Informe sobre la adopción de DMARC y MTA-STS en Filipinas 2026

En los últimos años, el Sudeste Asiático se ha enfrentado a un aumento sin precedentes de las amenazas cibernéticas sofisticadas, y los ataques de ransomware en toda la región de Asia-Pacífico se han disparado en casi un 57 %. Filipinas se ha convertido en un objetivo principal dentro de este bloque económico en rápida digitalización; los datos de seguimiento de la ciberseguridad a nivel mundial muestran que las empresas de la Asociación de Naciones del Sudeste Asiático (ASEAN) se enfrentan ahora a unos costes medios por violación de datos que ascienden a 3,23 millones de dólares. Aunque muchas organizaciones filipinas cuentan con configuraciones técnicas básicas, la falta generalizada de una aplicación estricta y activa de las políticas ha creado profundas vulnerabilidades en los sectores económicos más vitales del país, dejando las comunicaciones corporativas, públicas y de infraestructura expuestas a una explotación activa. 

Resumen: Principales conclusiones en todo el país

El panorama nacional en materia de seguridad del correo electrónico pone de manifiesto las siguientes tendencias:

Filipinas SPF

SPF: 95,2 % de aciertos – Se ha logrado establecer una base técnica sólida en todo el país, aunque con pequeñas errores de configuración (4,7 % incorrecto) y omisiones poco frecuentes (0,1 % sin registro) persisten.

Filipinas DMARC

DMARC: Aunque muchos han adoptado medidas de visibilidad, solo el 17,0 % de los dominios aplica una política estricta de «rechazo». El resto del panorama se encuentra débilmente protegido bajo p=cuarentena (el 22,9 %), «solo supervisión» p=ninguna (23,1 %), o se expone abiertamente con un 36,5 % que carece por completo de un registro DMARC.

Filipinas MTA-STS

MTA-STS: Un enorme punto ciego a nivel nacional con un 99,4 % de no adopción, lo que deja el tráfico de correo electrónico de la capa de transporte altamente vulnerable a la interceptación en todo el país.

Filipinas DNSSEC

DNSSEC: Solo el 12,3 % está habilitado , lo que deja a un asombroso 87,7 % de los dominios vulnerables ante sofisticados ataques de secuestro de DNS, envenenamiento de caché y redireccionamiento malicioso del tráfico.

Prueba de 15 días

Análisis sectorial

1. Banca: gran concienciación, escaso uso del cifrado

Al ser el principal objetivo del fraude financiero avanzado, las entidades bancarias filipinas son las que más rigurosamente aplican el protocolo DMARC en el país; sin embargo, siguen estando totalmente expuestas a la interceptación en la capa de transporte.

Métrica Estado
SPF 94,3 % de aciertos (5,7 % de errores)
Rechazo de DMARC 36,2 % (líder a nivel nacional)
Políticas DMARC El 26,7 % en «cuarentena», el 22,8 % en «ninguna»
Brecha de DMARC El 14,3 % no tiene antecedentes
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 6,7 % activado (93,3 % desactivado)

Escenario de amenaza

Dado que el sector bancario presenta una brecha del 100,0 % en el cumplimiento de la norma MTA-STS, los datos transaccionales críticos circulan por canales no cifrados. Los atacantes pueden llevar a cabo «ataques de degradación» para eliminar el cifrado implementado de forma oportunista, interceptando mensajes de confirmación financiera de gran valor con el fin de desviar capital u obtener credenciales bancarias confidenciales.

La solución PowerDMARC

Con alojamiento MTA-STS automatizado, PowerDMARC redirige todo el correo electrónico entrante a canales cifrados TLS 1.2+, eliminando el riesgo de interceptación de tipo «hombre en el medio» (MiTM) y protegiendo los registros de comunicaciones bancarias altamente confidenciales.

2. Asistencia sanitaria: medidas de seguridad DMARC de alto nivel

La gestión de información confidencial de los pacientes, unida a una aplicación poco rigurosa de la normativa, convierte al sector sanitario filipino en un objetivo prioritario para la extorsión mediante el uso de datos y el robo de identidad.

Métrica Estado
SPF 97,6 % de aciertos (2,4 % de errores)
Rechazo de DMARC 19.3%
Políticas DMARC 21,7 % en «cuarentena», 20,5 % en «ninguna», 1,2 % de respuestas incorrectas
Brecha de DMARC El 37,3 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 9,6 % activado (90,4 % desactivado)

Escenario de amenaza

Una grave carencia combinada de registros DMARC (37,3 %) o de políticas de seguimiento pasivo permite a los atacantes suplantar fácilmente los dominios de hospitales y clínicas médicas. Los autores de las amenazas pueden enviar directamente al personal médico «informes sobre el estado de salud de los pacientes» que parecen auténticos o facturas falsas de material médico que contienen cargas maliciosas de ransomware.

La solución PowerDMARC

Guiamos a los profesionales sanitarios a través de un proceso de implementación estructurado para pasar sin problemas del modo de monitorización a un modo estricto política de rechazo , neutralizando las campañas de phishing antes de que lleguen a las bandejas de entrada del personal clínico.

3. Gobierno: Infraestructuras basadas en una supervisión flexible

Las comunicaciones oficiales tienen el peso del Estado. Mientras que las redes gubernamentales muestran una excelente estructura básica, las laxas normas de supervisión dejan la puerta abierta a la manipulación.

Métrica Estado
SPF 98,2 % de aciertos (1,8 % de errores)
Rechazo de DMARC 6.2%
Políticas DMARC El 24,1 % en «cuarentena», el 25,9 % en «ninguna»
Brecha de DMARC El 43,8 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 16,1 % activado

Escenario de amenaza

Dado que solo el 6,2 % de los dominios gubernamentales rechaza activamente los correos electrónicos falsificados y el 43,8 % no está configurado en absoluto, las identidades de los organismos estatales son muy vulnerables. Los ciberdelincuentes pueden suplantar con éxito la identidad de departamentos oficiales para difundir directivas normativas falsas o llevar a cabo ataques de spear-phishing contra empleados públicos.

La solución PowerDMARC

Nuestro panel de control multitenant permite a los organismos públicos centrales supervisar y proteger amplias redes de subdominios (por ejemplo, .gov.ph) desde un único panel, lo que simplifica la transición a un estricto p=reject.

Agendar demo

4. Educación: una infraestructura sólida, pero una aplicación deficiente de las políticas

Los centros académicos albergan una gran cantidad de datos sobre los estudiantes y de propiedad intelectual derivada de la investigación, lo que pone de manifiesto una sólida coherencia en los principios fundamentales, pero también unos criterios de aplicación notablemente laxos.

Métrica Estado
SPF 98,4 % de aciertos (1,6 % sin datos)
Rechazo de DMARC 19.4%
Políticas DMARC 9,7 % en «cuarentena», 25,8 % en «ninguna»
Brecha de DMARC El 45,2 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 19,4 % habilitado (líder del sector)
Adopción de DNSSEC en el ámbito educativo: Filipinas

Escenario de amenaza

Los atacantes se aprovechan del elevado porcentaje de registros DMARC que faltan (45,2 %) para suplantar la identidad de departamentos académicos, enviando a los estudiantes actualizaciones falsas que parecen proceder del «Portal de pago de matrículas» o enlaces falsos de revisión por pares al personal docente, con el fin de sustraer credenciales de inicio de sesión y datos financieros.

La solución PowerDMARC

Las instituciones académicas suelen superar el límite de 10 consultas DNS debido a las herramientas de software en la nube de los departamentos, que funcionan de forma independiente. PowerSPF comprime estas configuraciones, garantizando que la correspondencia universitaria legítima nunca se descarte accidentalmente debido a limitaciones técnicas.

5. Energía: un punto ciego crítico en la cadena de suministro

El sector energético presenta una alineación básica aceptable, pero deja la mitad de su ecosistema sectorial sin ningún tipo de supervisión.

Métrica Estado
SPF 85,2 % de aciertos (14,8 % de errores)
Rechazo de DMARC 9.3%
Políticas DMARC 29,6 % en «cuarentena», 11,1 % en «ninguna»
Brecha de DMARC El 50,0 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 13,0 % habilitado
Adopción del SPF en el sector energético - Filipinas

Escenario de amenaza

Dado que exactamente la mitad (50,0 %) de los dominios del sector energético carecen por completo de protección DMARC, los delincuentes pueden suplantar fácilmente la identidad de fabricantes de equipos y proveedores de servicios públicos. Estas comunicaciones falsas se utilizan para emitir solicitudes fraudulentas en la cadena de suministro o para introducir archivos maliciosos diseñados para infiltrarse en entornos de tecnología operativa.

La solución PowerDMARC

PowerDMARC integra la validación DMARC con los protocolos MTA-STS alojados, verificando la legitimidad del remitente y garantizando al mismo tiempo que los mensajes que pasan por nodos externos permanezcan totalmente cifrados.

6. Medios de comunicación: alta vulnerabilidad y escasas defensas

Los medios de comunicación gozan de una gran visibilidad pública, y unos controles deficientes del correo electrónico permiten que personas malintencionadas se aprovechen de la confianza que el público deposita en ellos.

Métrica Estado
SPF 93,8 % de aciertos (6,2 % de errores)
Rechazo de DMARC 5,3 % (el más bajo del sector)
Políticas DMARC 14,2 % en «cuarentena», 29,2 % en «ninguna», 1,8 % incorrectas
Brecha de DMARC El 49,5 % no tiene antecedentes
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 14,2 % activado
Adopción de DMARC en los medios de comunicación: Filipinas

Escenario de amenaza

La grave ausencia de registros DMARC —un 49,5 %— unida a la tasa de cumplimiento más baja del país —un 5,3 %— permite a los atacantes falsificar nombres de dominio de medios de comunicación para difundir noticias falsas, comunicados de prensa falsos o correos electrónicos de phishing dirigidos a los departamentos de comunicación de las empresas, lo que provoca graves consecuencias en la confianza del público.

La solución PowerDMARC

Ayudamos a las empresas de medios de comunicación a configurar los Indicadores de marca para la identificación de mensajes (BIMI), colocando logotipos corporativos verificados directamente en las bandejas de entrada de los destinatarios como sello certificado de autenticidad.

Prueba de 15 días

7. Telecomunicaciones: alto nivel de cuarentena, bajo nivel de rechazo activo

Las telecomunicaciones constituyen la base digital del país; sin embargo, un enfoque reactivo pone en peligro a millones de usuarios de telefonía móvil e Internet.

Métrica Estado
SPF 96,2 % de aciertos (3,8 % de errores)
Rechazo de DMARC 23.1%
Política DMARC 50,0 % en «cuarentena» (líder del sector), 15,4 % en «ninguna»
Brecha de DMARC El 11,5 % no tiene antecedentes
MTA-STS 3,8 % válidos
DNSSEC 3,8 % activado
Logotipo BIMI

Escenario de amenaza

Los estafadores se hacen pasar por operadores de redes de telecomunicaciones para enviar avisos de emergencia sobre «cuentas suspendidas». Dado que la mitad (50,0 %) de los dominios de telecomunicaciones permanecen inactivos en en cuarentena en lugar de bloquearse directamente, los mensajes falsificados pueden seguir eludiendo los filtros o aparecer en las carpetas de correo no deseado, lo que ofrece a los estafadores una vía para extraer datos de los suscriptores y facilitar los ataques de intercambio de SIM.

La solución PowerDMARC

Aplicamos una transición inmediata a p=rechazar en todos los ecosistemas de operadores, impidiendo que los atacantes utilicen identificadores de telecomunicaciones legítimos para explotar la base de abonados.

8. Transporte: hacia una mayor seguridad

Los operadores logísticos dependen en gran medida del intercambio continuo de información; cualquier ruptura de la confianza puede alterar las cadenas de suministro físicas.

Métrica Estado
SPF 95,3 % de aciertos (4,7 % de errores)
Rechazo de DMARC 22.1%
Políticas DMARC El 26,7 % en «cuarentena», el 22,1 % en «ninguna»
Brecha de DMARC El 29,1 % carece por completo de DMARC
MTA-STS 3,5 % válidos (96,5 % sin registro)
DNSSEC 11,6 % activado
Adopción del SPF en el sector del transporte - Filipinas

Escenario de amenaza

La falta de registros DMARC (29,1 %) ofrece a los delincuentes una vía fácil para suplantar la identidad de las empresas de transporte, enviando manifiestos de carga modificados o datos de ruta alterados a los socios logísticos con el fin de desviar los pagos de los envíos hacia cuentas fraudulentas.

La solución PowerDMARC

PowerDMARC protege el panorama comercial garantizando que cada albarán de entrega y cada factura automatizada se autentique y verifique antes de llegar a la pasarela de un socio.

Bajo el capó: cuatro debilidades estructurales

1. La «trampa del cumplimiento» de p=none

Muchas empresas filipinas configuran un registro DMARC básico, pero se quedan en política p=none (con una media del el 23,1 % a nivel nacional). Esto permite obtener visibilidad sobre el tráfico del dominio, pero no ofrece ninguna barrera preventiva contra la suplantación de dominio saliente.

La opinión de los expertos:

«Aunque las organizaciones de Filipinas están empezando a alcanzar una visibilidad técnica aceptable, siguen siendo muy vulnerables a las campañas de suplantación de identidad hasta que adopten de forma activa una política de «rechazo» obligatorio. La verdadera defensa no se consigue simplemente vigilando la amenaza; requiere impedir el acceso en la puerta de entrada».

Maitham Al Lawati, Director General de PowerDMARC

La opinión de los expertos:

«La complejidad de las infraestructuras empresariales modernas hace que los grandes grupos corporativos se enfrenten constantemente a errores de umbral de búsqueda. La implementación del «SPF Flattening» automatizado es un requisito fundamental para garantizar la continuidad del envío y proteger la confianza en el remitente».

Yunes Tarada, Director de Prestación de Servicios, PowerDMARC

2. Complejidad del SPF y el límite de 10 búsquedas

A medida que las empresas locales integran una amplia gama de aplicaciones en la nube de terceros, sistemas de gestión de nóminas y herramientas de marketing, sus registros SPF suelen superar el límite estándar de 10 consultas DNS. Este fallo estructural hace que las comunicaciones corporativas legítimas no superen los controles de validación y acaben en la carpeta de correo no deseado.

3. MTA-STS: el punto ciego del cifrado

Con el 99,4 % de los dominios filipinos operan sin MTA-STS, el transporte de correo electrónico se basa en el cifrado oportunista. Esto expone las comunicaciones a ataques de degradación, en los que los datos se extraen en texto plano sin cifrar.

La opinión de los expertos:

«Confiar en el cifrado oportunista genera una falsa sensación de seguridad. Sin la aplicación de MTA-STS, un atacante puede forzar fácilmente que las transferencias de correo se realicen en texto sin cifrar mediante la manipulación a nivel de red. Para los operadores filipinos, la implementación de rutas de cifrado gestionadas es fundamental para mantener la confidencialidad de la carga útil de extremo a extremo».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

La opinión de los expertos:

«El secuestro de DNS puede acabar con años de confianza ganada por la empresa en cuestión de segundos. La implementación de DNSSEC proporciona la verificación criptográfica necesaria para garantizar que el tráfico de Internet llegue a sus servidores legítimos y no a la réplica de un atacante».

Ahona Rudra, directora de marketing, PowerDMARC

4. DNSSEC: la base de la confianza en la marca

Con una tasa de adopción global de tan solo el 12,3 %, el 87,7 % deja a las empresas enormemente expuestas a ataques maliciosos de redireccionamiento de rutas y de envenenamiento de caché.

Contáctenos

Comparativa global: Filipinas en contexto

Filipinas se presenta como un entorno emergente con una sólida precisión de base (SPF), pero que sigue estando muy por detrás en cuanto a cifrado de transporte activo (MTA-STS), seguridad de la infraestructura DNS (DNSSEC) y aplicación automatizada estricta (DMARC Reject) en comparación con otros países del mundo.

Clasificación mundial: datos comparativos de 2026

País SPF Correcto Rechazo de DMARC MTA-STS DNSSEC
Filipinas 95.2% 17.0% 0.6% 12.3%
Brasil 92.1% 20.7% 0.7% 21.9%
Ecuador 96.1% 24.9% 1.4% 4.8%
Australia 92.3% 46.7% 5.8% 6.8%
Polonia 98.9% 21.2% 0.9% 15.7%
Países Bajos 70.0% 23.2% 0.9% 37.7%
Italia 91.0% 16.7% 1.0% 3.5%
Japón 95.0% 9.2% 0.5% 16.4%

Filipinas en el punto de mira mundial: análisis de 2026

1
La desconexión fundamental

Filipinas muestra una sólida concordancia básica con la precisión del SPF en un el 95,2 %, superando a países de la región como Brasil (92,1 %) e igualando a Japón (95,0 %). Sin embargo, su tasa real de cumplimiento (17,0 % de rechazos) pone de manifiesto una clara brecha de ejecución en comparación con líderes como Australia (46,7 %). Las organizaciones locales destacan a la hora de incluir servidores válidos en sus listas, pero se muestran reacias a bloquear los no autorizados.

2
La brecha criptográfica

A diferencia de Brasil, que supera a muchos países con una tasa de adopción de DNSSEC del 21,9 %, Filipinas se sitúa por debajo, con un el 12,3 %. Aunque está por delante de países como Italia (3,5 %) y Ecuador (4,8 %), esto pone de manifiesto la clara necesidad de una implementación más amplia en los registros regionales para garantizar la integridad básica de las búsquedas.

3
La brecha del cifrado

En consonancia con las tendencias mundiales, la adopción del MTA-STS se sitúa en un mínimo crítico del 0,6 %. Al igual que ocurre en Japón (0,5 %) y Brasil (0,7 %), el enrutamiento seguro en la capa de transporte sigue siendo una vulnerabilidad sin resolver en casi todos los sectores.

Perspectiva de PowerDMARC

«Filipinas ha establecido una base técnica muy loable para la visibilidad de los dominios gracias a la gran precisión de su SPF a nivel nacional; sin embargo, las deficiencias en la aplicación de las políticas siguen constituyendo una vulnerabilidad significativa. Las organizaciones locales destacan en la instalación inicial y la configuración de los dominios, pero se quedan atrás en lo que respecta a la defensa activa del perímetro. La directriz clara es pasar de la observación pasiva a la aplicación estricta, transformando las configuraciones de visibilidad existentes en p=rechazar ».

Conclusión: De las métricas a la acción

Los datos de 2026 indican que, si bien Filipinas ha establecido una sólida base, el perímetro defensivo sigue estando en gran medida incompleto. Para proteger su futuro digital, las organizaciones deberían centrarse en tres mejoras principales:

Superar la monitorización

Un factor de protección solar (SPF) alto y la implementación básica de DMARC no sirven de mucho si el correo falsificado sigue llegando a las bandejas de entrada de los usuarios. La transición de los dominios del modo de supervisión a un estado estricto de «p=reject» mediante Hosted DMARC garantiza que el correo no autorizado se bloquee en la puerta de enlace.

Protección de los datos durante la transmisión

Dado que el 99,4 % de la red está expuesta a la manipulación del tráfico, la implementación de un MTA-STS alojado es fundamental para garantizar que las comunicaciones empresariales sigan estando protegidas contra la interceptación.

Mantener el flujo operativo

Elimine los errores de configuración de la verificación que pueden afectar a la correspondencia corporativa legítima. La implementación de SPF alojado garantiza la fiabilidad de la entrega a medida que los entornos en la nube se vuelven más complejos.

Reservar una demostración Póngase en contacto con nosotros

Investigación y fuentes de datos

Metodología de PowerDMARC

Análisis de registros DNS

Consultas DNS activas en muestras de dominios de los ocho sectores, con recuperación y validación de registros SPF, DMARC, MTA-STS y DNSSEC según las normas RFC pertinentes.

Muestreo sectorial

Dominios identificados a partir de registros de acceso público y listados sectoriales de Filipinas en los ámbitos financiero (bancario), sanitario, gubernamental, educativo, energético, de los medios de comunicación, de las telecomunicaciones y del transporte.

Evaluación comparativa a nivel mundial

Todas las cifras de referencia proceden de los informes nacionales publicados por PowerDMARC sobre Brasil, Australia, Polonia, los Países Bajos, Italia y Japón, y se han obtenido mediante una metodología de análisis de DNS coherente.

Clasificación de riesgos

Las calificaciones de riesgo sectorial se han obtenido a partir de un índice compuesto por la tasa de rechazo de p, la proporción de dominios sin registro DMARC, la configuración incorrecta de SPF y la baja tasa de adopción de MTA-STS en los dominios analizados de Filipinas.

Reservar una demostración Póngase en contacto con nosotros

Convierta la visibilidad en defensa hoy mismo

Las elevadas tasas de adopción de tecnologías en Filipinas demuestran que los administradores de TI del país se encuentran entre los más competentes de la región; simplemente necesitan el mandato y las herramientas necesarias para poner en marcha la aplicación de las medidas.

No permitas que tu dominio siga siendo un sistema sofisticado que observa cómo se produce una brecha de seguridad, pero es incapaz de detenerla. Protege tu reputación y tus datos antes de que la próxima gran campaña de phishing transfronteriza se dirija a tu sector.

Ponte en contacto con nosotros en PowerDMARC para iniciar tu proceso, desde la supervisión hasta la aplicación estricta de las normas.

Prueba de 15 díasAgendar demo