SMB1001 y DMARC: lo que las pymes deben saber para cumplir con la normativa de seguridad del correo electrónico
por
Última actualización: 6 Tiempo de lectura: 6 min
Puntos clave
- SMB1001 ofrece a las pymes un marco de seguridad claro y de varios niveles sin la complejidad propia de las grandes empresas.
- La actualización de 2026 añade requisitos estrictos de seguridad para el correo electrónico, ya que este sigue siendo el principal vector de ataque.
- El nivel 2 requiere un registro SPF completo que incluya todos los remitentes aprobados.
- Los niveles 3 y superiores requieren DKIM, DMARC con p=quarantine o p=rechazar, y una alineación adecuada.
- DMARC reduce la suplantación de identidad, el riesgo de BEC y el abuso de la marca mediante la aplicación de la autenticación.
- Los remitentes perdidos, los errores DKIM y la aplicación apresurada son las principales causas de los fallos en el correo electrónico.
- El cumplimiento normativo mejora la prestación de servicios, la confianza y la preparación para las auditorías de las pymes.
- Los MSP y los proveedores de DMARC gestionados ayudan a las pymes a gestionar el DNS, la rotación de claves y la supervisión de informes.
- El incumplimiento aumenta el riesgo cibernético, interrumpe la entrega de correos electrónicos y bloquea la certificación SMB1001.
El correo electrónico sigue siendo la forma más fácil para los atacantes de entrar en las pequeñas empresas, por lo que el SMB1001:2026 emite su advertencia más severa hasta la fecha: proteja la autenticación de su correo electrónico o se arriesga a no obtener la certificación y a exponer su dominio a la suplantación de identidad. SMB1001 ofrece a las pymes una hoja de ruta de seguridad práctica y estructurada, diseñada para presupuestos limitados y equipos de TI más pequeños.
La nueva actualización eleva SPF, DKIM y DMARC de «buenas prácticas» a controles obligatorios en niveles superiores, lo que garantiza que las pymes puedan demostrar que su dominio de correo electrónico no puede ser fácilmente suplantado. Estos requisitos refuerzan las defensas, mejoran la capacidad de entrega y ayudan a las pymes a demostrar una seguridad responsable y preparada para auditorías.
¿Qué es SMB1001?
SMB1001 es una norma de ciberseguridad diseñada para ayudar a las organizaciones, especialmente a las pequeñas y medianas empresas, a mejorar su higiene cibernética mediante un sistema estructurado de cinco niveles (desde Bronce hasta Oro).
Proporciona orientación práctica para desarrollar prácticas de seguridad más sólidas, y alcanzar el nivel más alto demuestra que una empresa ha implementado medidas de ciberseguridad robustas. Seguir la norma SMB1001 también ayuda a las organizaciones a acercarse al cumplimiento de la norma los requisitos de la norma ISO/IEC 27001 y reduce la probabilidad y el impacto de las amenazas cibernéticas.
Piense en SMB1001 como su hoja de ruta práctica en materia de seguridad. No se trata de un marco monstruoso creado para una empresa de la lista Fortune 500, y es más sólido que una simple lista de verificación básica. Es un estándar estructurado y de varios niveles diseñado específicamente para los presupuestos y equipos de TI limitados de las pymes.
Su objetivo es sencillo: salva la brecha entre las defensas básicas ligeras y los estándares empresariales de alta resistencia, proporcionando a las pequeñas empresas una forma reconocida de demostrar que cuentan con protecciones cibernéticas sólidas y responsables.
Qué ha cambiado en SMB1001:2026: la seguridad del correo electrónico entra en la norma
¿Por qué este repentino interés por el correo electrónico? Porque el correo electrónico sigue siendo el punto de entrada favorito de los delincuentes. Los ataques de phishing, suplantación de identidad y BEC son implacables, y las pymes suelen carecer de las sólidas defensas de las grandes organizaciones.
Para combatir esto, la actualización de 2025/2026 introdujo controles estrictos de autenticación de correo electrónico e hizo que ciertas medidas fueran innegociables para la certificación:
- Los controles incluyen el SPF en el Nivel 2.
- En el nivel 3 y superiores, se necesita DKIM y DMARC. La política DMARC debe establecerse en un nivel de aplicación estricto (no solo de supervisión).
Esta es una señal muy importante: para cumplir con los requisitos de correo electrónico SMB1001 2026, debe demostrar que nadie puede falsificar fácilmente los correos electrónicos de su dominio.
Por qué es importante DMARC (con SPF y DKIM)
DMARC no funciona por sí solo, sino que se basa en SPF y DKIM.
- SPF dice: «Solo estos servidores específicos pueden enviar correos en mi nombre».
- DKIM aplica una firma digital a prueba de manipulaciones a su correo electrónico, sellándolo esencialmente.
- DMARC es una herramienta de aplicación de políticas y generación de informes. Indica a los sistemas de correo receptores qué hacer si un mensaje que dice provenir de su dominio no supera ambas comprobaciones (por ejemplo, poner el correo electrónico en cuarentena o rechazarlo directamente).
Para una pyme, donde cada interacción por correo electrónico es importante, DMARC es vital. Es una forma automatizada de detener el abuso de la marca, evitar que los delincuentes se hagan pasar por usted para estafar a clientes o proveedores, y defenderse contra la amenaza extremadamente costosa del BEC. Para las pymes que pueden carecer de recursos informáticos sólidos, DMARC proporciona protección y visibilidad automatizadas.
Requisitos de autenticación de correo electrónico SMB1001 (por nivel)
Para cumplir los requisitos de cumplimiento de las pymes, esto es en lo que debe centrarse:
| SMB1001 Nivel / Categoría | Requisito básico | Mecanismos de autenticación por correo electrónico | Aclaración clave y objetivo |
|---|---|---|---|
| Nivel 1 | Controles fundamentales | (No se requiere autenticación específica por correo electrónico) | La atención se centra en la ciberseguridad básica, como cortafuegos, antivirus y copias de seguridad fiables. Establecer una buena higiene informática es el requisito previo para todos los controles avanzados. |
| Nivel 2 | Publicar un registro SPF válido | SPF (Marco de directivas del remitente) | El registro debe estar completo y enumerar todos y cada uno de los remitentes externos (por ejemplo, Google Workspace, Mailchimp, QuickBooks) utilizados por su dominio. |
| Nivel 3 | Habilitar DKIM y aplicar DMARC | DKIM + DMARC | La firma DKIM debe estar habilitada (utilizando claves mínimas de 1024 bits). El registro DMARC debe publicarse con una política de aplicación establecida en p=quarantine o p=reject (la supervisión p=none no es suficiente). |
| Nivel 4 | Aplicación y supervisión completas de DMARC | DMARC p=rechazar + Informes | La política DMARC suele ajustarse al nivel más estricto: p=reject. Es necesario supervisar continuamente los informes DMARC para garantizar que no se bloquee ningún correo electrónico legítimo y detectar rápidamente los intentos de suplantación de identidad. |
| Nivel 5 | Resiliencia avanzada | DMARC p=rechazar + Controles mejorados | Mantiene p=rechazar e integra los resultados de la autenticación del correo electrónico con procedimientos más amplios de supervisión de la seguridad y respuesta a incidentes. Puede incluir la adopción de MTA-STS y BIMI. |
Cómo deben implementar las pymes SPF, DKIM y DMARC para cumplir con SMB1001
Cumplimiento de estos controles SMB1001 requiere un enfoque cuidadoso y por etapas. ¡No se precipite a la hora de aplicarlos!
1. Hacer un inventario de todos los remitentes de correo electrónico.
Mapea todas las herramientas y servicios que envían desde tu dominio:
- Correo electrónico de Google/Microsoft
- Plataformas de marketing
- CRM/flujos de trabajo
- Herramientas de facturación/finanzas
- Sistemas de apoyo
- Aplicaciones y proveedores en la nube
Si se envía en tu nombre, debe contabilizarse.
2. Publica o limpia tu registro SPF.
Añade todos los remitentes autorizados al DNS. No incluir un remitente real es una de las formas más rápidas de provocar fallos en la entrega una vez que se aplica DMARC.
3. Habilite DKIM en todas las fuentes legítimas.
Trabaje con cada proveedor para generar y publicar los registros selectores DKIM correctos. Asegúrese de que la longitud y la configuración de las claves coincidan con las mejores prácticas del proveedor.
4. Publique primero su registro DMARC en modo de supervisión.
Empieza por la visibilidad, no por el castigo. Ejemplo:
v=DMARC1; p=none; rua=mailto:[email protected]; adkim=s; aspf=s
5. Confirma la alineación de SPF y DKIM con tu dominio de remitente.
La alineación es donde muchas empresas tropiezan. DMARC exige que los dominios de autenticación coincidan con lo que ven realmente los destinatarios.
6. Revisar los informes DMARC y corregir los fallos.
Identifique remitentes desconocidos, corrija configuraciones erróneas legítimas y elimine fuentes peligrosas u obsoletas.
7. Pase a la fase de ejecución una vez que esté seguro.
A continuación, actualice a la política requerida para niveles superiores:
- p=cuarentena → primer paso de aplicación más seguro
- p=rechazar → protección máxima una vez validado completamente
Errores comunes y cómo evitarlos
La implementación puede ser complicada. A continuación se indican algunos de los problemas más habituales:
Remitentes que faltan en SPF
Pueden provocar que el correo legítimo falle. Evítelo haciendo un inventario completo de todos sus servicios de envío antes de publicar su registro SPF definitivo.
Configuración incorrecta de DKIM (clave incorrecta, selector, etc.)
Evite esto siguiendo cuidadosamente la documentación de cada servicio de envío al generar y publicar los registros DNS.
La política DMARC es demasiado estricta antes del inventario completo.
Esto puede provocar que se rechacen correos legítimos. Evítelo no pasando nunca directamente a p=reject. Comience siempre por p=none durante semanas para garantizar la precisión total de la configuración.
Ignorar los flujos de correo de subdominios (los subdominios suelen olvidarse)
Evita esto comprobando todas las fuentes de correo electrónico, incluidas aquellas que utilizan subdominios como news.tuempresa.com.
Sin supervisión de informes
Esto perjudica la visibilidad. Evítelo configurando un herramienta de procesamiento de informes DMARC para analizar continuamente los informes enviados a su rua .
Ventajas para las pymes que cumplen con la normativa SMB1001 sobre correo electrónico
Aunque el motivo principal pueda ser el cumplimiento normativo, la implementación de una autenticación sólida del correo electrónico ofrece ventajas tangibles y fundamentales para el negocio:
Menor riesgo de phishing/suplantación de identidad/abuso de marca
Reducirás enormemente la posibilidad de ser víctima de costosos ataques por correo electrónico.
Mejora en la capacidad de entrega de mensajes legítimos por correo electrónico.
Gracias al envío autenticado, tus campañas y correos transaccionales llegarán a las bandejas de entrada, no a las carpetas de spam.
Confianza con los clientes/socios
Ayuda a demostrar prácticas de seguridad maduras. Esto muestra responsabilidad y confianza.
Cumplimiento de una norma reconocida.
Es bueno para la garantía, las auditorías y, posiblemente, las expectativas normativas.
El papel de los MSP/proveedores externos de seguridad del correo electrónico en el cumplimiento de la norma SMB1001
Para muchas pymes con recursos limitados, gestionar la configuración y supervisión de SPF, DKIM y DMARC puede resultar abrumador.
- Muchas pymes externalizan sus servicios de TI: los MSP pueden ayudar a implementar correctamente SPF, DKIM y DMARC. Pueden encargarse de la complicada configuración de los registros DNS y garantizar que se ajusten a la guía de certificación SMB1001.
- Uso de plataformas gestionadas para SPF/DKIM/DMARC reduce la complejidad y el mantenimiento continuo (actualizaciones de registros, revisión de informes, rotaciones de claves). Esto es mejor para las pymes con recursos limitados.
¿Qué ocurre si no se cumple? Riesgos para las pymes
El incumplimiento del requisito SMB1001 DMARC supone el incumplimiento de la norma, lo que podría impedir la certificación. Pero los riesgos son mucho mayores que la simple pérdida de una insignia:
- Mayor riesgo de phishing, suplantación de identidad y compromiso del correo electrónico empresarial.
- Posible daño a la marca o pérdida de confianza si los atacantes se hacen pasar por su dominio. Su reputación se ve afectada si los delincuentes utilizan su nombre para cometer fraudes.
- Problemas de entrega: los correos electrónicos legítimos pueden ser marcados o rechazados. La comunicación de su empresa se interrumpe.
- Incumplimiento de la norma SMB1001: pérdida de los beneficios de la certificación.
Resumen
El estándar SMB1001 DMARC exige la integración de SPF, DKIM y DMARC y los transforma de simples medidas de cumplimiento en una actualización de seguridad obligatoria. Estos controles de autenticación combinados son muy importantes para reducir la amenaza de phishing, suplantación de identidad y abuso de marca contra su dominio.
Próximos pasos a seguir:
- Audite ahora: Haga un inventario de todos los servicios que envían correos electrónicos en nombre de su dominio.
- Implementación por fases: Comience por establecer SPF, luego DKIM y, por último, publique DMARC utilizando la política de supervisión (p=none).
- Aplicar: Solo cambiar a la política de aplicación obligatoria (p=quarantine o p=rechazar) después de confirmar que todos los correos legítimos pasan la autenticación.
- Obtenga ayuda: Si la gestión de DNS y el análisis DMARC le parecen complejos, solicite ayuda a los expertos.
¿Necesita ayuda con la implementación y aplicación complejas de DMARC?
Póngase en contacto con nosotros hoy mismo a PowerDMARC para cumplir con los requisitos de certificación SMB1001 con la máxima facilidad y eficiencia.
Preguntas frecuentes
¿Por qué DMARC es ahora obligatorio para SMB1001?
¡Porque los ataques por correo electrónico son implacables! La actualización SMB1001 de 2025/2026 hizo que DMARC fuera obligatorio para proporcionar a las pymes certificadas una defensa sólida y automatizada contra la suplantación de identidad de dominios.
¿Qué ocurre si omito un remitente legítimo en mi registro SPF?
Es probable que ese correo electrónico no supere la comprobación SPF. Si su DMARC está activado (p=reject), ese correo electrónico legítimo se bloqueará o acabará en la carpeta de spam, lo que causará importantes problemas de entrega.
¿Qué significa realmente «alineación SPF y DKIM»?
Significa el dominio que autentifica tu correo electrónico autentica (verificado por SPF y DKIM) debe coincidir con el dominio que tus clientes ven en la dirección «De». DMARC lo exige para evitar realmente que otras personas falsifiquen su dirección de correo electrónico.
¿Puedo omitir la fase de supervisión DMARC (p=none)?
¡No! Saltarse la supervisión y pasar directamente a p=reject es una forma segura de bloquear accidentalmente tus propios correos electrónicos legítimos que aún no has configurado correctamente. Primero debes supervisar los informes para encontrar y corregir todos tus remitentes.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Reputación de IP frente a reputación de dominio: ¿cuál te lleva a la bandeja de entrada? - 1 de abril de 2026
- El fraude en las reclamaciones empieza en la bandeja de entrada: cómo los correos electrónicos falsos convierten los procesos habituales de las aseguradoras en un robo de indemnizaciones - 25 de marzo de 2026
- Norma de medidas de seguridad de la FTC: ¿Necesita su entidad financiera DMARC? - 23 de marzo de 2026
