridad y leer las comunicaciones corporativas en tránsito. Este es un riesgo principal para cualquier entidad sujeta a las regulaciones SOCI».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

«El secuestro de DNS puede destruir en cuestión de minutos la confianza que se ha ganado una marca a lo largo de décadas. DNSSEC es el guardián de la identidad digital, ya que garantiza que sus clientes se conecten con la entidad real, y no con un clon delictivo. Es una capa fundamental de la gestión de la reputación de la marca».

Ahona Rudra, director de marketing, PowerDMARC

4. DNSSEC: la base débil

La adopción de DNSSEC se sitúa en un escaso 6,8 %. Sin ella, el sistema de directorios de Internet queda desprotegido, lo que permite a los atacantes secuestrar flujos de dominios completos y redirigirlos a servidores maliciosos.

Contáctenos

Benchmarking global: Australia en contexto

Aunque Australia muestra un alto nivel de cumplimiento normativo, sus índices de aplicación de la ley muestran una realidad diferente en comparación con otros países similares a nivel mundial. Australia se clasifica como un «líder pasivo», con una alta visibilidad, pero rezagado en materia de defensa activa.

Clasificación mundial: datos de 2025

PaísSPF CorrectoAdopción de DMARCAplicación de DMARC (p=reject)MTA-STS (Cifrado)
Australia 🇦🇺92.3%92.3%46.7%5.8%
Suecia 🇸🇪85.0%77.9%29.9%2.9%
Japón 🇯🇵95.0%74.6%9.2%0.5%
Noruega 🇳🇴85.2%83.1%29.0%2.8%
Perú 🇵🇪86.1%66.0%17.9%0.6%
Nigeria 🇳🇬70.3%45.9%14.2%0.0%

Perspectivas críticas desde Australia

1. La ventaja australiana

Australia tiene unas tasas de adopción y aplicación de DMARC significativamente más altas que Japón y muchos países europeos, probablemente debido al impulso agresivo de las ASD Essential Eight.

2. La paradoja de la visibilidad

A pesar de tener una adopción de DMARC del 92,3 %, el 53 % de los dominios no en p=reject siguen estando totalmente expuestos a la suplantación de identidad.

3. La crisis del cifrado

Aunque Australia supera a Japón en MTA-STS, una tasa del 5,8 % sigue siendo una «puerta abierta» a la interceptación, lo que supone un retraso significativo con respecto a los requisitos de seguridad de las economías digitales modernas.

Perspectiva de PowerDMARC

«Australia ha construido una base técnica que supera a gran parte del mundo, pero la «brecha de cumplimiento» sigue siendo una vulnerabilidad que cuesta miles de millones de dólares. La necesidad urgente para 2026 es pasar de la visibilidad pasiva a la defensa activa. Al convertir la alta adopción de DMARC en una aplicación estricta de «p=reject» y cerrar la brecha de cifrado MTA-STS, las organizaciones australianas pueden transformar sus dominios de correo electrónico de objetivos vulnerables en canales de comunicación reforzados y fiables que se ajusten a la estrategia nacional de ciberseguridad».

Conclusión: De las métricas a la acción

Los datos de 2025 confirman que Australia ha construido los cimientos (SPF), pero aún no ha terminado las paredes (aplicación de DMARC) ni el techo (MTA-STS). Para pasar de ser un «líder pasivo» a un «defensor activo», las organizaciones deben:

Automatiza el proceso: Utilice DMARC alojado para pasar de p=none a p=reject sin interrumpir los flujos de trabajo empresariales.

Sellar la brecha de interceptación: Implemente MTA-STS alojado para garantizar que todas las comunicaciones con los ciudadanos y socios estén cifradas.

Aplanar SPF: Evita errores de búsqueda de DNS para garantizar una entregabilidad del correo electrónico del 100 %. Los servicios SPF alojados pueden ayudar a garantizar una configuración correcta de SPF.

Reservar una demostración Póngase en contacto con nosotros

Convierta la visibilidad en defensa hoy mismo

Las altas tasas de adopción en Australia demuestran que las organizaciones reconocen la amenaza; solo necesitan al socio adecuado para dar el paso. No permita que su dominio siga siendo un «tigre de papel» que observa los ataques sin detenerlos. Pase de la supervisión pasiva a la protección activa antes de que se produzca la próxima brecha importante.

Contáctenos en PowerDMARC para comenzar su camino hacia la aplicación.

Prueba de 15 díasAgendar demo