Informe sobre la adopción de DMARC y MTA-STS en México 2026

Resulta alarmante que los estudios sobre el panorama de amenazas a nivel regional revelen que México se enfrenta a un volumen ingente de ataques, situándose solo por detrás de Brasil como el segundo mercado más atacado de América Latina. De hecho, los datos específicos sobre riesgos corporativos ponen de manifiesto que el 43 % de los ciberataques lanzados contra organizaciones en México logran traspasar su perímetro, lo que obliga a los equipos a depender en gran medida de la corrección a posteriori en lugar de la prevención proactiva. 

Además, los informes detallados sobre amenazas indican que la presión ejercida por el ransomware sigue siendo históricamente alta en todo el país; durante los picos de mayor actividad, un abrumador 74 % de las organizaciones mexicanas analizadas sufrió un ataque de ransomware con éxito en un solo periodo de 12 meses.

Resumen: principales conclusiones en todo México

México SPF

SPF: 96,2 % de aciertos: los departamentos de TI de todo el país demuestran una precisión técnica excepcional en la configuración de la validación de remitentes.

México DMARC

DMARC: Sigue existiendo una preocupante brecha de seguridad, ya que el 21,9 % de los dominios analizados carecen por completo de protección DMARC y solo el 16,2 % alcanza el nivel máximo de de rechazo .

México MTA-STS

MTA-STS: El cifrado en la capa de transporte sigue siendo prácticamente inexistente, con un 99,6 % de no adopción, lo que expone el tráfico de correo electrónico a escuchas a nivel de red.

DNSSEC: Activado en el 9,9 % de los dominios, lo que indica un avance gradual hacia la seguridad de los dominios, aunque el 90,1 % sigue expuesto al envenenamiento de caché y al redireccionamiento malicioso.

Prueba de 15 días

Análisis sectorial

1. Aspectos financieros: objetivo avanzado, cifrado debilitado

Como motor de la economía nacional, el sector de los servicios financieros mexicanos impulsa con firmeza las normas de autenticación del correo electrónico; sin embargo, sus vías de transmisión siguen estando muy expuestas.

Métrica Estado
SPF 97,1 % de aciertos
Rechazo de DMARC 29,1 % (líder del sector)
Brecha de DMARC El 14,6 % no tiene antecedentes
MTA-STS 1,0 % válido
DNSSEC 10,7 % activado
Adopción de SPF en el sector bancario - México

Escenario de amenaza

Dado que el 99,0 % de los dominios financieros descuidan la seguridad de las transferencias, los flujos de mensajes entre los centros regionales circulan sin una aplicación rigurosa de la criptografía. Los ciberdelincuentes utilizan «ataques de degradación» para eliminar las capas básicas de cifrado, interceptar las confirmaciones de las transferencias bancarias, reescribir los parámetros de los destinatarios y desviar enormes reservas de liquidez sin ser detectados.

La solución PowerDMARC

PowerDMARC protege el canal de transporte con MTA-STS alojado, exigiendo el cifrado TLS 1.2+ para todo el correo entrante, lo que elimina la interferencia de ataques de tipo «hombre en el medio» (MiTM) y protege los mensajes entrantes entre bancos.

2. Sector sanitario: escasa aplicación de la normativa, alto riesgo

Los ecosistemas que gestionan datos médicos vitales y datos clínicos confidenciales operan con algunas de las normas de autenticación más laxas de México.

Métrica Estado
SPF 97,2 % de aciertos
Rechazo de DMARC 11.3%
Brecha de DMARC El 22,5 % carece por completo de DMARC
MTA-STS 0,0 % de adopción
DNSSEC 14,1 % activado
Adopción de DMARC en el sector sanitario: México

Escenario de amenaza

Dado que casi una cuarta parte de los dominios del sector sanitario carecen por completo de registros DMARC, los piratas informáticos pueden suplantar fácilmente la identidad de los hospitales. Se envían correos electrónicos falsos que contienen «actualizaciones de software de diagnóstico» maliciosas directamente a los equipos administrativos internos, lo que provoca la propagación de ransomware por toda la red y paraliza las operaciones clínicas.

La solución PowerDMARC

PowerDMARC ofrece una ruta de migración clara y supervisada, desde una protección de dominios nula hasta un estado activo barrera de rechazo , neutralizando las campañas de phishing antes de que lleguen al personal del hospital.

Gobierno: Infraestructuras sólidas, protección contra el desempleo

Las entidades del sector público gozan de una enorme confianza, pero su generalizada dependencia de normas poco estrictas que se limitan a la «supervisión» las deja expuestas a la manipulación.

Métrica Estado
SPF 96,5 % de aciertos
Rechazo de DMARC 19.0%
Política DMARC 33,6 % en «cuarentena»
MTA-STS 0,0 % de adopción
DNSSEC 10,3 % activado

Escenario de amenaza

Con un 33,6 % de los dominios a nivel estatal bloqueados en cuarentena, las advertencias gubernamentales clonadas siguen pasando los filtros de red y acaban en las carpetas de spam de los usuarios. Durante eventos públicos de gran repercusión, los autores de amenazas pueden utilizar estas carpetas como arma, contando con que los ciudadanos revisen el spam para manipular el comportamiento del público mediante directivas fraudulentas.

La solución PowerDMARC

Nuestro panel de control unificado y multitenant ofrece a los organismos de supervisión un único punto de control para proteger amplias redes de subdominios, lo que acelera de forma segura la transición hacia una política de postura de rechazo .

Agendar demo

4. Educación: Infiltración académica descentralizada

Las redes de educación superior albergan valiosa propiedad intelectual y datos de los estudiantes, pero siguen estando rezagadas en lo que respecta a la implementación de medidas de seguridad.

Métrica Estado
SPF 92,8 % de aciertos
Rechazo de DMARC 14.5%
Política DMARC 31,9 % en «cuarentena»
MTA-STS 0,0 % de adopción
DNSSEC 13,0 % habilitado

Escenario de amenaza

Los atacantes se aprovechan de los bajos índices de cumplimiento para clonar dominios universitarios y enviar mensajes administrativos falsos a los miembros del cuerpo docente. Estos correos electrónicos maliciosos recopilan credenciales para comprometer las bases de datos internas y robar investigaciones académicas de propiedad exclusiva.

La solución PowerDMARC

Los sistemas académicos suelen superar el límite estándar de 10 consultas DNS debido a la combinación de servicios en la nube de los distintos departamentos. PowerSPF comprime estas configuraciones, garantizando que las comunicaciones educativas críticas nunca se vean bloqueadas por errores de protocolo.

5. Energía: Vulnerabilidades de la cadena de suministro

Los activos industriales y energéticos presentan una gran solidez técnica, pero permiten que se acumulen vulnerabilidades en el perímetro de los proveedores.

Métrica Estado
SPF 96,0 % de aciertos
Rechazo de DMARC 18.2%
Brecha de DMARC El 23,2 % carece por completo de DMARC
MTA-STS 1,0 % válido
DNSSEC 9,1 % habilitado

Escenario de amenaza

Dado que el 23,2 % de las empresas del sector energético no publican registros DMARC, los ciberdelincuentes pueden suplantar fácilmente la identidad de los fabricantes de componentes. Utilizan dominios falsificados para distribuir facturas de mantenimiento falsas o enlaces a firmware malicioso, con el objetivo de colarse desde los entornos de correo electrónico empresarial hasta los controles operativos de la maquinaria.

La solución PowerDMARC

PowerDMARC combina la aplicación de DMARC con protocolos MTA-STS alojados, validando el origen de los remitentes y garantizando al mismo tiempo que todos los paquetes de datos en tránsito permanezcan totalmente cifrados.

6. Medios de comunicación: Vulnerabilidades en la integridad de la información

Las operaciones mediáticas de gran repercusión siguen siendo vulnerables, ya que la falta de criterios de validación sólidos permite a los malintencionados aprovecharse de la credibilidad pública.

Métrica Estado
SPF 97,8 % de aciertos
Rechazo de DMARC 5,2 % (el más bajo del sector)
Brecha de DMARC El 31,1 % no tiene antecedentes
MTA-STS 0,0 % de adopción
DNSSEC 7,4 % activado
Adopción de DMARC en los medios de comunicación: México

Escenario de amenaza

Una brecha de seguridad en DMARC del 31,1 % significa que cualquiera puede suplantar la identidad de un medio de comunicación importante. Los delincuentes aprovechan esta brecha para enviar aluviones de alertas falsas de noticias de última hora a consejos de administración o organismos reguladores, con el objetivo de manipular los precios de las acciones o provocar el pánico.

La solución PowerDMARC

Ayudamos a las organizaciones a implementar los Indicadores de marca para la identificación de mensajes (BIMI), colocando logotipos corporativos autenticados en las bandejas de entrada de los consumidores para proporcionar una garantía visual inmediata de validez.

Prueba de 15 días

7. Telecomunicaciones: alta dependencia de la cuarentena

Los proveedores de telecomunicaciones constituyen la columna vertebral de las redes digitales de México, pero su actitud pasiva pone en peligro a millones de abonados.

Métrica Estado
SPF 93,9 % de aciertos
Rechazo de DMARC 22.4%
Política DMARC 30,6 % en «cuarentena»
MTA-STS 2,0 % válido
DNSSEC 4,1 % activado (mínimo del sector)
Logotipo BIMI

Escenario de amenaza

Los estafadores clonan dominios de empresas de telecomunicaciones para enviar a los usuarios alertas urgentes y muy similares a las de «error de facturación». Esto se debe a que casi un tercio de los dominios de los operadores utilizan una configuración de cuarentena , estos correos electrónicos suelen llegar a donde los suscriptores pueden verlos, lo que da lugar a la recopilación de credenciales y, en última instancia, al secuestro de líneas telefónicas.

La solución PowerDMARC

PowerDMARC ayuda a las organizaciones a implementar DMARC p=reject en todos los subdominios de comunicación, lo que impide que los atacantes utilicen la propia identidad de marca de la empresa en contra de sus clientes.

8. Transporte: Exposición al sector del comercio y la logística

Las operaciones logísticas y de la cadena de suministro implican un intercambio rápido de datos, en el que cualquier interrupción puede paralizar los flujos comerciales fundamentales.

Métrica Estado
SPF 95,2 % de aciertos
Rechazo de DMARC 9.5%
Brecha de DMARC El 28,6 % carece por completo de DMARC
MTA-STS 0,0 % de adopción
DNSSEC 11,9 % activado
Adopción de DNSSEC en el sector del transporte - México

Escenario de amenaza

Un notable 28,6 % de los dominios del sector del transporte no aprovecha las protecciones de DMARC. Los estafadores falsifican los encabezados de los envíos comerciales para enviar actualizaciones modificadas de los manifiestos de carga a las autoridades portuarias y a los socios de seguimiento, desviando así los envíos de mercancías de gran valor hacia redes de tránsito fraudulentas.

La solución PowerDMARC

PowerDMARC protege las rutas comerciales con múltiples socios al garantizar que todas las actualizaciones automáticas, facturas y conocimientos de embarque salientes se verifiquen por completo antes de llegar a una pasarela externa.

Bajo el capó: cuatro debilidades estructurales

1. La «trampa del cumplimiento» de p=none

Un alto porcentaje de empresas mexicanas publica una huella DMARC básica, pero se queda estancada en un nivel pasivo p=none (lo que representa el 34,9 % de los registros del país). Esto proporciona una amplia visibilidad de supervisión, pero no hace absolutamente nada para detener un ataque activo de suplantación de dominio.

La opinión de los expertos:

«Las organizaciones suelen confundir la visibilidad con la seguridad. Aunque configurar un registro básico es un primer paso importante, el dominio sigue siendo vulnerable a los ataques hasta que la política se actualice activamente a la opción de “rechazar”. Para lograr una protección real, es necesario ir más allá de la simple supervisión y activar la defensa automatizada en la puerta de enlace de seguridad».

Maitham Al Lawati, Director General de PowerDMARC

La opinión de los expertos:

«Las redes empresariales modernas se basan en enormes pilas de software distribuidas que desbordan rápidamente los límites de consulta SPF heredados. La aplicación del «SPF Flattening» automatizado ya no es solo una tarea de limpieza, sino que resulta esencial para mantener la capacidad operativa de entrega y la legitimidad de la marca».

Yunes Tarada, Director de Prestación de Servicios, PowerDMARC

2. Complejidad del SPF y el límite de 10 búsquedas

A medida que las cadenas comerciales mexicanas implementan complejos ecosistemas en la nube para operaciones, marketing y recursos humanos, sus estructuras SPF superan habitualmente el límite estándar de 10 consultas DNS. Esto hace que los correos electrónicos comerciales legítimos no superen las comprobaciones automáticas y acaben en los filtros de spam de los destinatarios.

3. MTA-STS: el punto ciego del cifrado

Dado que el 99,6 % de los dominios mexicanos carecen de protocolos MTA-STS, los servidores de correo electrónico dependen por completo del cifrado oportunista. Esto deja los datos expuestos a ataques de degradación, en los que el tráfico se descifra y se convierte en texto sin cifrar legible.

La opinión de los expertos:

«Confiar en un cifrado simple y oportunista genera una sensación de seguridad muy frágil. Si no se aplica el protocolo MTA-STS, los atacantes pueden interceptar fácilmente los flujos de datos en tránsito, reduciendo la comunicación a texto sin cifrar. La aplicación de canales de transporte protegidos es un requisito imprescindible para preservar la confidencialidad de los datos en todo México».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

La opinión de los expertos:

«Un incidente de secuestro de DNS puede acabar de un plumazo con décadas de confianza ganada entre los clientes. La implementación de DNSSEC proporciona la confirmación criptográfica necesaria para garantizar que el tráfico se dirija a sus servidores auténticos, y no a una réplica maliciosa».

Ahona Rudra, directora de marketing, PowerDMARC

4. DNSSEC: la base de la confianza en la marca

La baja tasa de adopción de DNSSEC en México, del 9,9 %, significa que el 90,1 % de las identidades corporativas del país siguen expuestas a la manipulación de la caché y al secuestro de rutas.

Contáctenos

Comparativa regional: México en América Latina

Cuando se compara con otras economías latinoamericanas clave analizadas por PowerDMARC, México destaca por su elevada precisión en los aspectos básicos, pero presenta deficiencias al pasar a los niveles avanzados de control de la red.

Clasificación de América Latina: datos comparativos de 2026

País SPF Correcto Rechazo de DMARC MTA-STS DNSSEC
México 96.2% 16.2% 0.4% 9.9%
Brasil 92.1% 20.7% 0.7% 21.9%
Ecuador 96.1% 24.9% 1.4% 4.8%
Argentina 95.2% 18.5% 1.2% 1.8%
Perú 86.1% 17.9% 0.6% 4.6%

México en el punto de mira regional: análisis de 2026

1
La desconexión fundamental

México supera a la mayoría de sus homólogos regionales en materia de disciplina básica, con una tasa de precisión del SPF del 96,2 %, que le sitúa por delante de Argentina (95,2 %), Ecuador (96,1 %) y Brasil, líder económico de la región (92,1 %). Sin embargo, en lo que respecta a la defensa perimetral estricta, la tasa de aplicación estricta de México (16,2 % de rechazos) queda notablemente por detrás de Ecuador (24,9 %), Brasil (20,7 %) y Argentina (18,5 %). Si bien las organizaciones mexicanas destacan en la catalogación de servidores legítimos, siguen mostrándose más reticentes a bloquear de forma estricta el tráfico no autorizado que sus principales vecinos comerciales.

2
El término medio criptográfico

En lo que respecta a la adopción de DNSSEC, México se sitúa en un moderado 9,9 %. Aunque se queda por detrás del sólido nivel de referencia de Brasil, que alcanza el 21,9 %, México sigue estando bastante más avanzado que otros países de la región, como Perú (4,6 %), Ecuador (4,8 %) y Argentina (1,8 %), lo que pone de manifiesto un entorno más sólido en cuanto a la confianza en la protección contra la suplantación de identidad a nivel de registro.

3
El riesgo de la encriptación compartida

Al igual que en el resto de América Latina, el cifrado activo en la capa de transporte sigue siendo un importante punto débil a nivel regional. La tasa de validación MTA-STS de México, del 0,4 %, se sitúa muy cerca de la de Perú (0,6 %) y Brasil (0,7 %). Incluso los países con mejores resultados de la región, Argentina (1,2 %) y Ecuador (1,4 %), apenas superan el umbral del 1 %, lo que demuestra que la protección de las rutas de correo contra la interceptación activa de tipo «man-in-the-middle» (MiTM) sigue siendo una vulnerabilidad ampliamente ignorada en todo el continente.

Perspectiva de PowerDMARC

«La impresionante precisión del SPF de México pone de relieve las capacidades avanzadas de sus equipos técnicos, lo que convierte la baja tasa de cumplimiento del país en un punto de vulnerabilidad sorprendente y de gran importancia. Las organizaciones locales son muy eficaces en la autoidentificación, pero están poco preparadas para la defensa activa de los límites. El reto fundamental para 2026 es cerrar esta brecha, pasando de la supervisión pasiva a una p=rechazar para proteger el perímetro digital del país».

Conclusión: De las métricas a la acción

Los resultados de 2026 revelan que, si bien México ha establecido una base técnica sólida, el perímetro exterior sigue sin estar completo. Para desarrollar una verdadera resiliencia organizativa, los líderes empresariales deben dar prioridad a tres mejoras fundamentales:

Funcionalidades de PowerDMARC Enterprise

Pasarse a la aplicación automatizada

Los altos índices de SPF pierden su valor si el correo falsificado sigue pudiendo acceder a las bandejas de entrada de los usuarios. La transición de los dominios desde la política «p=none» a una política reforzada «p=reject» a través de Hosted DMARC detiene los intentos de suplantación de identidad en la puerta de enlace.

Cerrar las vías de tránsito

Dado que el 99,6 % de los dominios de correo electrónico están expuestos a la extracción de datos, la implementación de MTA-STS alojado es fundamental para garantizar que las comunicaciones corporativas entre múltiples socios permanezcan totalmente cifradas de extremo a extremo.

Reducir la complejidad de la consulta

Evita los errores internos que provocan que los correos legítimos de la empresa se marquen erróneamente como correo no deseado. La implementación de SPF alojado (SPF Flattening) garantiza la estabilidad del envío a medida que se amplían las redes en la nube.

Reservar una demostración Póngase en contacto con nosotros

Investigación y fuentes de datos

Metodología de PowerDMARC

Análisis de registros DNS

Consultas DNS activas en muestras de dominios de los ocho sectores, con recuperación y validación de registros SPF, DMARC, MTA-STS y DNSSEC según las normas RFC pertinentes.

Muestreo sectorial

Dominios identificados a partir de registros mexicanos de acceso público (como el mercado nacional de dominios .mx) y listados sectoriales de los sectores financiero, sanitario, gubernamental, educativo, energético, de los medios de comunicación, de las telecomunicaciones y del transporte.

Evaluación comparativa a nivel mundial

Todas las cifras de referencia proceden de los informes por países publicados por PowerDMARC sobre Australia, Polonia, los Países Bajos, Italia y Japón, y se han obtenido mediante una metodología de análisis de DNS coherente.

Clasificación de riesgos

Las calificaciones de riesgo sectorial se han obtenido a partir de un índice compuesto por la tasa de rechazo de la adopción, el porcentaje de dominios sin registro DMARC y la tasa de configuración incorrecta de SPF en los dominios analizados en México.

Reservar una demostración Póngase en contacto con nosotros

Convierta la visibilidad en defensa hoy mismo

Las elevadas tasas de adopción de tecnologías en México demuestran que los administradores de TI del país se encuentran entre los más competentes de la región; simplemente necesitan el mandato y las herramientas necesarias para poner en marcha la aplicación de las medidas.

No permitas que tu dominio siga siendo un sistema sofisticado que observa cómo se produce una brecha de seguridad, pero es incapaz de detenerla. Protege tu reputación y tus datos antes de que la próxima gran campaña de phishing transfronteriza se dirija a tu sector.

Ponte en contacto con nosotros en PowerDMARC para iniciar tu proceso, desde la supervisión hasta la aplicación estricta de las normas.

Prueba de 15 díasAgendar demo