Informe sobre la adopción de DMARC y MTA-STS en Perú en 2025

En 2021, el Ministerio Público de Perú informó casi un 93% de aumento en los casos de cibercrimen en comparación con el año anterior, entre los cuales el phishing y el ransomware fueron los métodos de ataque más comunes. Esto no ha pasado desapercibido para las autoridades. En septiembre de 2024, el Fondo Monetario Internacional (FMI) comenzó a asesorar a las autoridades financieras de Perú en el desarrollo de una estrategia nacional de ciberseguridad,señalando la urgencia del tema a nivel nacional.

Este informe ofrece un análisis técnico de la seguridad del correo electrónico y de los dominios en los sectores clave de Perú. Examina las debilidades de configuración y las brechas de seguridad comunes que dejan a las organizaciones vulnerables a los tipos de brechas que ahora están apareciendo en los titulares.

Solicitud de informe - Adopción de DMARC en Perú

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Métricas de seguridad del correo electrónico en Perú

Un análisis de los dominios en los principales sectores peruanos revela una paradoja preocupante. Mientras que la concienciación sobre seguridad del correo electrónico es relativamente alto, la aplicación de medidas que bloquean activamente las amenazas  es alarmantemente baja.

Perú SPF

SPF

Un sólido 86,1% de los dominios han implementado correctamente los registros SPF. Sin embargo, esto significa que casi 1 de cada 7 organizaciones sigue luchando con configuraciones erróneas o registros ausentes, arriesgándose al rechazo de correos electrónicos legítimos y creando lagunas de autenticación que los atacantes pueden explotar.

DMARC

Mientras que 66.0% de los dominios han publicado un registro DMARC esta cifra oculta una debilidad crítica. El 33.0% de los dominios no posee ningun registro DMARC lo que los deja indefensos ante la suplantación directa de dominio.

Aplicación de DMARC

Esta es la vulnerabilidad más importante de Perú. Sólo 17.9%  de los dominios aplican un p=rechazar política. Esto significa que más del 82% de las organizaciones con DMARC lo utilizan en modo de supervisión (p=ninguno), que no mantiene los correos fraudulentos fuera de las bandejas de entrada.

Perú MTA-STS

MTA-STS

Con una tasa de adopción de apenas el 0.6% la capa de transporte del correo electrónico es casi totalmente insegura. Esto expone casi todo el tráfico de correo electrónico de los dominios analizados a Man-in-the-Middle (MITM) y downgrade attacks, donde las comunicaciones sensibles pueden ser interceptadas y leídas en tránsito.

Logotipo BIMI

DNSSEC

Con sólo 4.6% de adopción, la gran mayoría de los dominios peruanos son vulnerables al envenenamiento y secuestro de la caché DNS. Esto permite a los atacantes redirigir a los usuarios a sitios maliciosos.

Prueba de 15 días

Análisis sectorial: Riesgos importantes

Sanidad: Los datos de los pacientes, en juego

La falta de adopción de normas de seguridad en el sector sanitario es una amenaza directa para la privacidad y seguridad de los pacientes. Los datos altamente sensibles están en peligro.

Métrica de seguridad Tasa de adopción
SPF Correcto 58.3%
DMARC Enforced (p=rechazo) 20.8%
Sin registro DMARC 37.5%
Adopción de MTA-STS 4.2%
Adopción de DNSSEC 8.3%

Casi 4 de cada 10 organizaciones sanitarias carecen de protección DMARC lo que supone un enorme descuido para un sector que maneja información sanitaria protegida. Esta deficiencia fue explotada en 2023 cuando los hackers atacaron un importante hospital de Lima en una campaña de phishing. Se hicieron pasar por el dominio de correo electrónico del hospital y enviaron facturas fraudulentas a los pacientes.

Por qué es importante:

Una sola filtración puede dejar al descubierto diagnósticos, planes de tratamiento y datos financieros confidenciales de los pacientes. Esto no solo da lugar a daños a la reputación y multas, sino que también pone en riesgo el bienestar del paciente al interrumpir la atención y difundir información médica errónea.

Solución PowerDMARC:

Proporcionamos a los proveedores sanitarios un camino claro y escalonado hacia la plena aplicación de DMARC (p=rechazo), que les ayuda a protegerse de los ataques de suplantación de identidad. Nuestras soluciones alojadas MTA-STS y TLS-RPT protegen los canales de comunicación de la información de los pacientes, lo que ayuda a las organizaciones a a cumplir las normativas de protección de datos y recuperar la confianza de los pacientes.

Servicios financieros: Defender la confianza digital

Como pilar fundamental de la economía, el sector financiero es un objetivo primordial para el fraude de alto riesgo. La situación actual en materia de seguridad revela una desconexión alarmante entre el valor de los activos protegidos y la solidez de las defensas implantadas.

Métrica de seguridad Tasa de adopción
SPF Correcto 84.4%
DMARC Enforced (p=rechazo) 18.8%
Sin registro DMARC 25.0%
Adopción de MTA-STS 0%
Adopción de DNSSEC 9.4%

En 1 de cada 4 instituciones financieras carece de DMARC y una ausencia total de MTA-STS los bancos, aseguradoras y empresas fintech peruanas están gravemente expuestos. Esta brecha permite ataques Business Email Compromise (BEC). En un incidente reciente, los atacantes suplantaron el dominio de un banco comercial para enviar solicitudes de transferencia bancaria a clientes corporativos, desviando con éxito cientos de miles de dólares antes de que se detectara el fraude.

Por qué es importante:

La confianza es la moneda del mundo financiero. Cada ataque de phishing con éxito erosiona la confianza de los clientes. Sin autenticación del correo electrónicoel sector sigue siendo vulnerable al fraude de facturas y al robo de credenciales.

Solución PowerDMARC:

Nuestra plataforma ofrece una vía simplificada para la aplicación estricta de DMARC. Al desplegar MTA-STS alojados, eliminamos el riesgo de interceptación del correo electrónico en tránsito, un requisito innegociable para salvaguardar las transacciones financieras y mantener la fidelidad de los clientes.

Gobierno: Los avances se ven socavados por las lagunas en la aplicación de la legislación

Los organismos gubernamentales están digitalizando rápidamente los servicios públicos. Aunque la adopción de SPF es fuerte, la falta de aplicación de DMARC crea un peligroso déficit de confianza.

Métrica de seguridad Tasa de adopción
SPF Correcto 94.3%
DMARC Enforced (p=rechazo) 26.1%
Sin registro DMARC 30.7%
Adopción de MTA-STS 0%
Adopción de DNSSEC 2.3%

A pesar de que el sector gubernamental lidera la implementación de SPF, casi un tercio de los dominios gubernamentales no tienen registro DMARC y sólo una cuarta parte bloquea activamente los correos fraudulentos. Esto permite a los hackers hacerse pasar por autoridades fiscales, agencias de seguridad social y otros organismos públicos para obtener datos sensibles de los ciudadanos o cometer fraudes.

Por qué es importante:

Cuando los ciudadanos no pueden confiar en un correo electrónico de una agencia gubernamental, todo el entramado de servicios públicos digitales está en peligro. Un correo electrónico seguro es de gran importancia para la seguridad nacional y el éxito de las iniciativas de administración electrónica.

Solución PowerDMARC:

Ayudamos a las entidades gubernamentales a cumplir con seguridad las nuevas exigencias de seguridad del correo electrónico. Nuestra plataforma acelera la aplicación de DMARC a p=rechazo y simplifica el despliegue de DNSSEC, creando una infraestructura de correo electrónico resistente y fiable para los dominios del sector público.

Agendar demo

Telecomunicaciones: Porteros con las puertas abiertas

Como guardianes de la conectividad nacional, los proveedores de telecomunicaciones tienen las llaves de las comunicaciones personales y corporativas. Su alarmante baja adopción de DMARC pone en peligro a millones de peruanos.

Métrica de seguridad Tasa de adopción
SPF Correcto 91.0%
DMARC Enforced (p=rechazo) 9.0%
Sin registro DMARC 43.3%
Adopción de MTA-STS 0%
Adopción de DNSSEC 1.5%

El sector de las telecomunicaciones tiene el mayor porcentaje de dominios sin registro DMARC entre todos los sectores analizados. Además, tiene la tasa más baja de aplicación de DMARC (apenas un 9,0 %), por lo que este sector se convierte en un gran objetivo para ataques como el fraude por intercambio de SIM, las notificaciones de facturación fraudulentas y las campañas de phishing.

Por qué es importante:

Una identidad de telecomunicaciones comprometida puede arruinar toda la vida digital de una persona. Los atacantes que se hacen pasar por un proveedor de telecomunicaciones pueden interceptar códigos de seguridad, apoderarse de cuentas y orquestar un robo de identidad generalizado.

Solución PowerDMARC:

Nuestras soluciones alojadas DMARC y MTA-STS están diseñadas para la escala y complejidad de las empresas de telecomunicaciones. Permitimos a los proveedores cerrar estas peligrosas brechas de seguridad, proteger las cuentas de los abonados frente a la apropiación y asegurar la reputación de su marca como comunicadores de confianza.

Transporte y logística: Expuestos a la interrupción de la cadena de suministro

El sector del transporte, que constituye una base esencial física de la economía, es muy vulnerable al fraude financiero y a la interrupción de las operaciones debido a su deficiente postura en materia de seguridad del correo electrónico.

Métrica de seguridad Tasa de adopción
SPF Correcto 80.0%
DMARC Enforced (p=rechazo) 13.3%
Sin registro DMARC 35.6%
Adopción de MTA-STS 0%
Adopción de DNSSEC 2.2%

Con más de un tercio de los dominios que carecen de registros DMARC y una total ausencia de cifrado de correo electrónico en tránsito (MTA-STS) las empresas de logística y transporte son objetivos prioritarios para el fraude de facturas y las estafas de envíos. Los piratas informáticos pueden hacerse pasar por estas empresas y enviar solicitudes de pago falsas a los clientes o redirigir envíos valiosos.

Por qué es importante:

Un ataque con éxito en este sector no sólo provoca pérdidas económicas; puede interrumpir cadenas logísticas enteras; el resultado son retrasos costosos, asociaciones empresariales dañadas y pérdida de confianza de los clientes.

Solución PowerDMARC:

Nuestra plataforma proporciona una aplicación DMARC guiada para bloquear facturas y comunicaciones fraudulentas. Al ayudar a desplegar MTA-STS, protegemos importantes mensajes operativos entre proveedores, transportistas y clientes.

Varios: Un grupo diverso con vulnerabilidades comunes

Esta categoría incluye varias organizaciones no clasificadas en otros sectores, desde el comercio minorista hasta la consultoría. Aunque se trata de categorías diversas y diferentes, comparten una falta común y peligrosa de madurez en la seguridad del correo electrónico.

Métrica de seguridad Tasa de adopción
SPF Correcto 88.9%
DMARC Enforced (p=rechazo) 11.1%
Sin registro DMARC 55.6%
Adopción de MTA-STS 0%
Adopción de DNSSEC 11.1%
Logotipo BIMI

Este sector tiene el tasa más alta de dominios sin registro DMARC (más del 55%) lo que los hace excepcionalmente fáciles de suplantar. Con una aplicación mínima de DMARC y una ausencia total de MTA-STS, estas empresas están expuestas a un amplio espectro de ataques, como el fraude de facturas, el fraude de CEO y las campañas de phishing dirigidas a sus empleados y clientes.

Por qué es importante:

Para las pequeñas y medianas empresas que a menudo componen este sector, un solo ciberataque con éxito puede ser un acontecimiento de nivel de extinción. El daño financiero y reputacional de una brecha puede ser muy difícil de recuperar.

Solución PowerDMARC:

Nuestra plataforma ofrece soluciones de seguridad del correo electrónico escalables y asequibles adaptadas a empresas de todos los tamaños. Proporcionamos un camino claro hacia la aplicación de DMARC y la seguridad de la capa de transporte, lo que permite incluso a las organizaciones más pequeñas lograr una postura de seguridad de nivel empresarial.

Prueba de 15 días

Educación: Un blanco fácil para el robo de credenciales

Las instituciones educativas, que gestionan grandes cantidades de datos personales e investigaciones valiosas, suelen ser consideradas objetivos fáciles por los ciberdelincuentes.

Métrica de seguridad Tasa de adopción
SPF Correcto 84.7%
DMARC Enforced (p=rechazo) 18.7%
Sin registro DMARC 22.0%
Adopción de MTA-STS 1.7%
Adopción de DNSSEC 8.5%

La aplicación de DMARC es muy escasa y casi no existe cifrado en la capa de transporte. Esto significa que las universidades y escuelas exponen a los estudiantes, profesores y personal a campañas de recogida de credenciales. Los correos electrónicos de phishing que se hacen pasar por departamentos de TI universitarios o portales académicos se utilizan habitualmente para robar credenciales de inicio de sesión, lo que permite a los hackers acceder a datos de investigación confidenciales, registros de estudiantes y sistemas internos.

Por qué es importante:

Una brecha en el sector educativo pone en peligro la propiedad intelectual, compromete la privacidad de los estudiantes y puede dañar la reputación académica de una institución. Los ataques exitosos pueden interrumpir el aprendizaje, comprometer la integridad de la investigación y exponer a una gran comunidad a aún más ciberamenazas.

Solución PowerDMARC:

Nuestra completa plataforma está diseñada para gestionar entornos de correo electrónico complejos con soluciones DMARC y MTA-STS escalables. Ayudamos a las instituciones educativas a proteger su campus digital, asegurar sus datos de investigación y salvaguardar la privacidad de sus estudiantes y personal frente a filtraciones.

Opiniones de expertos

Esto es lo que opinan los expertos de PowerDMARC:

"Nuestro análisis pone de relieve que, si bien en Perú está aumentando la concienciación sobre los protocolos de autenticación del correo electrónico, muchas organizaciones aún se encuentran en las primeras fases de su aplicación. Fortalecer la implementación de DMARC y adoptar la seguridad de la capa de transporte puede mejorar significativamente la confianza y la protección en todos los sectores. En PowerDMARC, apoyamos a las organizaciones a dar estos importantes pasos, sin problemas".

Maitham Al Lawati, Director General de PowerDMARC

"Proteger el correo electrónico requiere un enfoque multicapa, desde la aplicación de DMARC hasta la adopción de MTA-STS y la optimización continua de SPF. Nuestro objetivo siempre ha sido proporcionar una orientación clara y herramientas automatizadas para ayudar a las organizaciones a simplificar la gestión de la seguridad del correo electrónico, sin añadir complejidad operativa."

Yunes Tarada, Director de Prestación de Servicios, PowerDMARC

Evaluación comparativa: Europa desde una perspectiva peruana

Cuando se compara con varios países europeos, el panorama de la seguridad del correo electrónico en Perú revela una paradoja preocupante. Por un lado, Perú demuestra una sólida base en la autenticación básica del correo electrónico, con una tasa de corrección SPF (86,1%) que está a la par, e incluso supera, a algunos de sus homólogos europeos como Suecia y Noruega.

Sin embargo, esta fortaleza inicial enmascara vulnerabilidades importantes en las capas de seguridad activas más avanzadasdonde Perú se queda muy atrás. Mientras que su aplicación de DMARC (17,9%) es similar a la de Italia, está muy por debajo de los niveles observados en Bélgica y los países nórdicos. La divergencia es más marcada en la seguridad de la capa de transporte (MTA-STS con un 0,6%) y la integridad del dominio (DNSSEC con un 4,6%), donde los índices de adopción casi inexistentes de Perú contrastan con las protecciones más sólidas que se están implementando en toda Europa. Esta brecha pone de manifiesto un riesgo importante: aunque Perú es consciente de la seguridad del correo electrónico, su falta de aplicación lo deja mucho más expuesto a los ataques que sus homólogos europeos.

PaísCorrección SPFAplicación de DMARC (p=reject)Adopción de MTA-STSAdopción de DNSSEC

Bélgica		90.1%24.7%2.1%21.4%

Países Bajos		70.0%23.2%0.9%37.7%

Suecia		85.0%29.7%2.9%25.9%

Noruega		85.2%29.0%4.4%45.6%

Italia		91.0%16.7%1.0%3.5%

Perú		86.1%17.9%0.6%4.6%

Cuatro errores comunes que dificultan la seguridad del correo electrónico en Perú

Hay cuatro errores importantes que son bastante comunes en diferentes sectores en Perú.

1. Confundir vigilancia con protección

El error más extendido es implementar DMARC únicamente en modo de supervisión (p=ninguno). Más del 82% de las organizaciones con DMARC no lo utilizan para bloquear amenazas. Aunque esta política proporciona visibilidad sobre quién envía correo electrónico en su nombre, no impide que un correo malicioso llegue a la bandeja de entrada principal. Por eso a los hackers les gusta tanto p=none, ya que pueden hacer lo que quieran libremente mientras la organización permanece como espectadora.

2. Ignorar los datos en tránsito: La capa olvidada

La ausencia casi total de adopción de MTA-STS (el 99,4 % de los dominios no tienen protección) es un gran descuido. Sin ella, las comunicaciones por correo electrónico pueden verse obligadas a pasar por canales no cifrados, lo que permite a los atacantes interceptar, leer y alterar información confidencial en tránsito. Esto es muy peligroso para sectores como el financiero, el sanitario y el gubernamental, en los que se intercambian datos confidenciales a diario. Es peligroso creer que el TLS básico es suficiente para detener los ataques de degradación.

3. Descuidar los cimientos: Errores SPF y DNSSEC

Una casa construida sobre cimientos débiles se desmorona. Lo mismo ocurre con la seguridad del correo electrónico. El 14% de los dominios con registros SPF incorrectos o inexistentes corren el riesgo de que sus correos electrónicos legítimos se marquen como spam o se rechacen por completo, causando trastornos a la empresa. Y lo que es más grave, el 95,4% de los dominios sin DNSSEC son vulnerables al secuestro de DNS.

4. La mentalidad de "fijar y olvidar

La autenticación del correo electrónico no se configura una sola vez; es un proceso continuo de gestión. Los bajos índices de aplicación y los persistentes errores de SPF sugieren que muchas organizaciones implantan una configuración básica y luego no la gestionan. Se añaden nuevos proveedores de correo electrónico, plataformas de marketing y servicios de terceros. Si no se supervisan y actualizan SPF y DMARC las organizaciones pierden el control de su ecosistema de correo electrónico.

Por qué PowerDMARC: su socio en autenticación de dominios

Navegar por las complejidades de la autenticación de correo electrónico y lograr una postura de seguridad de dominio robusta requiere experiencia, visibilidad y control. PowerDMARC proporciona una plataforma basada en la nube y servicios gestionados diseñados para abordar varias vulnerabilidades identificadas en este informe y guiar a las organizaciones peruanas de un estado de riesgo pasivo a uno de defensa activa.

Un camino claro hacia la aplicación

En PowerDMARC, eliminamos el miedo y la complejidad de pasar a una política de política p=rechazar. Convertimos DMARC de una herramienta de información en un potente mecanismo de defensa.

Seguridad simplificada y alojada

La escasa adopción de MTA-STS y DNSSEC se debe a menudo a la complejidad percibida. PowerDMARC ofreceofrece soluciones alojadas y fáciles de implantar que eliminan la carga de configuración de su equipo.

Visibilidad unificada

Nuestra plataforma consolida DMARC, SPF, DKIM, MTA-STS, TLS-RPTy BIMI en un único panel de control fácil de usar, para que pueda ver toda su postura de seguridad en una sola plataforma.

Gestión automatizada e inteligente

Diga adiós a los errores SPF y a la gestión manual de registros. Nuestra plataforma incluye herramientas automatizadas como PowerSPF, que optimiza dinámicamente su registro SPF para evitar errores .

Orientación experta en cada paso

Somos más que un proveedor de software: somos su socio dedicado a la seguridad de dominios. Nuestro equipo de expertos ofrece orientación personalizada, desde la evaluación inicial hasta la aplicación completa y la gestión continua.

Inteligencia procesable sobre amenazas

Transforme los datos DMARC sin procesar en información práctica. Nuestra plataforma le ayuda a visualizar el tráfico de correo electrónico, detectar remitentes no autorizados y prevenir el próximo ataque de phishing con la ayuda de inteligencia avanzada sobre amenazas.

Reservar una demostración Póngase en contacto con nosotros

El camino a seguir: De la vigilancia pasiva a la defensa activa

Perú se encuentra en una coyuntura importante. La conciencia fundacional de la autenticación del correo electrónico está presente, pero ha creado una falsa sensación de seguridad. La dependencia de las políticas de solo supervisión y la falta de cifrado de la capa de transporte dejan la puerta abierta para que los piratas informáticos entren y ataquen.

Las organizaciones deben pasar de la observación pasiva a la defensa activa. Esto requiere un compromiso:

  1. Cumplimiento total de DMARC: Las organizaciones en Perú deben pasar de p=none a una política p=reject es la única forma de detener proactivamente la suplantación de dominios y los ataques de phishing.

  2. Proteger los datos en tránsito: Es importante adoptar MTA-STS para cerrar la puerta a la interceptación de correos electrónicos.
  3. Validación de la Fundación DNS: DNSSEC es indispensable para evitar el secuestro de DNS y garantizar que todas las demás medidas de seguridad del correo electrónico se apoyen en una base fiable.

PowerDMARC proporciona la experiencia, las herramientas y los servicios gestionados para guiar a las organizaciones peruanas a través de este viaje. Nuestra plataforma integrada simplifica las complejidades de SPF, DMARC, MTA-STS y DNSSEC, para que pueda realizar la transición de forma rápida y segura a un ecosistema de correo electrónico totalmente protegido.

Se acabó el tiempo de la concienciación. El momento de actuar es ahora.

Póngase en contacto con [email protected] para obtener una consulta personalizada y mejorar la seguridad de su correo electrónico hoy mismo.

Prueba de 15 díasAgendar demo