Informe sobre seguridad del correo electrónico en el sector minorista y del comercio electrónico en Alemania 2026

Un análisis exhaustivo del estado de la autenticación del correo electrónico en 228 dominios del sector minorista alemán, que pone de manifiesto que este sector domina los fundamentos, pero ha descuidado sus defensas.

Alemania es actualmente el segundo país más afectado por el phishing a nivel mundial, con un el 14 % de los ataques a nivel mundial. El sector minorista se enfrenta a un aumento sin precedentes de la suplantación de marcas impulsada por la IA y del «quishing», y se calcula que la ciberdelincuencia le costará a la economía alemana 289 000 millones de euros en 2025. El phishing sirve de puerta de entrada para más del 90 % de todos los ataques exitosos, dirigidos a credenciales de clientes de alto valor y a las cadenas de suministro. La implementación de una política de rechazo es la principal defensa para proteger estos puntos de contacto digitales y mantener la confianza de los consumidores. El uso de PowerDMARC garantiza que estas vulnerabilidades se subsanen antes de que se produzca una brecha de seguridad (PowerDMARC).

Solicitud de informe: Seguridad del correo electrónico en el sector minorista y del comercio electrónico en Alemania

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Con la confianza de empresas y gobiernos de todo el mundo

Coca-Cola
Agarra
Universidad Rutgers
Tunstall
Toshiba
Grupo Merck
Talpa-Red
Alianza para la seguridad en la nube
Grupo OLX
Virgin-Australia
Autoridades de petróleo y gas
Universidad Nacional Australiana
Autoridad de Transporte del Valle
96.1%
Adopción del SPF
El más alto entre las empresas minoristas del sector a nivel mundial
26.3%
P = RECHAZAR LA APLICACIÓN
Solo 1 de cada 4 dominios bloquea activamente
3.1%
USO DE MTA-STS
El 96,9 % está expuesto a ataques de degradación

RESUMEN EJECUTIVO

Resumen de la seguridad del correo electrónico en el sector minorista alemán

El sector minorista alemán se encuentra en un punto de inflexión crítico. La base técnica es realmente de primer nivel; sin embargo, la aplicación de las normas brilla por su ausencia.

PowerDMARC analizó el nivel de autenticación del correo electrónico en 228 dominios alemanes del sector minorista y del comercio electrónico. Los resultados revelan un sector que lidera el mundo en cuanto al cumplimiento de SPF, con un 96,1 %, pero que va a la zaga de sus homólogos internacionales en la gestión activa de amenazas. Con solo un 26,3 % de los dominios que alcanzan el nivel DMARC p=reject y un 96,9 % que carece de cifrado de transporte MTA-STS, el sector minorista alemán es un «líder pasivo»: una adopción de base de primer orden combinada con una falta crítica de aplicación. En un contexto de aumento interanual de los ataques de phishing impulsados por IA dirigidos específicamente al espacio de nombres .de, la brecha entre la supervisión y el bloqueo nunca ha tenido un coste tan elevado.

Conclusión principal: Casi el 47,4 % de los dominios minoristas alemanes —los que tienen p=none (32,5 %) y los que carecen de registro DMARC (14,9 %)— no ofrecen ninguna protección activa contra la suplantación de identidad y la usurpación de marca.

PANORAMA DE AMENAZAS

La creciente crisis de seguridad en el sector minorista alemán

En 2025-2026, el sector minorista alemán se convirtió en un campo de pruebas fundamental para los ataques de suplantación de identidad en el correo electrónico empresarial basados en la inteligencia artificial. Tres patrones de amenaza definen la superficie de ataque.

Suplantación de marcas mediante inteligencia artificial

La automatización basada en IA permite a los atacantes generar, a escala industrial, notificaciones en alemán con una precisión milimétrica, alertas de envío de DHL/UPS y correcciones de facturas que imitan a los principales minoristas.

La tendencia del «envío fantasma»

Los ciberdelincuentes suplantan cada vez más dominios de minoristas para interceptar envíos logísticos de gran valor en la cadena de suministro. Las instrucciones contenidas en correos electrónicos fraudulentos redirigen los envíos aprovechando la reputación de remitentes de confianza.

Endurecimiento de la normativa (BSI y NIS2)

Con la aplicación de la Directiva NIS2 en vigor en toda la UE, las empresas minoristas alemanas se enfrentan a una presión legal cada vez mayor para pasar de una supervisión pasiva a una aplicación activa de los protocolos de seguridad del correo electrónico.

Los ataques se dirigen al dominio .de

Los incidentes de phishing registrados entre 2025 y 2026 revelan que la suplantación directa de dominios .de va en aumento, lo que demuestra que las marcas minoristas alemanas son el principal objetivo de sofisticadas técnicas de suplantación de identidad.

SITUACIÓN DEL SECTOR

Implantación de la autenticación por correo electrónico en 228 dominios de comercio minorista alemanes

Presentar un panorama general de todas las entidades analizadas, ofreciendo una visión clara de la situación actual del sector y de sus puntos débiles.

Panel de control de seguridad del correo electrónico
SPF Correcto 96.1%
96.1%
DMARC p=rechazar 26.3%
26.3%
DMARC p=cuarentena 25.9%
25.9%
DMARC p=none (solo supervisión) 32.5%
32.5%
MTA-STS válido 3.1%
3.1%
DNSSEC habilitado 3.5%
3.5%
i
Exposición combinada: el 32,5 % en el caso de «p=none» más el 14,9 % sin registro significa que, en la actualidad, el 47,4 % de los dominios minoristas alemanes no ofrecen ninguna protección activa contra la suplantación de identidad.
Distribución de la política DMARC
26.3%
25.9%
32.5%
14.9%
0.4%
p=rechazar 26.3%
p=cuarentena 25.9%
p=nada 32.5%
No hay registros 14.9%
Incorrecto 0.4%
Prueba de 15 días

ANÁLISIS DE LAS CAUSAS FUNDAMENTALES

Lagunas en la autenticación del correo electrónico en el comercio electrónico alemán

Más allá de las cifras generales, hay cuatro causas concretas que explican por qué la excelente base técnica de Alemania no se ha traducido en una protección efectiva.

DEBILIDAD 01

47.4%

Sin protección

La «trampa del cumplimiento» de p=none

El 32,5 % de los dominios están bloqueados en modo de solo supervisión, por lo que se limitan a observar los ataques en lugar de bloquearlos. Si a esto le sumamos que el 14,9 % carece por completo de registro DMARC, casi la mitad del sector carece de defensa activa. Tener un registro DMARC con p=none proporciona visibilidad, pero no seguridad.

La opinión de los expertos:

«El sector minorista alemán ha logrado avances impresionantes en la implementación de registros DMARC, pero la implementación por sí sola no supone una protección. Un dominio configurado con p=none es un observador pasivo: recopila datos sobre los ataques sin hacer nada para detenerlos. Cada día que se dedica exclusivamente a la supervisión es un día más en el que un delincuente puede suplantar libremente a su marca. El paso a la aplicación de medidas no supone un riesgo técnico; con la plataforma adecuada, es un proceso controlado y cuantificable».

Maitham Al Lawati, Director General de PowerDMARC

SOLUCIÓN POWERDMARC

Proceso guiado de aplicación de políticas: escalar de forma segura de p=ninguna → p=cuarentena → p=rechazo sin interrumpir el flujo de correo legítimo

Intuitivo Analizador de informes DMARC convierte el XML sin procesar en paneles de control claros, eliminando la barrera de visibilidad que mantiene a las organizaciones en p=none

PowerAlerts avisan a los equipos de seguridad de los intentos de suplantación de identidad en tiempo real, lo que genera la urgencia operativa necesaria para tomar medidas

La opinión de los expertos:

«Los minoristas alemanes cuentan con algunas de las infraestructuras de marketing y logística más sofisticadas de Europa, y esa complejidad supone una amenaza directa para la integridad de su SPF. Cada nueva herramienta SaaS que se añade al ecosistema de envío supone un paso más hacia el límite de 10 consultas. Sin una gestión proactiva del SPF, un minorista puede encontrarse en la absurda situación de que sus propios correos electrónicos transaccionales legítimos sean rechazados, mientras que los de los atacantes que los suplantan pasan sin problemas».

Yunes Tarada, Director de Prestación de Servicios, PowerDMARC

DEBILIDAD 02

3.9%

FPS incorrecto

La complejidad del SPF y el límite de 10 consultas

A medida que los minoristas adoptan modernas plataformas en la nube —como Klaviyo, SAP Emarsys, Salesforce Commerce Cloud y pasarelas de pago—, a menudo superan el límite de 10 consultas DNS establecido en el RFC 7208. El resultado: las confirmaciones de pedidos y las notificaciones de envío legítimas no superan la autenticación, terminan en la carpeta de spam o son rechazadas por completo en el peor momento posible del recorrido del cliente.

SOLUCIÓN POWERDMARC

Simplifica automáticamente y optimiza los registros SPF, manteniendo el número de consultas DNS dentro de los límites del RFC 7208 en todo momento

Las actualizaciones dinámicas del SPF garantizan que los servicios en la nube recién añadidos se reflejen al instante, sin necesidad de modificaciones manuales del DNS ni de periodos de inactividad

Las alertas en tiempo real avisan a los equipos en el momento en que un registro SPF se acerca a los límites del umbral de consultas, lo que permite una corrección proactiva

DEBILIDAD 03

96.9%

No hay ningún registro MTA-STS

MTA-STS: El punto ciego del cifrado

Dado que el 96,9 % de los dominios carecen de MTA-STS, el sector minorista alemán está muy expuesto a los ataques de degradación de SMTP, en los que un atacante obliga a un servidor de correo a abandonar el protocolo TLS y a transmitir los datos en texto plano sin cifrar. El protocolo STARTTLS estándar es oportunista y se puede eludir por completo. Sin MTA-STS, no existe ningún mecanismo de control que impida que esto ocurra sin ser detectado, lo que deja vulnerables durante la transmisión los datos personales de los clientes y los datos de las transacciones.

La opinión de los expertos:

«El cifrado oportunista da una falsa sensación de seguridad; es un protocolo de autenticación que un atacante puede simplemente rechazar en tu nombre. Sin MTA-STS para imponer una política TLS estricta, cualquier adversario situado en la red puede eliminar silenciosamente el cifrado del envío de correos electrónicos. Para los minoristas alemanes que procesan datos de pedidos y credenciales de clientes, esto no es un riesgo abstracto. Se trata de una vulnerabilidad real frente al RGPD que la mayoría de las organizaciones ni siquiera saben que tienen».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

SOLUCIÓN POWERDMARC

Implementación de políticas de MTA-STS Implementación de políticas en cuestión de minutos, sin necesidad de infraestructura de servidores ni gastos técnicos adicionales

Obliga a que todo el tráfico de correo electrónico entrante se realice a través de canales TLS 1.2 o superior, eliminando por completo los vectores de ataque por rebaja de protocolo SMTP

PowerTLS-RPT ofrece informes en tiempo real sobre los fallos en las políticas MTA-STS y los intentos de interceptación

La opinión de los expertos:

«DNSSEC es la capa de seguridad que garantiza la fiabilidad de todo lo demás. La fiabilidad de los registros SPF, DKIM y DMARC depende directamente de la infraestructura DNS que los aloja. Sin DNSSEC, un atacante no necesita burlar tu autenticación; simplemente la redirige. En un sector en el que la confianza en la marca es un factor clave para los ingresos, dejar el DNS desprotegido es como instalar una puerta de caja fuerte y dejar el suelo abierto».

Ahona Rudra, directora de marketing, PowerDMARC

DEBILIDAD 04

96.5%

DNSSEC desactivado

DNSSEC: La brecha en los cimientos

Solo el 3,5 % de los dominios minoristas alemanes analizados tienen habilitado el protocolo DNSSEC. Sin la validación criptográfica del DNS, los atacantes pueden llevar a cabo ataques de envenenamiento de caché DNS y de secuestro que redirigen a los usuarios a sitios fraudulentos, interceptan flujos completos de correo electrónico en la capa del DNS o suplantan cualquier dominio, eludiendo por completo todas las demás capas de autenticación que se hayan implementado cuidadosamente por encima de ella.

SOLUCIÓN POWERDMARC

El Analizador de dominios de PowerDMARC muestra el estado de DNSSEC en todos los dominios supervisados, lo que ofrece una visibilidad inmediata de las brechas en la integridad del DNS

Las directrices prácticas para la corrección de problemas ayudan a las organizaciones a colaborar con los proveedores de DNS para habilitar la firma DNSSEC sin interrumpir la resolución

La supervisión continua avisa a los equipos si caducan las firmas DNSSEC o si se alteran los registros DNS a nivel de zona

Contáctenos

COMPARATIVA GLOBAL

CONCLUSIONES PRINCIPALES

Lo que nos dicen los datos

Cuatro conclusiones principales que definen el estado de la seguridad del correo electrónico en el sector minorista alemán en 2026.

Disciplina Elite SPF

Alemania alcanza un índice de corrección del SPF del 96,1 %. Las prácticas de gestión del DNS de Alemania marcan un referente mundial en materia de autenticación básica del correo electrónico.

Déficit de aplicación

Solo uno de cada cuatro minoristas alemanes bloquea activamente los correos electrónicos falsificados mediante DMARC p=reject. Un nivel mínimo de SPF de primer nivel no es suficiente mientras la aplicación de DMARC siga siendo opcional.

Brecha en el cifrado de la transmisión

El 96,9 % de la infraestructura de correo electrónico del sector minorista alemán carece de un registro MTA-STS, lo que significa que el correo entrante es vulnerable a los ataques de degradación de SMTP. La información de identificación personal de los clientes y las comunicaciones relacionadas con los pagos se transmiten sin cifrado obligatorio durante el tránsito.

La trampa del control

Más del 32 % de los dominios han implementado registros DMARC, pero siguen con el valor «p=none», lo que no ofrece ninguna capacidad de bloqueo. Ante el aumento interanual de los ataques de phishing, limitarse únicamente a la supervisión equivale, en la práctica, a una concesión pasiva a los atacantes.

MEDIDAS RECOMENDADAS

Recomendaciones de seguridad del correo electrónico para el sector minorista en 2026

Una hoja de ruta de medidas priorizadas para las empresas minoristas alemanas, ordenadas por urgencia e impacto.

PRIORIDAD INMEDIATA

Elevar el nivel a DMARC p=reject

El 32,5 % de los remitentes con p=none deben pasar a p=reject. La plataforma DMARC alojada de PowerDMARC ofrece un proceso de aplicación guiado y por fases, desde la supervisión hasta la cuarentena y el rechazo total, sin interrumpir en absoluto el flujo de correo legítimo. Esta es la medida de mayor impacto disponible.

PRIORIDAD INMEDIATA

Implementar MTA-STS

Cubra la brecha de cifrado en el transporte del 96,9 %. PowerMTA-STS elimina los ataques de degradación de SMTP al imponer el uso de TLS en todo el tráfico de correo electrónico entrante. Para los minoristas que gestionan datos personales identificables (PII) y datos de transacciones de los clientes, esto constituye tanto un requisito de seguridad como una nueva exigencia de cumplimiento del RGPD.

A CORTO PLAZO

Solucionar errores de configuración del SPF

El índice de errores del SPF del 3,9 % debería abordarse mediante el método de «SPF Flattening» o el uso de macros de PowerSPF. A medida que las pilas tecnológicas del comercio minorista se vuelven más complejas, con la incorporación de plataformas de CRM, CDP y automatización de marketing, una gestión proactiva del SPF evita fallos en la entregabilidad y problemas de autenticación.

A LARGO PLAZO

Adopta BIMI para reforzar la confianza en la marca

En un mercado minorista competitivo en el que el correo electrónico sigue siendo el principal canal de conversión, BIMI añade un logotipo de marca verificado directamente a los correos electrónicos autenticados en las bandejas de entrada compatibles. Las empresas que implementan BIMI registran mejoras cuantificables en las tasas de apertura y en el reconocimiento por parte de los clientes.

Reservar una demostración Póngase en contacto con nosotros

CONCLUSIÓN

Alemania ya tiene los cimientos. Ahora le toca construir la estructura.

El sector minorista alemán se erige como un auténtico líder mundial en materia de fundamentos de autenticación de correo electrónico. La tasa de corrección del SPF del 96,1 % no es fruto de la casualidad, sino que refleja una gestión rigurosa del DNS y un enfoque maduro en la aplicación de los estándares técnicos.

Pero en un entorno amenazante en el que ha aumentado el phishing basado en la inteligencia artificial y en el que se está suplantando directamente la identidad de marcas minoristas alemanas, la simple implantación de medidas básicas sin su aplicación efectiva es como un sistema de alarma sin sirena. El atacante envía su correo electrónico. La marca sufre el daño a su reputación. El cliente pierde la confianza.

El camino para pasar de ser un líder pasivo a un defensor resiliente está bien definido: aplicar DMARC, subsanar las deficiencias de MTA-STS y desarrollar la pila de autenticación partiendo de sus excelentes cimientos. Para el sector minorista alemán en 2026, construir el techo ya no es opcional.

Alemania ha sentado unas bases sólidas. La estructura que se erige sobre ellas sigue sin estar terminada. En 2026, construir el tejado ya no será una opción.

Equipo de investigación de PowerDMARC

METODOLOGÍA

Este informe se basa en el análisis automatizado a nivel de DNS realizado por PowerDMARC de 228 dominios alemanes de comercio minorista y comercio electrónico, llevado a cabo en 2026. Los registros de autenticación, SPF, DMARC, MTA-STS y DNSSEC se consultaron y puntuaron de forma programada. Todos los resultados reflejan el estado de los registros DNS resolubles públicamente en el momento del análisis. Los datos sobre el aumento del phishing proceden de la inteligencia sobre amenazas de PowerDMARC y de los informes de incidentes de BSI correspondientes al periodo 2025-2026.

Comienza tu proceso de implementación de DMARC

PowerDMARC ofrece a las empresas minoristas alemanas una migración segura y guiada de «p=none» a «p=reject», sin que se produzca ninguna interrupción en el correo legítimo.

Prueba de 15 díasAgendar demo