Seguridad del correo electrónico en Latinoamérica: Situación actual de DMARC y la autenticación del correo electrónico en Latinoamérica en 2026

En 2025, América Latina se enfrentó aun aumento interanual del 108 % en los ciberataques. Brasil es actualmente el mercado más atacado de la región, seguido de cerca por México, que ocupa el segundo puesto. En la actualidad, las organizaciones de toda la región se enfrentan a una media de 2.640 ataques semanales.

Para evaluar en qué medida las organizaciones protegen sus dominios, PowerDMARC analizó la adopción de la autenticación del correo electrónico en cinco mercados principales en 2026 (Brasil, México, Argentina, Ecuador y Perú), además de un análisis independiente de Chile correspondiente a 2024. Los resultados revelan una sorprendente paradoja regional: aunque las configuraciones técnicas básicas son sólidas, la aplicación efectiva de las medidas de seguridad presenta un retraso preocupante. En todos los mercados analizados para 2026, la adopción del Sender Policy Framework (SPF) es bastante elevada (entre el 86 % y el 96 %), pero las tasas de aplicación del Domain-based Message Authentication, Reporting, and Conformance (DMARC) (p=rechazo) oscilan entre un mínimo del 16,2 % en México y un máximo del 24,9 % en Ecuador. En resumen, las empresas demuestran quiénes son, pero no logran impedir que los atacantes se hagan pasar por ellas.

Esta guía exhaustiva analiza las principales vulnerabilidades de estos mercados. Para consultar los mapas de calor completos de cada sector y las hojas de ruta de cumplimiento normativas, descarga el informe completo sobre seguridad del correo electrónico en Latinoamérica 2026.

¿Por qué la seguridad del correo electrónico en Latinoamérica sufre ataques constantes?

El rápido ritmo de la transformación digital en toda América Latina, impulsado por el crecimiento explosivo de las fintech, la expansión de las plataformas de administración electrónica y la adopción de la nube, ha ampliado la superficie de ataque digital a un ritmo mucho mayor que el de la evolución de los controles defensivos. Esta brecha ha convertido la seguridad del correo electrónico en América Latina en una prioridad máxima para los responsables de seguridad.

Hay tres vulnerabilidades estructurales comunes a todos los mercados analizados por PowerDMARC:

• Las organizaciones configuran correctamente los registros básicos, pero no aplican políticas DMARC estrictas. Se identifican, pero dejan la puerta abierta a la suplantación de identidad de la marca.
• El protocolo MTA-STS( Mail Transfer Agent Strict Transport Security ) es prácticamente inexistente en toda la región.
• La falta de uniformidad en los sistemas de cumplimiento implica que la aplicación de la normativa es desigual entre países y sectores.

Según datos de Kaspersky, Argentina ha registrado un aumento del 44 % en los casos de phishing con respecto al año anterior, mientras que el 43 % de los ciberataques contra organizaciones mexicanas logran traspasar sus perímetros de seguridad.

Seguridad del correo electrónico en América Latina: análisis comparativo de cinco países (datos de 2026)

El siguiente análisis comparativo muestra la situación de la seguridad del correo electrónico en América Latina en los cinco países analizados en nuestra cohorte de 2026. Esta tabla excluye a Chile, que se evalúa por separado debido a su conjunto de datos histórico de 2024 y a una metodología de pruebas alternativa.

Principales conclusiones: por países (datos de 2026)

Brasil: líder en DNSSEC, crisis mediática

Brasil es el mercado más atacado de América Latina, pero solo el 20,7 % de sus organizaciones aplica una política estricta de rechazo (p=reject) de DMARC. Por el lado positivo, su índice de adopción de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), del 21,9 %, lidera la región y supera a mercados globales como Polonia (15,7 %) y Japón (16,4 %). Sin embargo, su tasa de MTA-STS, del 0,7 %, significa que prácticamente todo el tráfico de correo electrónico sigue siendo vulnerable a la interceptación durante el transporte.

• Finanzas: Lidera el país con un 39,2 % de rechazo de la aplicación de la normativa, pero se enfrenta a una brecha de cobertura del 100 % en la MTA-STS en todo el sector bancario.
• Administración pública: Alcanza una impresionante tasa de adopción de DNSSEC del 57,3 % (la más alta de todos los sectores incluidos en este estudio), pero el 53,7 % de los dominios siguen aplicando una política más flexible de «p=cuarentena», en lugar de bloquear las amenazas por completo.
• Medios de comunicación: Un enorme 41,8 % de los dominios de medios de comunicación carecen por completo de registro DMARC, y un minúsculo 6,4 % aplica el valor «p=reject».

Lee el análisis más detallado en el Informe sobre la adopción de DMARC en Brasil 2026.

México: el factor de protección solar (FPS) más alto, el menor nivel de cumplimiento

México presenta un gran contraste en su posición respecto a la seguridad del correo electrónico en América Latina: cuenta con la mayor precisión en la configuración de SPF de la región, con un 96,2 %, pero se sitúa a la cola en cuanto a la aplicación de DMARC, con solo un 16,2 % de rechazos (p=reject). Hasta un 34,9 % de los dominios analizados se encuentran en modo de supervisión (p=none).

• Alto nivel de amenaza: Esta falta de rigor en la aplicación de las medidas de seguridad persiste a pesar de que la tasa de ataques de ransomware ha alcanzado el 74 % durante un ciclo máximo de 12 meses y de que la tasa de éxito en las brechas de seguridad perimetral es del 43 %.
• Sector financiero: Supera a otros sectores locales con un 29,1 % (p = rechazado), pero sigue adoleciendo de un déficit del 99 % en el MTA-STS.
• Exposición comercial: El sector del transporte se sitúa en un 9,5 % (p = rechazado), con un 28,6 % sin DMARC, mientras que el sector de los medios de comunicación desciende al 5,2 % (p = rechazado) y un 31,1 % carece por completo de protección.

Lee el informe completo Informe sobre la adopción de DMARC en México 2026.

Argentina: un SPF de primer nivel, pero con graves deficiencias en la aplicación de la normativa

La adopción del SPF en Argentina, con una precisión del 95,2 %, iguala a la de Estados Unidos y supera a la de Australia, por lo que las bases ya están sentadas. Sin embargo, la protección real de los dominios se desploma drásticamente, ya que solo el 18,5 % aplica el valor «p=reject». En total, el 56,9 % de los dominios argentinos siguen totalmente expuestos a ataques de suplantación de identidad (el 35,9 % con «p=none» y el 21,0 % sin registro DMARC).

• Sanidad: el 52,2 % de los dominios del sector sanitario se sitúan en p=none, lo que supone el nivel más alto de exposición «solo a supervisión» de cualquier sector concreto en la cohorte de 2026, a lo que se suma un 0 % de MTA-STS.
• Déficit de DNSSEC: Argentina presenta la tasa nacional de DNSSEC más baja de la región, con un 1,8 %, mientras que en los sectores de la Administración Pública y la Educación la cifra se sitúa en un 0 % absoluto.
• Objetivos del sector público: CERT.ar registró 438 incidentes graves en 2024; el 61 % de ellos tenían como objetivo explícito las infraestructuras gubernamentales.

Lee el análisis más detallado en el informe completo Informe sobre la adopción de DMARC en Argentina 2026.

Ecuador: líder en cumplimiento normativo de LATAM

Ecuador se proclama líder regional en DMARC, con una tasa nacional de cumplimiento del 24,9 % (p = rechazo).

• Finanzas: El sector financiero de Ecuador registra un índice de incumplimiento del 43,7 %, lo que lo convierte en el indicador de cumplimiento más elevado de un solo sector registrado en todos los países analizados.
• Desglose por sectores: el sector sanitario presenta una realidad totalmente opuesta, con un minúsculo 4,4 % (p = rechazado); es más, el 47,8 % carece por completo de registros DMARC, y la adopción tanto de MTA-STS como de DNSSEC es del 0 %.
• Urgencia de la amenaza: Los vectores de amenaza avanzados, como el grupo APT «Blind Eagle», aprovechan activamente campañas localizadas y personalizadas en esta zona, mientras que los señuelos de phishing regionales generados por IA han provocado un aumento del 60 % en las tasas de clics de los destinatarios.

Lee el análisis más detallado en el informe completo Informe sobre la adopción de DMARC en Ecuador 2026.

Perú: el índice de adopción de principios fundamentales más bajo

Perú tiene la tasa de uso de protector solar más baja de la región, con un 86,1 %, 10 puntos porcentuales por debajo de México y Ecuador.

• Riesgos acumulados: Aunque su tasa nacional de cumplimiento de DMARC, del 17,9 % (p = rechazo), supera técnicamente a la de México, los errores y las deficiencias subyacentes a nivel de SPF hacen que la infraestructura general de Perú sea muy vulnerable.
• Lagunas en el cifrado: Las normas de cifrado e integridad siguen la misma tendencia general de estancamiento en la región; el MTA-STS se sitúa en el 0,6 %, y el DNSSEC se estanca en el 4,6 %.

Lee el análisis más detallado en el informe completo Informe sobre la adopción de DMARC en Perú 2026.

Descarga el informe completo Informe sobre seguridad del correo electrónico en Latinoamérica 2026 con los desgloses por país para los cinco países correspondientes a 2026.

Foco en Chile: Datos históricos de 2024

• Nota importante sobre la metodología: El análisis de PowerDMARC sobre Chile se basa en los datos recopilados en febrero de 2024 en 1.004 dominios. Estos datos no incluyen desgloses sobre MTA-STS o DNSSEC modernos y no pueden compararse directamente con los valores de referencia de 2026.

En febrero de 2024, Chile se situaba muy por detrás de los demás países de la región. El 63,8 % de los dominios chilenos carecía por completo de registros DMARC, y solo el 9,9 % aplicaba una política estricta de «p=reject», el nivel de aplicación más bajo analizado en América Latina. La adopción de SPF se situaba en el 70 %.

• El sector energético fue el que obtuvo peores resultados, con un 77,4 % de los dominios totalmente desprotegidos por DMARC. Le siguió de cerca el sector de los medios de comunicación, con un déficit total del 74,6 %.
• Más de la mitad (51,0 %) de los dominios bancarios chilenos carecían por completo de protecciones DMARC, a pesar de ser objetivos financieros prioritarios.
• Cabe señalar que este conjunto de datos es anterior a las principales actualizaciones normativas de Chile. La Ley 21.663 (Ley Marco de Ciberseguridad) entró plenamente en vigor en marzo de 2025, con la creación de la Agencia Nacional de Ciberseguridad (ANCI), la primera agencia nacional dedicada exclusivamente a la ciberseguridad en América Latina. En virtud de este marco, los Operadores de Importancia Vital (OIV) están obligados por ley a notificar los incidentes al CSIRT Nacional en un plazo de tres horas. Debido a estas estrictas exigencias de cumplimiento, es probable que el entorno de seguridad real de Chile en 2026 muestre avances significativos.

Consulta la página de DMARC de Chile de PowerDMARC.

Comparación entre países: cuatro tendencias regionales clave

El panorama general de la seguridad del correo electrónico en América Latina pone de manifiesto cuatro tendencias innegables que los responsables de seguridad deben abordar lo antes posible.

1. La paradoja de la aplicación del SPF

Las organizaciones están tratando la autenticación del correo electrónico como una tarea de configuración que se realiza una sola vez, en lugar de como un modelo estratégico de protección. Si bien la configuración correcta del SPF oscila entre el 86 % y el 96 % en el grupo de 2026, la tasa máxima de aplicación de DMARC es la de Ecuador, con un 24,9 %, lo que supone casi la mitad de los valores de referencia internacionales, como el 46,7 % de Australia.

2. El MTA-STS es un punto ciego absoluto

El cifrado seguro del transporte presenta un retraso crítico en todo el continente. Los datos de 2026 muestran una adopción de un solo dígito en todas partes: Ecuador lidera con un 1,4 %, seguido de Argentina (1,2 %), Brasil (0,7 %), Perú (0,6 %) y México (0,4 %). Alrededor del 99 % del correo electrónico empresarial saliente en América Latina se transmite sin medidas de seguridad de transporte obligatorias, por lo que no debería sorprender que se produzcan con éxito ataques de tipo «man-in-the-middle» (MitM) y de degradación de SMTP.

3. El sector de los medios de comunicación es el más vulnerable en todos los ámbitos

En todos y cada uno de los mercados analizados, el sector de los medios de comunicación y el entretenimiento es el eslabón más débil de la región.

Los medios de comunicación latinoamericanos siguen estando muy expuestos a la suplantación de dominios.

4. El DNSSEC destaca a Brasil como un caso atípico

Aparte de Brasil, líder regional con una tasa de adopción de DNSSEC del 21,9 % (impulsada en gran medida por su tasa de adopción del 57,3 % en el sector público), el núcleo del DNS de América Latina sigue estando en gran medida desprotegido. La tasa nacional de DNSSEC de Argentina, del 1,8 %, junto con un 0 % absoluto tanto en el sector público como en el educativo, deja sus servicios digitales expuestos al envenenamiento de la caché del DNS.

Cómo orientarse en el panorama normativo regional

• Chile: En virtud de la Ley 21.663 (marzo de 2025), la ANCI ejerce una amplia autoridad en materia de cumplimiento sobre las infraestructuras nacionales críticas, respaldada por estrictas normas que exigen la notificación de incidentes en un plazo de tres horas. La Ley 21.719 (LPPD, sobre protección de datos) entrará plenamente en vigor en diciembre de 2026.
• Brasil: La Autoridad Nacional de Protección de Datos (ANPD) aplica la LGPD de forma estricta. Dado que el correo electrónico constituye la principal vía de transmisión de datos, cualquier fuga de datos derivada de la suplantación de dominios conlleva graves responsabilidades en materia de cumplimiento normativo. El Banco Central de Brasil (BACEN) ejerce una presión paralela sobre los grupos financieros.
• México y Argentina: México aplica la NOM-151 junto con la supervisión del INAI, mientras que Argentina recurre a la Ley 25.326 a través de la actuación de la AAIP. Aunque ninguno de los dos países cuenta con una normativa nacional específica sobre la autenticación del correo electrónico, sus marcos normativos consideran cada vez más que el correo electrónico no autenticado constituye un riesgo inaceptable para las empresas.
• Ecuador y Perú: Ecuador aplica la LOPDP a través de su autoridad de protección de datos, la SPDP, mientras que Perú aplica la Ley 29733 a través de la ANPDP, y la SBS se encarga de la supervisión del sector bancario. Ninguno de los dos países exige todavía de forma explícita la autenticación del correo electrónico, pero ambos consideran que el correo electrónico no autenticado supone un riesgo para la protección de datos.
• Requisitos globales: Más allá de la legislación local, los requisitos globales de los proveedores de correo electrónico —como Google, Yahoo y Microsoft— se aplican a cualquier empresa que envíe grandes volúmenes de correos electrónicos internacionales.

¿Qué deberían hacer ahora las organizaciones de América Latina?

Esto es lo que puedes hacer ahora:

1. Comprueba de inmediato el estado de implementación de tus protocolos DMARC, SPF y DomainKeys Identified Mail (DKIM) mediante una herramienta automatizada como nuestro Verificador de registros DMARC.
2. Aplica políticas DMARC estrictas. Más de un tercio de los dominios de México (34,9 %) y Argentina (35,9 %) siguen en p=none. Pasa de forma sistemática de la supervisión (p=none) a la cuarentena temporal (p=quarantine); tu objetivo final debe ser la aplicación plena de p=reject.
3. Implemente MTA-STS junto con los informes de Transport Layer Security (TLS) para eliminar la vulnerabilidad derivada de una adopción prácticamente nula, que deja los datos de correo electrónico regionales expuestos a ataques de degradación.
4. Si te encargas de la gestión de la infraestructura o de las relaciones con los proveedores en los sectores sanitario o de los medios de comunicación, aplica de inmediato medidas de mitigación. Estos sectores presentan sistemáticamente los factores de riesgo más elevados en todos los países.
5. Implementa análisis basados en la nube a través de nuestro DMARC Analyzer para supervisar las fuentes de envío a nivel mundial, realizar un seguimiento de las métricas de cumplimiento y detectar rápidamente los intentos de suplantación de identidad.

Consigue el informe completo de seguridad de 16 páginas

No dejes que el dominio de tu empresa siga siendo un blanco fácil para los autores de ataques de phishing. Descarga el informe completo «Seguridad del correo electrónico en Latinoamérica 2026: DMARC y autenticación del correo electrónico en seis países».

Preguntas frecuentes

¿Por qué la seguridad del correo electrónico en Latinoamérica sufre ataques constantes?

La rápida transformación digital de la región —que incluye el crecimiento explosivo de las tecnologías financieras (fintech), la expansión de la administración electrónica y la rápida adopción de la nube— ha ampliado la superficie de ataque digital de las empresas a un ritmo mucho mayor que el de la evolución de los controles de seguridad del correo electrónico. Esto ha dado lugar a un aumento del 108 % en los ciberataques regionales durante el último año.

¿Cuál es la cuestión principal que se destaca en el informe sobre seguridad del correo electrónico en Latinoamérica de 2026?

El principal problema es la gran diferencia que existe entre la configuración básica y la aplicación efectiva de las medidas de seguridad. La mayoría mantiene sus políticas DMARC en «p=none» o carece por completo de DMARC.

¿Por qué los datos de Chile de 2024 aparecen separados del resto de los datos de referencia de 2026?

El conjunto de datos de Chile se recopiló en febrero de 2024 utilizando una metodología diferente que no incluía el seguimiento de datos de MTA-STS ni de DNSSEC. Dado que refleja un nivel de seguridad anterior a la plena aplicación de normativas locales importantes, como la Ley Marco de Ciberseguridad de Chile (Ley 21.663), no puede compararse con precisión con los datos de 2026.

¿Qué sectores industriales corren mayor riesgo de suplantación de dominio?

Los sectores de los medios de comunicación y la sanidad son, sistemáticamente, los que obtienen peores resultados en toda América Latina. Las empresas de medios de comunicación suelen presentar las tasas más elevadas de falta de protección DMARC, mientras que el sector sanitario argentino constituye un grave punto conflictivo a nivel regional, ya que el 52,2 % de sus dominios permanecen desprotegidos con una política «p=none».

¿Qué medidas inmediatas debería adoptar una organización de Latinoamérica para proteger su dominio?

Las organizaciones deberían realizar en primer lugar una auditoría externa utilizando una herramienta de comprobación de registros DMARC. A partir de ahí, deben avanzar activamente en su política DMARC, pasando de la fase de supervisión (p=none) a la de aplicación (p=reject), implementar MTA-STS para garantizar el cifrado del transporte del correo electrónico y realizar un seguimiento continuo mediante un analizador DMARC.

• Acerca de
• Últimas publicaciones

Milena Baghdasaryan

Especialista en contenidos de PowerDMARC

Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.

Últimos mensajes de Milena Baghdasaryan (ver todos)

• Seguridad del correo electrónico en Latinoamérica: Situación actual de DMARC y la autenticación del correo electrónico en Latinoamérica en 2026 - 30 de junio de 2026
• Abuso de infraestructuras legítimas: la técnica de phishing que elude la autenticación del correo electrónico - 30 de junio de 2026
• Cómo vender servicios de seguridad del correo electrónico: una guía para los MSP - 24 de junio de 2026