Norma de medidas de seguridad de la FTC: ¿Necesita su entidad financiera DMARC?

Pensemos en un concesionario de automóviles regional de Ohio. Recopila números de la Seguridad Social para la financiación, intercambia documentos de préstamos por correo electrónico y gestiona los formularios de seguros de los clientes a través de una bandeja de entrada compartida.

El equipo de TI utiliza un programa antivirus, mantiene un cortafuegos y forma al personal sobre buenas prácticas en materia de contraseñas. Lo que nunca han implementado es la autenticación del correo electrónico; su dominio carece de políticas SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting, and Conformance). Cualquier atacante puede enviar un correo electrónico que parezca proceder del dominio del concesionario.

Ese concesionario es una entidad sujeta a la Norma de Salvaguardias de la FTC (Comisión Federal de Comercio), al igual que la agencia hipotecaria de la misma calle, el asesor financiero independiente al otro lado de la ciudad y la empresa de inversiones regional que gestiona las carteras de los clientes. La norma regula, en términos generales, a las instituciones financieras no bancarias: concesionarios de automóviles que gestionan la financiación, agentes hipotecarios, asesores financieros, agencias de cobro de deudas, asesores fiscales y entidades de crédito rápido, entre otros.

El correo electrónico es el principal vector de ataque en todos ellos. Los ataques de tipo BEC (Business Email Compromise) suponen a las organizaciones un coste medio de 129 200 dólares por incidente en 2024, según el Informe Anual del FBI IC3 de 2024. Desde el 13 de mayo de 2024, existe la requisito de notificación de violaciones exige a las entidades afectadas que notifiquen los incidentes que cumplan los requisitos a la FTC en un plazo de 30 días, lo que confiere una urgencia directa a la prevención en lugar de a la respuesta.

En esta guía se explica quién debe cumplir con la normativa, cuáles son los requisitos de la misma, cómo la autenticación del correo electrónico contribuye al cumplimiento y cómo adaptar la implementación de DMARC al tipo específico de su entidad.

¿Quién debe cumplir la Norma de Salvaguardias de la FTC?

El alcance de la Norma de Salvaguardias sorprende a muchos empresarios, que suelen asociar la regulación financiera principalmente con los bancos y las cooperativas de crédito. En la práctica, la norma se aplica a cualquier institución que «desarrolle de manera significativa» actividades financieras, una definición que la FTC interpreta de manera amplia. Comprender qué tipos de entidades están incluidas es el primer paso para crear un programa de seguridad que cumpla con la normativa.

La norma define el concepto de «entidad financiera» en función de las actividades que realiza, y no del tipo de entidad. Si su empresa recopila información personal no pública (NPI) de los consumidores en el marco de la prestación de productos o servicios financieros, es probable que la norma le sea de aplicación. La NPI incluye números de la Seguridad Social, información sobre cuentas financieras, números de permiso de conducir, datos de seguros y datos de inversiones.

Concesionarios de automóviles

Los concesionarios de automóviles que gestionan o facilitan la financiación son entidades sujetas a la Norma de Medidas de Protección. Los números de permiso de conducir, los números de la Seguridad Social, el historial laboral y la información de cuentas financieras circulan a diario por los sistemas de los concesionarios. Las solicitudes de financiación, los formularios de seguros y los contratos de vehículos se gestionan habitualmente por correo electrónico, lo que convierte a este canal en un punto de exposición principal para los ataques de phishing y BEC.

Agentes hipotecarios

Los agentes hipotecarios recopilan algunos de los datos personales más sensibles del sector de los servicios financieros: números de la Seguridad Social, datos bancarios, declaraciones de impuestos, historiales laborales e información sobre propiedades. Los documentos de préstamo, las tasaciones y los informes de cierre se envían con frecuencia por correo electrónico, lo que convierte a las operaciones de las agencias hipotecarias en un objetivo preferido para el fraude electrónico y los ataques de suplantación de identidad en la documentación de préstamos.

Asesores financieros

Los asesores financieros independientes y las empresas de asesoría de inversiones registradas gestionan información sobre cuentas de inversión, datos fiscales, extractos de cuenta y documentos de planificación financiera. La comunicación con los clientes se lleva a cabo principalmente por correo electrónico, y este canal constituye una vía principal para los ataques dirigidos a las cuentas de los clientes y a las credenciales de las plataformas de custodia.

En los tres tipos de entidades, la Norma de Salvaguardias no exige que una empresa sea un banco. Solo exige que la empresa realice actividades financieras y recopile información de identificación personal (NPI). Una vez que una organización determina que entra dentro de este ámbito de aplicación, la siguiente pregunta es qué exige realmente la norma, y las modificaciones de 2021 hicieron que esos requisitos fueran considerablemente más específicos.

¿Qué exige la Norma de Salvaguardias de la FTC?

La Norma de Salvaguardias exige a las entidades afectadas que elaboren, apliquen y mantengan un programa integral de seguridad de la información por escrito, adecuado al tamaño, la complejidad y la naturaleza de sus operaciones. Se trata de requisitos vinculantes sujetos a sanciones en caso de incumplimiento, y no de meras directrices orientativas.

Las modificaciones de 2021 introdujeron nueve elementos específicos obligatorios, creando un marco estructurado que refleja un modelo de defensa por capas. Ningún control por sí solo es suficiente para proteger los datos financieros sensibles.

Los nueve elementos obligatorios de un programa de seguridad de la información conforme a la norma de salvaguardias de la FTC

1. Designar a una persona cualificada: Responsable de implementar y supervisar el programa de seguridad de la información.
2. Realizar una evaluación de riesgos por escrito: Identifique la información de los clientes que se conserva, enumere las amenazas y establezca criterios de evaluación.
3. Diseñar e implementar medidas de seguridad: controles de acceso, cifrado, MFA (autenticación multifactorial), DLP (prevención de pérdida de datos) y registro de actividades.
4. Supervisar y comprobar periódicamente las medidas de seguridad: Supervisión continua o pruebas de penetración anuales, además de evaluaciones de vulnerabilidad semestrales.
5. Formación del personal: Formación en materia de seguridad y cursos de actualización continuos sobre los nuevos tipos de amenazas.
6. Supervisar a los proveedores de servicios: Evalúe a los proveedores externos e incluya requisitos de seguridad en los contratos de servicio.
7. Mantenga el programa actualizado: Actualice los controles para tener en cuenta nuevas amenazas, cambios de personal y cambios operativos.
8. Elaborar un plan escrito de respuesta ante incidentes: Funciones definidas, procedimientos de comunicación, vías de escalado y proceso de análisis posterior.
9. Exigir la presentación de informes al Consejo de Administración: Informe anual de cumplimiento al Consejo de Administración o al órgano de gobierno equivalente.

Varios de estos elementos tienen repercusiones directas en la seguridad del correo electrónico. El elemento 3 exige controles de acceso que verifiquen la identidad de los remitentes autorizados y cifren las transmisiones confidenciales. El elemento 4 exige la supervisión y la realización de pruebas en toda la infraestructura, incluidos los sistemas de correo electrónico. El elemento 5 exige la formación del personal sobre el phishing y el BEC. El elemento 8 exige un plan de respuesta ante incidentes que debe tener en cuenta los escenarios de ataques a través del correo electrónico.

La autenticación del correo electrónico mediante DMARC, SPF y DKIM respalda directamente varios elementos: controles de acceso (verificación de remitentes autorizados), registro de actividades (informes agregados y forenses de DMARC), respuesta ante incidentes (detección de intentos de suplantación de identidad en tiempo real) y supervisión (seguimiento de la situación de autenticación a lo largo del tiempo). Las entidades afectadas con 5.000 o más registros de clientes también están obligadas a cifrar la información de los clientes tanto en tránsito como en reposo, implementar la autenticación multifactorial (MFA) y mantener registros detallados de actividad. Estos umbrales abarcan a la mayoría de los agentes hipotecarios, asesores financieros y concesionarios de automóviles que operan a escala regional.

Por qué la autenticación del correo electrónico es fundamental para cumplir con la norma Safeguards

El correo electrónico no es un vector de ataque más entre muchos otros para las instituciones financieras. Es la principal superficie de riesgo, el canal a través del cual se inician la mayoría de los fraudes, los robos de credenciales y los ataques de ingeniería social. Para las entidades sujetas a la Norma de Medidas de Protección, proteger el canal del correo electrónico no es una mejora opcional, sino un requisito básico de seguridad.

Los atacantes que tienen como objetivo las instituciones financieras no necesitan comprometer su infraestructura. Envían correos electrónicos que parecen proceder de su dominio, aprovechando la ausencia de controles de autenticación en lugar de eludirlos. Las empresas de servicios financieros se enfrentan a costes cada vez mayores derivados del robo de credenciales, las transferencias bancarias fraudulentas, las medidas regulatorias y la notificación a los clientes, todo lo cual tiene su origen en un correo electrónico no autenticado.

La magnitud del problema de los dominios sin protección

A pesar del riesgo conocido, el 92 % de los principales dominios de correo electrónico siguen sin estar protegidos contra el phishing y la suplantación de identidad, según Infosecurity Magazine. Muchas organizaciones utilizan filtros antispam, protección de terminales y formación en concienciación sobre seguridad, pero dejan su propio dominio a disposición de los atacantes para que suplantar sin ninguna barrera técnica. El filtrado de spam aborda las amenazas entrantes hacia sus usuarios; la autenticación de correo electrónico aborda las amenazas salientes, concretamente el uso de su dominio para atacar a sus clientes, socios y contrapartes. Se trata de problemas distintos que requieren controles distintos.

Cómo funciona la autenticación del correo electrónico

SPF (Sender Policy Framework). SPF define qué direcciones IP están autorizadas a enviar correo electrónico en nombre de tu dominio, lo que permite a los servidores receptores rechazar el correo procedente de fuentes no autorizadas antes de que llegue a los destinatarios.

DKIM (DomainKeys Identified Mail). DKIM adjunta una firma criptográfica a los mensajes salientes, lo que permite a los servidores receptores verificar que el contenido del mensaje no ha sido alterado durante el tránsito.

DMARC (Autenticación, notificación y conformidad de mensajes basados en el dominio). DMARC combina SPF y DKIM, especificando cómo deben gestionar los servidores receptores los mensajes que no superan las comprobaciones de autenticación y generando informes que documentan toda la actividad de autenticación relacionada con su dominio.

En conjunto, estos tres protocolos impiden que remitentes no autorizados se hagan pasar por tu dominio, crean un registro auditable de la actividad de correo electrónico y ofrecen visibilidad para detectar intentos de suplantación de identidad antes de que causen daños.

La postura de la FTC sobre la autenticación del correo electrónico

El Perspectiva del personal de la FTC sobre la autenticación del correo electrónico recomienda explícitamente que las empresas implementen DMARC, SPF y DKIM para proteger a los clientes de los ataques de phishing. La Guía de la FTC sobre autenticación de correo electrónico para empresas refuerza esta recomendación como una base práctica de ciberseguridad. A pesar de ello, la postura más habitual entre las entidades afectadas es el filtrado de spam sin autenticación de correo electrónico. Los filtros de spam protegen su bandeja de entrada; los protocolos de autenticación protegen la identidad de su dominio. No se trata de controles intercambiables.

La autenticación del correo electrónico y la Norma de Salvaguardias: un marco de cumplimiento

Al vincular los controles de autenticación del correo electrónico con los requisitos específicos de la Norma de Salvaguardias, se transforma una implementación técnica en una posición de cumplimiento documentada. Los responsables de cumplimiento y las personas cualificadas deben explicar con precisión cómo se corresponde cada control con las obligaciones reglamentarias, y dicha correspondencia es directa.

Cada protocolo de autenticación contribuye al cumplimiento de uno o varios requisitos de la Norma de Salvaguardias de forma concreta y verificable, lo que facilita la presentación de informes al consejo de administración y la revisión por parte de las autoridades reguladoras.

Antes de pasar a la fase de implementación, conviene comprender qué implica en la práctica el cumplimiento normativo: concretamente, cómo se producen las violaciones de seguridad relacionadas con el correo electrónico y qué controles de autenticación las previenen.

Autenticación de correo electrónico y prevención de filtraciones

El requisito de notificación de violaciones de la FTC de mayo de 2024 implica que las entidades afectadas deben notificar las violaciones de datos que cumplan los requisitos y que afecten a 500 o más consumidores en un plazo de 30 días desde su detección. Comprender cómo se originan las violaciones a través del correo electrónico y cómo los controles de autenticación las detienen aclara por qué la prevención es una estrategia de cumplimiento más eficaz que la respuesta ante las violaciones.

Cómo se producen las filtraciones relacionadas con el correo electrónico

Las filtraciones típicas por correo electrónico en el sector de los servicios financieros siguen un patrón reconocible. Un atacante envía un correo electrónico de phishing que parece proceder de un dominio de confianza, de un proveedor de servicios o de la propia institución. Un empleado facilita sus credenciales o autoriza una transacción fraudulenta, y el atacante aprovecha ese acceso para acceder a los datos de los clientes, iniciar transferencias bancarias o establecer una presencia persistente con vistas a futuros ataques.

La aplicación de DMARC interrumpe esta cadena en su fase más temprana. Cuando un dominio está protegido por una política DMARC de tipo «p=reject» política DMARC, los correos electrónicos procedentes de fuentes no autorizadas se rechazan antes de llegar a los destinatarios. El correo electrónico de phishing nunca llega; el ataque nunca prospera. La suplantación de dominio queda eliminada como vector de ataque en el momento en que se aplica la política.

El Informe «IBM Cost of a Data Breach 2024» sitúa el coste medio de una filtración en el sector de los servicios financieros en 6,08 millones de dólares, incluyendo la detección, la notificación, la respuesta normativa y la interrupción de la actividad empresarial. La implementación de DMARC cuesta una fracción de esa cifra; la decisión a favor de la autenticación no ofrece lugar a dudas.

Tanto los argumentos financieros como los normativos son claros. En la sección de implementación que figura a continuación se ofrece una hoja de ruta por fases diseñada para los entornos con múltiples remitentes, habituales en el sector de los servicios financieros.

Aplicación práctica: cómo implementar correctamente DMARC para cumplir con la normativa

La implementación sigue una secuencia por fases por una buena razón. Saltarse pasos o avanzar demasiado rápido conlleva el riesgo de bloquear la entrega de correos electrónicos legítimos, lo que genera problemas operativos y de cumplimiento normativo al mismo tiempo. Un enfoque metódico protege tanto la capacidad de entrega como la seguridad.

1. Haga un inventario de sus fuentes de envío. Documente todos los sistemas que envían correo electrónico desde su dominio: servidores internos, plataformas de marketing, sistemas CRM, aplicaciones de RR. HH. y finanzas, y servicios de terceros. Muchas entidades afectadas descubren entre 20 y 50 fuentes de envío de las que no tenían constancia. Los inventarios incompletos son la principal causa de fallos de autenticación tras la implementación.
2. Implementa registros SPF. SPF define qué direcciones IP están autorizadas para enviar desde tu dominio. Publica un registro SPF que incluya todas las fuentes del paso 1. Ten en cuenta el límite de 10 consultas de SPF; el aplanamiento de SPF resuelve esto convirtiendo los nombres de host en direcciones IP dentro del registro.
3. Implementa la firma DKIM. DKIM adjunta una firma criptográfica al correo electrónico saliente. La mayoría de las plataformas, incluidas Google Workspace y Microsoft 365, admiten DKIM de forma nativa. Genera claves DKIM para cada origen de envío y publica las claves públicas en el DNS.
4. Publica una política DMARC con el valor p=none. Una política DMARC con p=none coloca su dominio en modo de supervisión. El correo fluye con normalidad, mientras que los informes agregados documentan cada origen de envío y sus resultados de autenticación. Esta fase es de diagnóstico y no debe omitirse en favor de una aplicación inmediata.
5. Supervisar y corregir. Revise los informes DMARC para identificar remitentes no alineados, intentos de suplantación de identidad y fuentes de terceros que requieran configuración. Resuelva cada problema antes de avanzar con la política. Esta fase suele durar entre cuatro y ocho semanas para organizaciones con una complejidad moderada en cuanto a los remitentes.
6. Transición a la aplicación de la política. Una vez que todos los remitentes legítimos hayan sido autenticados, cambie la política DMARC a p=quarantine y, a continuación, a p=reject. La aplicación impide que los remitentes no autorizados envíen correo desde su dominio.

Los errores más habituales que se producen durante este proceso se tratan en la sección «Errores comunes» que figura a continuación.

Orientación específica para cada sector

Las prioridades de implementación varían considerablemente según el tipo de entidad afectada. Los casos de uso del correo electrónico, los ecosistemas de remitentes externos y los perfiles de amenazas de los concesionarios de automóviles, los agentes hipotecarios y los asesores financieros requieren, cada uno de ellos, enfoques personalizados, en lugar de una implementación única para todos.

Concesionarios de automóviles

Los concesionarios recopilan números de permiso de conducir, números de la Seguridad Social, documentos de financiación y formularios de seguros, y se comunican principalmente por correo electrónico a lo largo de todo el proceso de venta. Entre las amenazas específicas se incluyen los ataques BEC dirigidos a los responsables de financiación, los contratos de financiación fraudulentos y la recopilación de credenciales de los clientes a través de dominios de concesionarios falsificados. La implementación debe dar prioridad a la autenticación del dominio principal, a la gestión de los remitentes de los socios de financiación y seguros, y a la configuración de la supervisión DMARC para detectar la suplantación de identidad dirigida a los clientes.

Agentes hipotecarios

Los agentes hipotecarios manejan números de la Seguridad Social, datos de cuentas bancarias, declaraciones de impuestos y documentación de cierre. El correo electrónico transporta documentos que, de ser interceptados, podrían dar lugar a transferencias bancarias de seis cifras. Para los agentes hipotecarios, la prioridad es gestionar todo el ecosistema de remitentes externos —incluidos suscriptores, tasadores, empresas de títulos de propiedad y entidades crediticias— para evitar la suplantación de identidad en la documentación de los préstamos.

Asesores financieros

Las empresas de asesoría envían extractos de cuenta, recomendaciones de inversión, documentos fiscales y confirmaciones de transacciones por correo electrónico. Una suplantación convincente del dominio de un asesor puede desviar transferencias de cuenta o comprometer las credenciales de la plataforma del depositario. Las empresas de asesoría deben centrar sus esfuerzos de implementación en la autenticación de las comunicaciones procedentes de depositarios, gestores de fondos y sistemas de cumplimiento normativo.

Errores comunes que hay que evitar

En los tres tipos de entidades, se observan ciertos fallos de implementación con la suficiente frecuencia como para que merezcan una atención especial. Cada uno de ellos da lugar a una deficiencia concreta en los controles técnicos o en la documentación de cumplimiento.

Considerar la autenticación del correo electrónico como algo opcional. La FTC ha recomendado explícitamente la autenticación del correo electrónico, y los requisitos de control de acceso, supervisión y respuesta ante incidentes de la norma crean una justificación directa para el cumplimiento. Ya no es defendible considerar DMARC, SPF y DKIM como complementos opcionales.

Implementación de DMARC sin realizar un inventario de las fuentes de envío. Publicar una política DMARC antes de completar una auditoría de las fuentes de envío hace que los remitentes legítimos no superen las comprobaciones de autenticación una vez que se aplica la política, lo que interrumpe las operaciones y va en contra del objetivo del programa de cumplimiento.

Pasar a p=reject demasiado pronto. Pasar a la fase de aplicación antes de resolver todos los problemas de alineación de SPF y DKIM interrumpe la entrega de correos electrónicos legítimos. La fase de supervisión p=none existe precisamente para evitar este resultado y no debe acortarse para cumplir un plazo arbitrario.

No supervisar los informes DMARC. Los informes DMARC solo son útiles cuando se revisan. Las organizaciones que publican una política pero ignoran los informes resultantes no obtienen ningún beneficio en materia de seguridad o cumplimiento normativo de su implementación.

No gestionar los remitentes externos. Las plataformas de marketing, los sistemas CRM y los procesadores de pagos que envían correos electrónicos desde su dominio deben incluirse en los registros SPF y en las configuraciones DKIM. Los remitentes externos no gestionados se convierten en vectores de suplantación de identidad y pueden superar el límite de 10 consultas SPF.

No tener en cuenta el reenvío de correo electrónico. El reenvío de correo electrónico rompe la alineación de SPF y, en ocasiones, de DKIM. Las organizaciones que utilizan cuentas reenviadas deben implementar ARC (Cadena de recepción autenticada) o configurar una alineación DMARC menos estricta para evitar que se bloquee el correo reenviado legítimo.

No documentar la implementación a efectos de cumplimiento normativo. La implementación de DMARC genera pruebas relevantes para la auditoría: registros DNS, informes agregados, historial de cambios en las políticas y registros de correcciones. Sin documentación, no se puede demostrar a los reguladores ni a los auditores el beneficio que supone el trabajo técnico en materia de cumplimiento.

Conclusión

La evolución normativa en materia de seguridad del correo electrónico en el sector de los servicios financieros avanza en una sola dirección. Las modificaciones de 2021 de la Norma de Salvaguardias de la FTC, el requisito de notificación de violaciones de 2024 y la recomendación explícita de la FTC de autenticar el correo electrónico indican, en conjunto, que lo que hasta hace poco era una buena práctica técnica se está convirtiendo en un requisito de cumplimiento obligatorio. Las entidades afectadas que actúen ahora estarán en una posición considerablemente mejor que aquellas que esperen a que la aplicación de la ley defina la norma.

La autenticación del correo electrónico mediante DMARC, SPF y DKIM es una implementación estructurada y por fases que ofrece ventajas de seguridad cuantificables, documentación lista para auditorías y un cumplimiento demostrable en relación con múltiples elementos de la Norma de Salvaguardias. Las organizaciones que sienten estas bases ahora dedicarán mucho menos tiempo y dinero a hacer frente a las violaciones de seguridad, las investigaciones regulatorias y las consecuencias para su reputación derivadas de los ataques de suplantación de dominio.

Tanto si diriges el departamento financiero de un concesionario, una agencia hipotecaria o una asesoría independiente, el proceso de implementación es el mismo. El inventario de remitentes y las prioridades de supervisión específicas de tu tipo de entidad determinan la rapidez con la que se llega a la fase de aplicación.

Próximos pasos:

1. Averigüe si su organización es una entidad sujeta a la Norma de Medidas de Protección de la FTC.
2. Evalúa tu estado actual de autenticación del correo electrónico: comprueba si SPF, DKIM y DMARC están configurados y con qué nivel de política.
3. Haga un inventario de todos los sistemas que envían correos electrónicos desde su dominio, incluidos los socios financieros, las entidades aseguradoras o los sistemas de custodia.
4. Elabora una hoja de ruta para la implementación por fases, comenzando por la monitorización p=none.
5. Pasar a la fase de aplicación una vez que todos los remitentes legítimos hayan sido autenticados y verificados.

Preguntas frecuentes

¿Se aplica la Norma de Salvaguardias de la FTC a mi empresa?

Es probable que se aplique si su empresa recopila información personal no pública al tramitar financiación, gestionar préstamos hipotecarios, prestar asesoramiento en materia de inversiones, procesar pagos u ofrecer servicios financieros similares. La definición de «institución financiera» de la FTC es más amplia de lo que la mayoría de los empresarios esperan.

¿Qué ocurre si no cumplo con la Norma de Salvaguardias de la FTC?

El incumplimiento puede dar lugar a medidas coercitivas por parte de la FTC, sanciones civiles y planes de medidas correctivas obligatorios. Tras una violación de la seguridad, las autoridades reguladoras evaluarán si su programa de seguridad de la información era adecuado. Las deficiencias detectadas tras un incidente acarrean consecuencias mucho más graves que las deficiencias de cumplimiento detectadas de forma proactiva.

¿Exige la Norma de Medidas de Protección de la FTC la autenticación del correo electrónico?

No se menciona expresamente, pero en la práctica es obligatorio. Los requisitos de la norma en materia de control de acceso, registro de actividades, respuesta ante incidentes y evaluación de riesgos justifican directamente el uso de SPF, DKIM y DMARC. La FTC ha recomendado explícitamente DMARC en sus directrices oficiales.

¿Cuánto tiempo lleva implementar DMARC?

Por lo general, transcurren entre 8 y 12 semanas desde la auditoría inicial de las fuentes de envío hasta la aplicación completa de la política de rechazo. Las organizaciones con entornos de correo electrónico sencillos pueden completar el proceso en un plazo de cuatro a seis semanas; aquellas con amplios ecosistemas de remitentes externos suelen necesitar todo ese tiempo para autenticar todas las fuentes antes de continuar.

¿Cuánto cuesta implementar la autenticación del correo electrónico?

SPF, DKIM y DMARC son protocolos basados en el DNS que no conllevan gastos de licencia. Los principales costes son el tiempo del personal y las herramientas de análisis de informes DMARC. Los servicios gestionados como PowerDMARC cuestan una fracción de los 129 200 dólares que supone de media la pérdida por incidentes de BEC y gestionan la complejidad de los remitentes externos para equipos que no cuentan con personal de seguridad dedicado.

¿Puedo implementar DMARC sin afectar al envío de correos electrónicos legítimos?

Sí, siempre y cuando se siga la secuencia por fases. Empezar con p=none permite observar los resultados de la autenticación sin afectar al flujo de correo. Todos los remitentes legítimos deben identificarse y clasificarse antes de pasar a p=quarantine o p=reject. Saltarse esta fase de supervisión es la causa principal de las interrupciones en la entrega.

¿Cómo ayuda DMARC a cumplir con el requisito de notificación de infracciones de la Norma de Salvaguardias de la FTC?

El requisito de notificación de 30 días se aplica a las violaciones que ya se han producido. DMARC previene los ataques de phishing y suplantación de dominio que dan lugar a la mayoría de las violaciones basadas en el correo electrónico, lo que significa que las organizaciones que aplican la política «p=reject» tienen muchas menos probabilidades de activar el requisito de notificación en primer lugar.

¿Qué pasa si tengo remitentes externos sobre los que no tengo control?

La mayoría de los proveedores de servicios de correo electrónico, plataformas de marketing y sistemas CRM de prestigio admiten la firma DKIM y publican instrucciones para la autorización SPF. En el caso de los remitentes que no admiten la autenticación, utilice un subdominio para sus comunicaciones o documente esta limitación como un riesgo conocido. PowerDMARC ofrece orientación para estos entornos de remitentes complejos.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.

Últimas publicaciones de Ahona Rudra (ver todas)

• Reputación de IP frente a reputación de dominio: ¿cuál te lleva a la bandeja de entrada? - 1 de abril de 2026
• El fraude en las reclamaciones empieza en la bandeja de entrada: cómo los correos electrónicos falsos convierten los procesos habituales de las aseguradoras en un robo de indemnizaciones - 25 de marzo de 2026
• Norma de medidas de seguridad de la FTC: ¿Necesita su entidad financiera DMARC? - 23 de marzo de 2026