Informe sobre la adopción de DMARC y MTA-STS en Arabia Saudí (KSA) para 2026

Riad está acelerando la Visión 2030 mediante megaproyectos como NEOM y un ecosistema fintech en auge. Sin embargo, este salto digital ha ampliado la superficie de ataque. En respuesta a ello, la Autoridad Nacional de Ciberseguridad (NCA) ha aplicado el ECC-2:2024 (Controles esenciales de ciberseguridad).

Mientras que el 73 % de las organizaciones saudíes ahora priorizan los riesgos digitales y relacionados con la tecnología, un porcentaje significativamente superior al promedio mundial del 51 %, sigue existiendo una brecha técnica crítica. Este análisis de PowerDMARC de 1234 dominios en 18 sectores revela un buen comienzo en la autenticación básica (SPF), pero se queda atrás en la aplicación (DMARC p=reject) y el cifrado (MTA-STS).

Solicitud de informe: adopción de DMARC en Arabia Saudí (KSA)

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Métricas de seguridad del correo electrónico de KSA

El Reino se enfrenta a una importante «brecha en la aplicación de la ley».

SPF


DMARC

KSA-DMARC

MTA-STS

KSA-MTA-STS

DNSSEC

KSA-DNSSEC

MétricaTasa de adopciónEstadoNivel de riesgo
Adopción del SPF80.6%BienBajo (aunque 1 de cada 6 sigue suspendiendo)
Cobertura DMARC54.4%ModeradoCRÍTICO (el 45,6 % NO tiene DMARC)
Aplicación de DMARC (p=reject)18.4%FracasarULTRA ALTO (el 81,6 % son pasivos)
Adopción de MTA-STS0.2%Extremadamente bajoMÁXIMO (99,8 % expuesto a MITM)
Adopción de DNSSEC11.9%PobreAlta

Traducción: Los atacantes pueden suplantar fácilmente 4 de cada 5 dominios saudíes. 

Prueba de 15 días

Desglose por sectores

1. Gobierno

El sector gubernamental es líder nacional en la aplicación de DMARC, impulsado por la mandatos ECC-2:2024 de la Autoridad Nacional de Ciberseguridad (NCA) . Sin embargo, aquí es donde más está en juego.

Métrica Porcentaje
SPF 77.7%
DMARC (Rechazar) 31.4%
Sin DMARC 39.9%
MTA-STS 0.0%
DNSSEC 24.6%
Adopción del SPF por parte del Gobierno

La amenaza

En 2026, los actores maliciosos de la web oscura filtraron credenciales de inicio de sesión de varios sistemas, incluidas las plataformas del Ministerio de Recursos Humanos.

Impacto de la Visión 2030

La suplantación de plataformas de confianza no solo roba datos, sino que erosiona la confianza en la «primacía digital» que es fundamental para la modernización de Arabia Saudí.

Solución PowerDMARC

PowerDMARC automatiza la ruta a p=reject para cumplir con los mandatos de NCA ECC-2:2024, lo que garantiza que los dominios .gov.sa estén protegidos contra la suplantación de identidad patrocinada por el Estado.

2. Banca

Bajo la estricta supervisión de SAMA (Banco Central de Arabia Saudita) y su Marco de Ciberseguridad, el sector bancario es el más fortificado.

Protocolo de seguridad Tasa de adopción
SPF 92.6%
DMARC (Rechazar) 48.2%
Sin DMARC 18.5%
MTA-STS 0.0%
DNSSEC 14.8%
Adopción de SPF en el sector bancario

La amenaza

Las filtraciones recientes anunciaron más de más de 690 000 registros de cuentas de alto valor de bancos saudíes en foros chinos de ciberdelincuencia.

El riesgo de la «última milla»

Aunque casi el 50 % ha alcanzado p=rechazar, los dominios restantes siguen siendo vulnerables al el compromiso del correo electrónico empresarial (BEC).

Solución PowerDMARC

Nuestra plataforma se ajusta al Marco de Ciberseguridad de la SAMA al aplicar políticas DMARC estrictas y proporcionar informes forenses cifrados para detener el fraude financiero y el BEC.

3. Energía

La columna vertebral de la economía saudí. Tras las campañas de 2026 dirigidas contra las principales , la vulnerabilidad de este sector es una cuestión de seguridad nacional.

Protocolo de seguridad Tasa de adopción
SPF 92.0%
DMARC (Rechazar) 32.0%
Sin DMARC 36.0%
MTA-STS 0.0%
DNSSEC 22.0%

Riesgo de OT

Los atacantes utilizan correos electrónicos falsos de proveedores para distribuir ransomware que une los sistemas de TI y OT, lo que pone en peligro la producción de petróleo.

Solución PowerDMARC

PowerDMARC protege las cadenas de suministro energéticas globales identificando y bloqueando los correos electrónicos falsificados de proveedores que tienen como objetivo infraestructuras críticas de tecnología operativa (OT).

Agendar demo

4. Tecnología

El sector que está construyendo el futuro del Reino es el más expuesto técnicamente.

Protocolo de seguridad Tasa de adopción
SPF 79.6%
DMARC (Rechazar) 6.9%
Sin DMARC 58.0%
MTA-STS 0.0%
DNSSEC 6.3%

Robo de propiedad intelectual

El 58 % de los dominios no ofrecen ninguna protección. Esto se aprovecha para suplantar la identidad de importantes empresas de capital riesgo con el fin de estafar a fundadores de empresas tecnológicas.

Solución PowerDMARC

Resolvemos el problema identificando al instante a los remitentes no autorizados en los grandes ecosistemas tecnológicos, protegiendo la propiedad intelectual y las comunicaciones relacionadas con la financiación de empresas emergentes.

5. Asistencia sanitaria

Un objetivo principal del ransomware y el robo de información médica protegida (PHI).

Protocolo de seguridad Tasa de adopción
SPF 79.5%
DMARC (Rechazar) 20.4%
Sin DMARC 41.9%
MTA-STS 1.1%
DNSSEC 7.5%

Privacidad del paciente

Se están utilizando facturas médicas falsificadas para recopilar datos biométricos, que no se pueden restablecer como una contraseña en caso de robo.

Solución PowerDMARC

PowerDMARC protege los datos de los pacientes mediante la autenticación de correos electrónicos y MTA-STS alojado, lo que garantiza que las comunicaciones y los registros médicos permanezcan cifrados y sin manipular.

6. Entidades reguladas por la CMA

Las entidades de la Autoridad del Mercado de Capitales actúan como guardianes de la riqueza. Su falta de aplicación de la ley supone un riesgo sistémico para el mercado bursátil saudí.

Protocolo de seguridad Tasa de adopción
SPF 83.6%
DMARC (Rechazar) 25.0%
Sin DMARC 34.3%
MTA-STS 1.6%
DNSSEC 8.6%
Logotipo BIMI

Manipulación del mercado

Las alertas falsas sobre el mercado pueden desencadenar ventas motivadas por el pánico o estafas de «inflar y vender».

Solución PowerDMARC

Proporcionamos información sobre amenazas en tiempo real para detener los intentos de suplantación de identidad que manipulan el mercado, garantizando que las comunicaciones con los inversores sigan siendo auténticas.

Prueba de 15 días

7. Telecomunicaciones

La puerta de enlace crítica para ataques de intercambio de SIM y eludir la autenticación multifactorial (MFA).

Protocolo de seguridad Tasa de adopción
SPF 84.2%
DMARC (Rechazar) 14.5%
Sin DMARC 40.7%
MTA-STS 0.0%
DNSSEC 9.2%
Adopción de SPF en telecomunicaciones

La estafa

Las facturas falsas de telecomunicaciones permiten a los atacantes recopilar credenciales que utilizan para engañar a los agentes del servicio de atención al cliente.

Solución PowerDMARC

PowerDMARC previene los desencadenantes del intercambio de SIM y la apropiación de cuentas bloqueando las alertas de facturación fraudulentas y los intentos de ingeniería social enviados desde dominios de telecomunicaciones falsificados.

10. Comercio minorista y comercio electrónico

Aprovechar el elevado poder adquisitivo de los consumidores del Reino.

Protocolo de seguridad Tasa de adopción
SPF 64.0%
DMARC (Rechazar) 8.0%
Sin DMARC 64.0%
MTA-STS 0.0%
DNSSEC 8.0%

Estafas navideñas

Los descuentos falsosde marcas minoristas suplantadas recopilan datos de tarjetas de crédito durante el aumento de compras del Ramadán.

Solución PowerDMARC

Protegemos las marcas minoristas durante temporadas de alto tráfico, como el Ramadán, bloqueando ofertas de descuento falsas y campañas de phishing que recopilan datos de pago de los clientes.

11. Construcción

Gigaestafas para los gigaproyectos.

Protocolo de seguridad Tasa de adopción
SPF 84.0%
DMARC (Rechazar) 4.0%
Sin DMARC 52.0%
MTA-STS 0.0%
DNSSEC 0.0%

Giga-Estafas

Las facturas falsas dirigidas a proyectos de construcción a gran escala desvían miles de millones en capital.

Solución PowerDMARC

PowerDMARC protege las cadenas de suministro de proyectos gigantescos contra fraudes en facturas por valor de varios millones de dólares mediante la aplicación de una estricta protección de dominios para contratistas y desarrolladores.

12. Seguros

Identidad personal y fraude en reclamaciones.

Protocolo de seguridad Tasa de adopción
SPF 92.3%
DMARC (Rechazar) 18.0%
Sin DMARC 23.1%
MTA-STS 0.0%
DNSSEC 12.8%
Adopción del SPF de seguros

Fraude en reclamaciones

Los correos electrónicos falsos sobre seguros se utilizan para denegar pagos o robar datos confidenciales.

Solución PowerDMARC

Nuestra solución garantiza la autenticación de las reclamaciones y las comunicaciones relacionadas con las pólizas, lo que impide que los atacantes roben datos médicos confidenciales mediante correos electrónicos falsos relacionados con los seguros.

13. Finanzas

Una superficie enorme fuera de los bancos regulados por la SAMA.

Protocolo de seguridad Tasa de adopción
SPF 65.2%
DMARC (Rechazar) 4.4%
Sin DMARC 56.6%
MTA-STS 0.0%
DNSSEC 13.0%

Riesgo de las pymes

El fraude en las facturas a través de dominios financieros falsificados suele paralizar a las pequeñas y medianas empresas.

Solución PowerDMARC

Cubrimos la brecha de seguridad de las pymes y empresas financieras al proporcionar una plataforma fácil de gestionar que detiene el fraude en las facturas y el compromiso del correo electrónico empresarial (BEC).

14. Transporte y logística

La ambición del centro logístico se enfrenta a un problema de «control digital».

Protocolo de seguridad Tasa de adopción
SPF 84.8%
DMARC (Rechazar) 10.9%
Sin DMARC 60.8%
MTA-STS 0.0%
DNSSEC 8.7%

Redirección de carga

Los correos electrónicos falsos de Los correos electrónicos falsos de las compañías navieras se utilizan para redirigir la carga y estafar con las tarifas.

Solución PowerDMARC

PowerDMARC protege la «Ruta de la Seda Digital» al prevenir el robo de mercancías y el desvío logístico mediante la autenticación de manifiestos de embarque y alertas de transporte.

15. Bienes inmuebles

Las transacciones de alto valor y baja frecuencia son un terreno propicio para el fraude electrónico.

Protocolo de seguridad Tasa de adopción
SPF 100.0%
DMARC (Rechazar) 16.7%
Sin DMARC 33.3%
MTA-STS 0.0%
DNSSEC 16.7%

Fraude en el depósito en garantía

Dominios inmobiliarios falsos ofrecen credenciales de phishing para cometer fraudes por valor de millones en facturas.

Solución PowerDMARC

Protegemos las transacciones inmobiliarias de alto valor garantizando que solo se puedan enviar correos electrónicos auténticos y verificados desde prestigiosos dominios de promoción inmobiliaria.

16. Viajes y turismo

Afectando a millones de viajeros.

Protocolo de seguridad Tasa de adopción
SPF 81.8%
DMARC (Rechazar) 0.0%
Sin DMARC 63.6%
MTA-STS 0.0%
DNSSEC 0.0%

Fraude en el Hajj/Umrah

El 0 % de cumplimiento significa que los atacantes pueden suplantar a Saudi Airlines o a los ministerios del Hajj a su antojo. Los peregrinos son blanco de falsos mensajes de phishing sobre «reembolsos de visados» o «actualizaciones de reservas».

Solución PowerDMARC

PowerDMARC protege a los peregrinos y turistas bloqueando las reservas fraudulentas y las estafas relacionadas con los visados que suplantan la identidad de las aerolíneas y los ministerios de turismo.

17. Alimentos y bebidas

Interrupciones en la cadena de suministro que amenazan la seguridad alimentaria.

Protocolo de seguridad Tasa de adopción
SPF 72.7%
DMARC (Rechazar) 0.0%
Sin DMARC 72.7%
MTA-STS 0.0%
DNSSEC 0.0%

Problemas de suministro

Los pedidos falsos de renombrados, pero suplantados, dominios de comida y bebida pueden interrumpir las cadenas o provocar un enorme desperdicio logístico.

Solución PowerDMARC

Nuestra plataforma evita problemas en la cadena de suministro mediante la autenticación de órdenes de compra y comunicaciones logísticas, lo que garantiza la integridad del suministro alimentario nacional.

18. Tecnología financiera

El sector basado en la confianza digital está amenazado.

Protocolo de seguridad Tasa de adopción
SPF 100.0%
DMARC (Rechazar) 0.0%
Sin DMARC 0.0%
MTA-STS 0.0%
DNSSEC 0.0%

Agotamiento de la cartera

Las alertas de pago falsas pueden provocar pérdidas económicas directas a millones de usuarios de aplicaciones.

Solución PowerDMARC

Permitimos un escalado rápido y seguro para las empresas fintech al trasladar los dominios de p=none pasivo a p=reject activo sin interrumpir el flujo crítico de correos electrónicos transaccionales.

Bajo el capó: cuatro debilidades estructurales en KSA

Más allá de los datos específicos del sector, cuatro vulnerabilidades sistémicas comprometen las defensas digitales del Reino. A medida que Arabia Saudita avanza hacia Visión 2030, la brecha entre el cumplimiento básico y la aplicación activa se ha convertido en un objetivo principal para los sofisticados actores maliciosos.

1. La «trampa del confort» de p=none

Mientras que Arabia Saudí muestra una gran intención de asegurar dominios, el 23,0 % de los dominios se encuentran atrapados en la «trampa de la comodidad» de p=none. Este modo de solo supervisión proporciona visibilidad, pero no detiene ningún ataque.

Métrica Detalle Estado
Monitorización activa (p=none) 23,0 % de los dominios habilitados para DMARC Vulnerable
Riesgo primario Falsa sensación de seguridad mientras continúa el spoofing. Alta

«Mantener DMARC en p=none durante demasiado tiempo es como contratar a un guardia de seguridad para que vigile cómo te derriban la puerta, pero prohibirle que intervenga. Ves el delito, pero no lo detienes. A medida que más gobiernos estatales imponen medidas contra la suplantación de identidad, debemos pasar de vigilar a bloquear».

Maitham Al Lawati, director ejecutivo de PowerDMARC

«En la carrera mundial hacia la digitalización, las organizaciones están incorporando CRM, herramientas de marketing y plataformas de RR. HH. a sus dominios. Cada uno de ellos añade una búsqueda de DNS. Una vez que se alcanza ese límite de 10 búsquedas, el registro SPF se rompe y los correos electrónicos comerciales legítimos comienzan a desaparecer en las carpetas de spam. La «optimización SPF» ya no es opcional para las empresas, sino que es un salvavidas para la capacidad de entrega».

Yunes Tarada, Gerente de Prestación de Servicios, PowerDMARC

2. La complejidad del SPF y la escala de los megaproyectos

Arabia Saudí cuenta con una sólida base de SPF, con un 80,6 %, pero el 19,4 % porcentaje de fracaso a menudo se debe al «límite de 10 búsquedas» técnico. Esto es especialmente frecuente en entidades de gran tamaño que utilizan docenas de proveedores SaaS externos.

Métrica Detalle Estado
Adopción del SPF 80.6% Un comienzo sólido
Tasa de fallos del SPF 19,4 % (PermError debido a límites de búsqueda) Brecha crítica

3. MTA-STS: el punto ciego del cifrado

Con un pésimo tasa de adopción del 0,2 % , el Reino Unido se enfrenta a una exposición casi total al ataques de tipo «man-in-the-middle» (MiTM) . Sin MTA-STS, los atacantes pueden forzar «ataques de degradación», eliminando el cifrado para leer datos confidenciales del gobierno o financieros en texto plano.

Métrica Detalle Estado
Validez del MTA-STS 0.2% Abismal
Nivel de exposición El 99,8 % de los dominios corren el riesgo de sufrir una interceptación de texto sin cifrar. Riesgo máximo

«El cifrado estándar del correo electrónico es cortés; pide que se utilice. MTA-STS es obligatorio; lo exige. Dado que el 99,8 % de los dominios saudíes carecen de él, a un atacante sofisticado le resulta fácil interceptar y leer comunicaciones corporativas confidenciales en tránsito. Habilitar MTA-STS puede mejorar significativamente la defensa del correo electrónico de la KSA».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

«DNSSEC ayuda a garantizar que las respuestas DNS no hayan sido manipuladas. Para las organizaciones de Arabia Saudí que gestionan datos confidenciales de los ciudadanos, añade un importante nivel de confianza e integridad a los servicios en línea».

Ahona Rudra, director de marketing, PowerDMARC

4. DNSSEC: la base de la identidad

Adopción de DNSSEC se sitúa en 11,9 %. Sin ella, la «agenda telefónica de Internet» queda desprotegida. Esto permite el secuestro de DNS, mediante el cual un atacante puede redirigir todo el flujo de correo electrónico de una empresa a un servidor malicioso.

Métrica Detalle Estado
Adopción de DNSSEC 11.9% Débil
Riesgo primario Secuestro de DNS y redireccionamiento del tráfico de correo electrónico. Alta
Contáctenos

Benchmarking global: Arabia Saudí en contexto

Para comprender la «brecha saudí», comparamos los datos del Reino para 2026 con los de los líderes mundiales y los mercados emergentes. Aunque Arabia Saudí lidera algunos ámbitos fundamentales, su índice de cumplimiento (p = rechazo) es el factor diferenciador crítico.

Clasificación mundial: datos de 2026

Fuente: Informes regionales de adopción de PowerDMARC 2026.

PaísSPF CorrectoAdopción de DMARCAplicación de DMARC (p=reject)MTA-STS
Suecia 🇸🇪85.0%77.9%29.9%2.9%
Noruega 🇳🇴85.2%83.1%29.0%2.8%
Bélgica 🇧🇪90.1%79.1%24.7%<1.0%
Perú 🇵🇪86.1%66.0%17.9%0.6%
Nigeria 🇳🇬70.3%45.9%14.2%0.0%
Arabia Saudita 🇸🇦80.6%54.4%18.4%0.2%
Japón 🇯🇵95.0%74.6%9.2%0.5%

Perspectivas críticas: la situación actual del Reino de Arabia Saudita

1. El líder en materia de cumplimiento normativo en la región

Arabia Saudita 18,4 % es en realidad superior al de Japón (9,2 %), lo que demuestra que los reguladores saudíes (NCA/SAMA) están impulsando de manera efectiva una protección real, y no solo un cumplimiento «formal».

2. La crisis del cifrado

A pesar de la aplicación superior de DMARC en comparación con Japón, Arabia Saudí se queda muy atrás en MTA-STS (0,2 %). Esto sugiere que, aunque los dominios saudíes están mejorando a la hora de detener el la suplantación de identidad, siguen siendo muy vulnerables a la interceptación.

3. El escenario nórdico

Para alcanzar la paridad global, Arabia Saudí debe casi duplicar su tasa de aplicación actual para igualar a las naciones que aprovechan las plataformas automatizadas para gestionar la transición a p=rechazar.

El veredicto de PowerDMARC

Arabia Saudí cuenta con una normativa realmente eficaz y una tasa de cumplimiento cada vez mayor. Sin embargo, mientras el reino construye las ciudades inteligentes más avanzadas del mundo, su tránsito de correo electrónico sigue sin estar cifrado en su mayor parte y es susceptible de ser interceptado.

El cambio de 80,6 % SPF a un p=rechazar y adopción de MTA-STS es el último obstáculo para asegurar las puertas digitales de Visión 2030.

El camino hacia el cumplimiento normativo y la seguridad

Los datos muestran que Arabia Saudí tasa de rechazo del 18,4 % es inferior a la de líderes mundiales como Bélgica (24,7 %). Para garantizar la Visión 2030, la NCA y las entidades privadas deben ir más allá de la «supervisión pasiva» (p=none).

Plan de acción inmediata

Pasar a p=rechazar: Esto garantizará un nivel mucho mayor de protección para los dominios KSA.

Resolver los límites de SPF: Utilice «SPF Flattening» para evitar el límite de 10 búsquedas habitual en las complejas configuraciones de múltiples proveedores de Arabia Saudí.

Host MTA-STS: Cierre la brecha de cifrado del 99,8 % para evitar interceptaciones de tipo «man-in-the-middle».

PowerDMARC proporciona una plataforma localizada y alineada con la NCA para automatizar estas transiciones sin interrupción del servicio.

Reservar una demostración Póngase en contacto con nosotros

Perspectiva de PowerDMARC: Protegiendo el corazón digital de la Visión 2030

Arabia Saudí ha destacado verdaderamente en la construcción de una infraestructura digital moderna y robusta. A medida que el Reino avanza hacia los objetivos de su Visión 2030, sigue siendo importante prestar una atención continua a la coherencia de la implementación desde la perspectiva de la ciberseguridad nacional. Si bien los mandatos de la NCA ECC-2 han aumentado significativamente la concienciación y la adopción, los datos indican que es necesario seguir avanzando para alcanzar la plena madurez operativa.

De cara al 2026, un área clave de interés es el cambio gradual de enfoques centrados en la supervisión a medidas de seguridad más proactivas. Fortalecer la seguridad del correo electrónico mediante una adopción más amplia de políticas DMARC más estrictas, como p=reject, y la resolución de las deficiencias en la implementación de MTA-STS pueden ayudar a las organizaciones a ir más allá del cumplimiento básico. Estas medidas favorecen una mayor resiliencia, ayudan a proteger la integridad del dominio y contribuyen a mantener la confianza en el ecosistema digital de Arabia Saudí en un contexto de amenazas crecientes de suplantación de identidad e interceptación.

Convierta la visibilidad en defensa hoy mismo

Las elevadas tasas de adopción iniciales del Reino demuestran que las organizaciones saudíes están preparadas para un futuro digital seguro; ahora necesitan el liderazgo técnico para completar el proceso, ¡y PowerDMARC está aquí para ayudarles! 

Asegura tu lugar en el futuro digital del Reino Unido pasando de la observación pasiva a la protección activa hoy mismo.

Contáctenos en PowerDMARC para fortalecer los dominios saudíes, uno por uno.

Prueba de 15 díasAgendar demo