DMARC para agencias gubernamentales y del sector público

Como ciudadanos, cuando recibimos un correo electrónico del gobierno del Estado, nuestro primer instinto es ponernos en acción. Desde avisos sobre catástrofes e impuestos hasta confirmaciones de citas médicas, son sólo algunos ejemplos de notificaciones gubernamentales que captan nuestra atención. Ahora imagine una campaña de phishing que suplante esos mensajes. Puede provocar el pánico y el caos en todo el país. Esto es exactamente lo que DMARC (Autenticación, Informes y Conformidad de Mensajes Basados en el Dominio) por sus siglas en ingles está diseñado para evitarlo.

Esta guía explica a los organismos del sector público por qué es importante la seguridad del correo electrónico y los riesgos potenciales de una adopción deficiente de DMARC por parte de los organismos públicos. 

Por qué la seguridad del correo electrónico es fundamental para el sector público

A diferencia de las empresas privadas, los gobiernos:

• Poseer "dominios de confianza universales". Los ciudadanos pueden optar por ignorar un correo electrónico de comercio electrónico de aspecto sospechoso, pero no suelen ignorar un mensaje de un dominio gubernamental.
• Operar a gran escala. Una falsa alerta sanitaria o fiscal puede afectar a millones de personas en un solo día.
• Tener peso geopolítico. Los atacantes pueden utilizar mensajes gubernamentales falsos para difundir desinformación o incluso simular falsas instrucciones de crisis.
• Impacto en servicios críticos. En sanidad, fiscalidad, defensa, inmigración o respuesta a catástrofes, un solo correo electrónico malicioso podría perturbar la estabilidad nacional.

Las direcciones de correo electrónico gubernamentales tienen peso. Los ciudadanos, las empresas y otros organismos públicos consideran fidedignos los mensajes procedentes de dominios .gov, .gov.uk, .eu o similares. Esto las convierte en objetivos muy valiosos para los atacantes que se hacen pasar por remitentes oficiales:

• Robar datos sensibles de los ciudadanos 
• Engañar a los empleados para que transfieran fondos o revelen sus credenciales.
• Difundir información errónea que perjudique la seguridad pública o provoque la pérdida de confianza.

Un solo mensaje falsificado con éxito puede desencadenar una reacción en cadena, como confusión durante emergencias, robo de identidad, fraude y daños a la reputación. DMARC, utilizado con SPF y DKIM permite a los destinatarios verificar si un correo electrónico que afirma proceder de una dirección oficial procede realmente de un remitente autorizado e indica a los servidores de correo receptores cómo tratar los mensajes que no superan las comprobaciones. Esto reduce el impacto de los ataques de suplantación de identidad.

Riesgos de una deficiente adopción de DMARC en la administración pública

Cuando las instituciones gubernamentales carecen de una política DMARC o configuran mal DMARC, las consecuencias pueden ser las siguientes:

• Phishing y fraude: Los atacantes pueden convencer a los destinatarios de que un correo electrónico malicioso es legítimo, lo que aumenta el número de clics y el robo de credenciales.
• Perturbaciones operativas: Los correos electrónicos fraudulentos pueden desencadenar la intervención de los servicios de emergencia, la interrupción del pago de impuestos o prestaciones y un gran volumen de solicitudes al servicio de asistencia.
• Pérdida de confianza entre los ciudadanos: El spoofing repetido hace que los ciudadanos empiecen a perder poco a poco la confianza en las comunicaciones oficiales, lo que tiene un efecto costoso a largo plazo.
• Impacto normativo: Muchos dominios del sector público están ahora obligados por el Estado a adoptar políticas de correo electrónico seguro. Si no se aplica DMARC puede suponer un incumplimiento.
• Desinformación armada: Los atacantes falsifican alertas gubernamentales durante catástrofes naturales, pandemias o elecciones, creando un caos que se propaga rápidamente.
• Consecuencias económicas: Las exigencias fiscales falsas o las facturas gubernamentales fraudulentas pueden causar daños financieros en todos los sectores.
• Riesgos internacionales: Muchas agencias gubernamentales interactúan internacionalmente. Un dominio gubernamental de aspecto comprometido puede erosionar la confianza en las relaciones exteriores o el comercio mundial.

Requisitos y recomendaciones gubernamentales sobre DMARC

Diferentes países han emitido diferentes mandatos u orientaciones firmes para la autenticación del correo electrónico en el sector público. A continuación figuran algunos ejemplos notables: 

• Estados Unidos: Directiva operativa vinculante del DHS (BOD) 18-01 ordena a las agencias federales civiles que implanten SPF, DKIM y DMARC y que utilicen informes agregados.
  
• Reino Unido: El gobierno británico dio un paso pionero en 2016 al imponer una política DMARC p=reject en todos sus dominios para frenar las amenazas de suplantación de identidad. Sin embargo, con el NCSC en marzo de 2025, las agencias han perdido una capa crítica de información sobre la actividad de autenticación del correo electrónico, lo que aumenta el riesgo de errores de configuración o problemas de entregabilidad no detectados.
  
• Alemania: A partir de junio de 2018, Alemania adoptó medidas proactivas para restringir la propagación de malware y spam, instando a los proveedores de servicios de Internet a adoptar SPF, DKIM y DMARC, los estándares fundacionales de autenticación de correo electrónico diseñados para verificar la legitimidad del remitente y mejorar la confianza en la comunicación digital.
• Nueva Zelanda: En el marco del Correo electrónico gubernamental seguro (SGE) todos los dominios gubernamentales habilitados para correo electrónico deben adoptar una política DMARC de p=reject, implementar SPF con hard-fail (-all) y garantizar la firma DKIM en todo el correo saliente.
• Países Bajos: Los Países Bajos Forum Standaardisatie (Foro de Normalización) convirtió DMARC en parte de los "estándares abiertos" y lo incluyó en la lista "Pas toe of leg uit" ("cumplir o explicar"). Según la "Declaración de Ambición Conjunta" y los acuerdos relacionados, se esperaba que todas las organizaciones gubernamentales de los Países Bajos implementaran estándares de correo electrónico antiphishing (SPF, DKIM, DMARC) y estándares de seguridad de correo electrónico (como STARTTLS y DANE) para finales de 2019.

Además, varios sectores, como el financiero y el sanitario, utilizan cada vez más DMARC o la autenticación del correo electrónico como base de la seguridad. 

Cómo configurar DMARC para dominios gubernamentales y del sector público 

A continuación se muestra un sencillo paso a paso para implementar DMARC para un dominio gubernamental. Puede sustituir los nombres de dominio y las direcciones donde corresponda.

1. Inventario: mapear cada remitente

• Elabore un inventario de todos los servicios, incluidos los proveedores en la nube y los remitentes de terceros que utilizan su dominio o subdominios.
• Anote las direcciones IP y las fuentes de firma DKIM.

2. Garantizar la línea de base SPF y DKIM

• Publique un registro SPF preciso que enumere sólo las IP/servicios de envío autorizados y evite el exceso de inclusiones.
• Asegúrese de que la firma DKIM está activada para los correos electrónicos salientes; publique las claves públicas DKIM (DNS TXT) y rote las claves periódicamente para mejorar la seguridad.
• Compruebe el SPF/DKIM de cada fuente con nuestro comprobador SPF y comprobador DKIM herramientas.

3. Publicar un registro DMARC supervisado

Comience con la supervisión para poder recopilar informes de forma segura:

Nombre: _dmarc.ejemplo.gov

Tipo: TXT

Valor: "v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100; adkim=s; aspf=s; fo=1"

• p=none recoge los informes sin afectar a la entrega.
• Utilice rua para informes XML agregados y ruf para información sobre fallos (compruebe primero las políticas legales).
• Utilice adkim=s y aspf=s para una alineación estricta en entornos sensibles (esto es opcional al principio).

4. Recopilación y análisis de informes

• Centralizar los informes agregados (rua) en un panel gestionado de análisis de informes como nuestro analizador de informes DMARC. Los informes muestran las IP que envían correo, los índices de aprobación/error y los fallos de alineación.
• Clasifique los remitentes legítimos frente a las fuentes no autorizadas y actualice los SPF en consecuencia. Para los problemas de correo reenviado, confíe en DKIM, autorice a los servidores de reenvío o configure ARC para conservar las cabeceras de autenticación.

5. Pasar gradualmente a la aplicación

• Pasar a p=cuarentena para un subconjunto de dominios.
• Supervise las tasas de rebote/reclamación y la entregabilidad.
• Una vez seguros, pasar a p=rechazar a pct=100. Mantenga una vigilancia estricta tras la aplicación.

Por ejemplo:

Registro inicial: v=DMARC1; p=cuarentena; pct=50; rua=mailto:[email protected]; adkim=s; aspf=s

Registro actualizado: v=DMARC1; p=rechazo; pct=100; rua=mailto:[email protected]; adkim=s; aspf=s

Retos comunes y cómo evitarlos

1. Creer que p=none protege contra el spoofing: El modo de supervisión (p=none) sólo recopila datos y no impide la suplantación de identidad. Debe planificar una ruta y un calendario claros para p=quarantine y p=reject.
   
2. Inventario obsoleto: Los remitentes de terceros no documentados provocan fallos al aplicar las políticas. Para solucionarlo, asegúrese de que los remitentes de terceros están autorizados en su registro SPF y actualice el registro cada vez que añada un nuevo remitente.
   
3. Múltiples registros DMARC/SPF: Publicar más de un registro DMARC o SPF para un dominio rompe la autenticación. Asegúrese siempre de que haya exactamente un registro por dominio de envío.
   
4. Registros SPF largos / búsquedas DNS excedidas: SPF tiene límites de búsqueda (10 mecanismos que causan búsquedas DNS). Para mantenerse por debajo del límite, puede utilizar nuestra herramienta de aplanamiento SPF o Macros SPF de SPF.
   
5. El reenvío rompe el SPF: El reenvío de correo puede hacer que SPF falle incluso para correos legítimos. Es mejor confiar en DKIM siempre que sea posible y utilizar ARC para conservar las cabeceras de autenticación originales.
   
6. Informes forenses y cuestiones legales y de privacidad: Los informes forenses pueden contener datos sensibles y contenido de correo electrónico en algunos casos. Te recomendamos que consultes a tu equipo jurídico antes de activar ruf y que utilices servicios que ofrezcan cifrado de informes forenses como PowerDMARC.
   
7. Interpretación errónea de los informes agregados: Los informes agregados XML no son fáciles de interpretar y pueden resultar complejos para lectores no técnicos. Es mucho más conveniente utilizar analizadores automáticos o un panel DMARC para traducir los informes a un formato legible para el ser humano.

Cómo ayuda PowerDMARC a los organismos del sector público

A menudo, los organismos públicos prefieren trabajar con un socio de confianza para acelerar la implantación de DMARC sin dejar de cumplir la normativa. PowerDMARC ofrece las siguientes funciones adaptadas al sector público:

• Análisis automatizado de informes: Los informes agregados y forenses de informes agregados y forenses se analizan automáticamente y se presentan en cuadros de mando coloridos y fáciles de navegar, con filtros claros.
  
• Despliegue de SPF y DKIM: Ofrecemos herramientas y servicios alojados para simplificar y optimizar los registros SPF y gestionar la rotación de claves DKIM.
  
• Alertas y asistencia con capacidad de respuesta: Nuestra plataforma admite alertas en tiempo real sobre picos de suplantación de identidad, nuevos remitentes no autorizados o problemas de entrega, con un equipo de asistencia para ayudar a solucionarlos rápidamente.
  
• Comprobaciones de conformidad instantáneas: Puede realizar análisis rápidos del estado del dominio y comprobaciones de cumplimiento para supervisar al instante el progreso general de la seguridad del correo electrónico.

PowerDMARC también es un proveedor que cumple con SOC2 Tipo 2, SOC3, ISO 27001 Certified y GDPR. 

Palabras finales

Para los organismos públicos, DMARC es algo más que un elemento de acción. Requiere una gestión y supervisión continuas. La recompensa es un menor número de ataques de phishing que suplantan los canales oficiales, una menor carga para el servicio de asistencia, una mayor confianza de los ciudadanos y una postura de cumplimiento más sólida.

Si su organismo necesita ayuda, ya sea para analizar decenas de miles de informes agregados, descubrir remitentes desconocidos o llegar a las autoridades de forma segura, póngase en contacto con PowerDMARC hoy mismo.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Seguridad PropTech: Protección de plataformas inmobiliarias - 10 de marzo de 2026
• La guía definitiva sobre la marca de verificación azul: qué significa en Gmail, Google y las redes sociales - 9 de marzo de 2026
• ¿El cifrado de correo electrónico de Outlook cumple con la HIPAA? Guía completa para 2026 - 5 de marzo de 2026