Informe sobre la adopción de DMARC y MTA-STS en España 2026

El panorama de las amenazas cibernéticas en España ha llegado a un punto de inflexión crítico. Los datos de la Agencia Española de Protección de Datos (AEPD) revelan un aumento masivo de la actividad maliciosa, con 1.737 notificaciones de violaciones de datos registradas solo en los cuatro primeros meses de 2026. Más del 68 % de estas brechas de seguridad se clasifican como ataques intencionados y deliberados, provocados principalmente por sofisticadas técnicas de phishing, credenciales comprometidas y operaciones de ransomware. 

Aunque las organizaciones españolas demuestran una gran capacidad técnica para configurar los protocolos básicos de correo electrónico, la reticencia generalizada a aplicar normas de seguridad estrictas hace que los canales de comunicación corporativos sean muy vulnerables a la suplantación de dominios, el robo de identidad y la extorsión de datos.

Resumen: Principales conclusiones en toda España

A partir de los datos de referencia exhaustivos recopilados sobre el ecosistema digital español, el estado de la seguridad del correo electrónico a nivel nacional revela las siguientes tendencias:

España-SPF

SPF: 97,0 % de aciertos – Existe una alineación técnica casi universal en todo el país, lo que deja solo una pequeña fracción de dominios mal configurados (3,0 % incorrectos).

DMARC: A pesar de que la configuración de la visibilidad está muy extendida, solo el 18,0 % de los dominios aplica activamente una política estricta de «rechazo». El resto del panorama sigue estando peligrosamente expuesto, ya que se encuentra en el modo de «solo supervisión» p=ninguna (34,1 %), o bajo protección p=cuarentena (22,4 %), parámetros mal configurados (1,7 % incorrectos) o la ausencia total de protección DMARC (23,8 % sin registro).

MTA-STS: Un enorme punto ciego a nivel nacional con un índice de no adopción del 99,2 %, lo que deja el tráfico de correo electrónico en la capa de transporte muy vulnerable a la interceptación en todo el país.

España-DNSSEC

DNSSEC: Solo el 10,4 % está activado , lo que deja un asombroso el 89,6 % de los dominios vulnerables al secuestro de dominios, la redirección maliciosa del tráfico y el envenenamiento de caché.

Prueba de 15 días

Análisis sectorial

1. Sector bancario: liderazgo en la aplicación de la normativa ante las deficiencias en el transporte

Como objetivo principal del el fraude financiero, las redes bancarias españolas lideran el país en la implementación rigurosa de DMARC, pero siguen expuestas a la interceptación en la capa de transporte.

Métrica Estado
SPF 98,1 % de aciertos (1,9 % de errores)
Rechazo de DMARC 38,1 % (líder a nivel nacional)
Políticas DMARC 22,9 % en «cuarentena», 27,6 % en «ninguna», 0,9 % de respuestas incorrectas
Brecha de DMARC El 10,5 % no tiene antecedentes
MTA-STS 1,9 % válidos (el 98,1 % carece de registro)
DNSSEC 7,6 % activado (92,4 % desactivado)
Sector bancario - SPF - Adopción --- España

Escenario de amenaza

A pesar de liderar el país con un 38,1 % p = rechazo , casi un tercio de las entidades bancarias operan con seguimiento pasivo (p=ninguna , con un 27,6 %), o carecen por completo de una capa DMARC. Esto permite a los delincuentes suplantar la identidad de entidades financieras, mientras que la brecha del 98,1 % en MTA-STS permite a los atacantes llevar a cabo ataques de degradación para leer recibos de transacciones confidenciales en texto plano sin cifrar.

La solución PowerDMARC

Con el protocolo automatizado alojamiento MTA-STS automatizado, PowerDMARC redirige todo el correo electrónico entrante a canales cifrados TLS 1.2+, lo que elimina el riesgo de interceptación de tipo «hombre en el medio» (MiTM) y protege los registros de comunicaciones bancarias de alto valor.

2. Asistencia sanitaria: alta exposición y registros que faltan

Ante el estricto marco normativo que impone el RGPD, el sector sanitario español sigue siendo un objetivo prioritario de los ataques de ransomware y el robo de datos debido a la escasa aplicación de las medidas de protección.

Métrica Estado
SPF 95,6 % de aciertos (4,4 % de errores)
Rechazo de DMARC 8.8%
Políticas DMARC 22,8 % en «cuarentena», 33,3 % en «ninguna»
Brecha de DMARC El 35,1 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 4,4 % activado (95,6 % desactivado)
Sanidad-DMARC-Adopción

Escenario de amenaza

Dado que más de un tercio de los proveedores sanitarios carecen por completo de configuraciones DMARC (35,1 %) y la tasa de rechazo activo es de un lamentable 8,8 %, los atacantes falsifican con facilidad identidades clínicas. Los correos electrónicos de phishing que se hacen pasar por los departamentos de compras de los hospitales o por los portales de pacientes pasan sin problemas a través de los filtros para desplegar ransomware en toda la red.

La solución PowerDMARC

Guiamos a los profesionales sanitarios a través de un proceso de implementación estructurado para pasar sin problemas del modo de monitorización a un modo estricto política de rechazo , neutralizando las campañas de phishing antes de que lleguen a las bandejas de entrada del personal clínico.

3. Gobierno: una infraestructura de DNS sólida, pero una supervisión deficiente

Los dominios públicos oficiales presentan una excelente estructura básica, pero adolecen de una falta de aplicación de las políticas para los dominios gubernamentales da lugar a posibilidades de suplantación de identidad.

Métrica Estado
SPF 100,0 % de aciertos (líder nacional)
Rechazo de DMARC 15.7%
Políticas DMARC 23,5 % en «cuarentena», 24,5 % en «ninguna», 6,9 % de respuestas incorrectas
Brecha de DMARC El 29,4 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 45,1 % habilitado (líder del sector)
Gobierno-MTA-STS-Adopción

Escenario de amenaza

El sector público español lidera la verificación de registros criptográficos con una impresionante tasa de adopción de DNSSEC del 45,1 %. Sin embargo, dado que el 29,4 % carece de registros DMARC y el 24,5 % se limita a la supervisión (p=ninguno), los atacantes pueden suplantar con éxito la identidad de las administraciones públicas para enviar directivas administrativas falsas o dirigirse a los ciudadanos con correos electrónicos de phishing relacionados con estafas fiscales.

La solución PowerDMARC

Nuestro panel de control multitenant permite a los organismos públicos centrales supervisar y proteger amplias redes de subdominios desde un único panel, lo que simplifica la transición a un estricto p=rechazar.

Agendar demo

4. Educación: alto nivel de supervisión, bajo nivel de defensa efectiva

Los centros académicos albergan una gran cantidad de expedientes académicos y datos de investigación, pero muestran una marcada tendencia a detectar las amenazas en lugar de bloquearlas.

Métrica Estado
SPF 97,6 % de aciertos (2,4 % de errores)
Rechazo de DMARC 9.5%
Políticas DMARC 34,5 % en «cuarentena», 46,4 % en «ninguna», 7,2 % de respuestas incorrectas
Brecha de DMARC El 2,4 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 8,3 % activado (91,7 % desactivado)
Educación-SPF-Adopción

Escenario de amenaza

Los ámbitos educativos han implementado con éxito los registros básicos, de modo que solo el 2,4 % carece de DMARC. Sin embargo, un enorme 46,4 % sigue estancado en un estado pasivo p=none estado de seguimiento. Los estafadores se aprovechan de esta huella débil para distribuir facturas falsas de matrícula o páginas destinadas a la recopilación de credenciales dirigidas a las redes universitarias.

La solución PowerDMARC

Las instituciones académicas suelen superar el límite de 10 consultas DNS debido a las herramientas de software en la nube de los departamentos, que funcionan de forma independiente. PowerSPF comprime estas configuraciones, garantizando que la correspondencia universitaria legítima nunca se descarte accidentalmente debido a limitaciones técnicas.

5. Energía: las infraestructuras críticas siguen siendo vulnerables

El sector energético español destaca por su gran solidez en los aspectos fundamentales, pero presenta importantes carencias en la protección de su perímetro de correo electrónico en general.

Métrica Estado
SPF 95,6 % de aciertos (4,4 % de errores)
Rechazo de DMARC 22.1%
Políticas DMARC 15,9 % en «cuarentena», 34,5 % en «ninguna», 0,9 % de respuestas incorrectas
Brecha de DMARC El 26,6 % carece por completo de DMARC
MTA-STS 0,9 % válidos (99,1 % sin registro)
DNSSEC 7,1 % activado (92,9 % desactivado)
Adopción de Energy-DMARC

Escenario de amenaza

Más de una cuarta parte (26,6 %) de las redes energéticas carecen de cualquier tipo de protección DMARC, mientras que el 34,5 % se sitúa en p=ninguna. Esta vulnerabilidad permite a los atacantes suplantar la identidad de grandes empresas de servicios públicos y proveedores, llevando a cabo campañas de suplantación de correo electrónico empresarial (BEC) para manipular cadenas de suministro críticas.

La solución PowerDMARC

PowerDMARC integra la validación DMARC con los protocolos MTA-STS alojados, verificando la legitimidad del remitente y garantizando al mismo tiempo que los mensajes que pasan por nodos externos permanezcan totalmente cifrados.

6. Medios: alta visibilidad en configuraciones pasivas

Las empresas de comunicación dependen de la confianza del público, pero su actitud defensiva las deja expuestas al abuso de su marca.

Métrica Estado
SPF 96,1 % de aciertos (3,9 % de errores)
Rechazo de DMARC 19.7%
Políticas DMARC 18,5 % en «cuarentena», 37,6 % en «ninguna», 0,6 % de respuestas incorrectas
Brecha de DMARC El 23,6 % carece por completo de DMARC
MTA-STS 1,7 % válidos (98,3 % sin registro)
DNSSEC 2,8 % activado (mínimo del sector)
Adopción de Media-MTA-STS

Escenario de amenaza

Un 37,6 % de dependencia de la monitorización pasiva (p=ninguna), junto con una baja tasa de configuración de DNSSEC (2,8 %), convierte a las redacciones en blancos fáciles. Los atacantes pueden falsificar dominios de medios de comunicación para difundir desinformación, distribuir comunicados de prensa falsos o robar las credenciales de los periodistas.

La solución PowerDMARC

Ayudamos a las empresas de medios de comunicación a configurar los Indicadores de marca para la identificación de mensajes (BIMI), colocando logotipos corporativos verificados directamente en las bandejas de entrada de los destinatarios como sello certificado de autenticidad.

Prueba de 15 días

7. Telecomunicaciones: La vulnerabilidad de la política «Ninguna»

Como pilar fundamental de la economía digital, los proveedores de telecomunicaciones gestionan grandes volúmenes de tráfico, pero se quedan atrás a la hora de aplicar de forma estricta las políticas activas.

Métrica Estado
SPF 92,0 % de aciertos (8,0 % de errores)
Rechazo de DMARC 14.0%
Políticas DMARC 22,0 % en «cuarentena», 44,0 % en «ninguna» (máximo del sector)
Brecha de DMARC El 20,0 % carece por completo de DMARC
MTA-STS 0,0 % de adopción (100,0 % sin registro)
DNSSEC 6,0 % activado (94,0 % desactivado)
Logotipo BIMI

Escenario de amenaza

Los proveedores de telecomunicaciones son los que más recurren a un estado de supervisión pasiva (p = ninguna con un 44,0 %). Los atacantes se aprovechan de esta falta de defensa activa para llevar a cabo operaciones de phishing a gran escala a través de SMS y correo electrónico, suplantando la identidad de marcas de telecomunicaciones para sustraer las credenciales y los datos bancarios de los consumidores.

La solución PowerDMARC

Aplicamos una transición inmediata a p=rechazar en todos los ecosistemas de operadores, impidiendo que los atacantes utilicen identificadores de telecomunicaciones legítimos para explotar la base de abonados.

8. Transporte: unos cimientos construidos sobre marcos no aplicados

Las redes logísticas dependen de una comunicación rápida y automatizada con los clientes, pero el cumplimiento de sus parámetros es muy deficiente.

Métrica Estado
SPF 99,2 % de aciertos (0,8 % de errores)
Rechazo de DMARC 12.4%
Políticas DMARC 23,9 % en «cuarentena», 30,6 % en «ninguna», 2,5 % de respuestas incorrectas
Brecha de DMARC El 30,6 % carece por completo de DMARC
MTA-STS 0,8 % válidos (99,2 % sin registro)
DNSSEC 6,6 % activado (93,4 % desactivado)
Adopción de Telecom-SPF

Escenario de amenaza

Con un 30,6 % de los dominios de transporte sin configurar en absoluto y un 30,6 % inactivo en p=none, el sector es muy vulnerable al fraude logístico. Los autores de las amenazas falsifican las comunicaciones sobre el transporte y la entrega de mercancías para modificar los manifiestos de embarque y desviar los pagos de las facturas.

La solución PowerDMARC

PowerDMARC protege el panorama comercial garantizando que cada albarán de entrega y cada factura automatizada se autentique y verifique antes de llegar a la pasarela de un socio.

Bajo el capó: cuatro debilidades estructurales

1. La «trampa del cumplimiento» de p=none

Una de las principales conclusiones en toda España es la elevada dependencia de una configuración dedicada exclusivamente a la monitorización (p=ninguna en el 34,1 % a nivel nacional). Aunque esto permite realizar un seguimiento del tráfico entrante, no contribuye en absoluto a prevenir los ataques de suplantación de identidad por parte de terceros.

La opinión de los expertos:

«Muchas empresas creen que están a salvo con solo tener un registro DMARC. Sin embargo, una política de seguimiento es una herramienta de observación, no un escudo. Hasta que no se pase a una política activa de «rechazo», su marca seguirá siendo vulnerable al fraude de identidad».

Maitham Al Lawati, Director General de PowerDMARC

La opinión de los expertos:

«Las configuraciones tecnológicas de las empresas modernas hacen que sea fácil superar los límites estándar de búsqueda. La implementación de SPF Flattening es esencial para evitar errores de configuración y garantizar que el envío de correo se mantenga continuo y seguro».

Yunes Tarada, Director de Prestación de Servicios, PowerDMARC

2. Complejidad del SPF y límites de consulta

A medida que las organizaciones integran aplicaciones externas en la nube, plataformas de pago y herramientas de marketing, sus configuraciones de SPF alcanzan rápidamente el límite de 10 consultas DNS, lo que invalida el protocolo y hace que los correos legítimos acaben en la carpeta de spam.

3. MTA-STS: el punto ciego del cifrado

Con el 99,2 % de los dominios españoles funcionan sin MTA-STS, el enrutamiento del correo electrónico depende en gran medida del cifrado oportunista, lo que deja la ruta de transferencia vulnerable a las escuchas y a la interceptación de datos.

La opinión de los expertos:

«Sin la aplicación del protocolo MTA-STS, los atacantes de la red pueden forzar fácilmente que las transferencias de correo se realicen en texto sin cifrar mediante ataques de degradación. La implementación de rutas de cifrado gestionadas es fundamental para mantener una confidencialidad total en toda la capa de transporte».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

La opinión de los expertos:

«El secuestro de DNS puede acabar con años de confianza en una empresa en cuestión de segundos. La implementación de DNSSEC proporciona la verificación criptográfica necesaria para garantizar que el tráfico de Internet llegue a sus servidores legítimos y no a la réplica de un atacante».

Ahona Rudra, directora de marketing, PowerDMARC

4. DNSSEC: Protección de la red central

Con una tasa de adopción global de tan solo el 10,4 %, el restante 89,6 % deja a las empresas expuestas a ataques maliciosos de redireccionamiento de rutas y de envenenamiento de caché.

Contáctenos

Comparativa global: España en contexto

España presenta unos niveles de referencia excepcionalmente sólidos en cuanto a la precisión de la configuración básica (SPF), pero se queda rezagada respecto a los líderes mundiales en lo que se refiere a la aplicación activa y automatizada de las normas (p=rechazo) y la protección del transporte.

Clasificación mundial: datos comparativos de 2026

País SPF Correcto Rechazo de DMARC MTA-STS DNSSEC
España 97.0% 18.0% 0.8% 10.4%
Italia 91.0% 16.7% 1.0% 3.5%
Polonia 98.9% 21.2% 0.9% 15.7%
Países Bajos 70.0% 23.2% 0.9% 37.7%
Brasil 92.1% 20.7% 0.7% 21.9%
Ecuador 96.1% 24.9% 1.4% 4.8%
EE.UU. 95.7% 49% 1.7% 18.0%
REINO UNIDO 93.7% 44.1% 20.6% 3.8%

España en el punto de mira mundial: análisis de 2026

1
La paradoja de la configuración

España cuenta con un excepcional alineación del SPF del 97,0 %, superando a países como Australia (92,3 %) y Brasil (92,1 %). Sin embargo, esta precisión técnica no se traduce en una protección efectiva, ya que su índice de rechazo del 18,0 % se queda muy por detrás del 46,7 % de Australia en cuanto a cumplimiento de la normativa.

2
El déficit criptográfico

En España, tasa de adopción de DNSSEC del 10,4 % la sitúa por delante de Australia (6,8 %) y Ecuador (4,8 %), pero queda muy por detrás de los estándares establecidos por los Países Bajos (37,7 %) y Brasil (21,9 %), lo que pone de manifiesto una clara necesidad de mejorar la integridad de las consultas de directorios.

3
La brecha global en materia de cifrado

En línea con las tendencias internacionales, la adopción de la tecnología MTA-STS en España se sitúa en un bajo 0,8 %. Aunque está en línea con las cifras de Polonia (0,9 %) y Brasil (0,7 %), esta exposición generalizada pone de manifiesto que la seguridad de la capa de transporte sigue siendo un riesgo sin abordar en la mayoría de las regiones.

Perspectiva de PowerDMARC

«España ha establecido una base técnica muy loable para la visibilidad de los dominios gracias a su elevada precisión en la aplicación del SPF a nivel nacional; sin embargo, la brecha existente en la aplicación de las políticas sigue siendo una vulnerabilidad significativa. Las organizaciones locales destacan en la instalación inicial y la configuración de los dominios, pero se quedan atrás en lo que respecta a la defensa activa del perímetro. La directriz clara es pasar de la observación pasiva a la aplicación estricta, convirtiendo las configuraciones de visibilidad existentes en configuraciones reforzadas p=rechazar ».

Conclusión: De las métricas a la acción

Los datos de 2026 muestran que, aunque España ha establecido una base técnica sólida, su perímetro defensivo sigue sin estar completo. Para garantizar su futuro digital, las organizaciones deberían centrarse en tres mejoras principales:

Funcionalidades de PowerDMARC Enterprise

Superar la monitorización

Un factor de protección solar (SPF) alto y la implementación básica de DMARC no sirven de mucho si el correo falsificado sigue llegando a las bandejas de entrada de los usuarios. La transición de los dominios del modo de supervisión a un estado estricto de «p=reject» mediante Hosted DMARC garantiza que el correo no autorizado se bloquee en la puerta de enlace.

Protección de los datos durante la transmisión

Dado que el 99,2 % de la red está expuesta a la manipulación del tráfico, la implantación de un MTA-STS alojado es fundamental para garantizar que las comunicaciones empresariales sigan estando protegidas frente a posibles interceptaciones.

Mantener el flujo operativo

Elimine los errores de configuración de la verificación que pueden afectar a la correspondencia corporativa legítima. La implementación de SPF alojado garantiza la fiabilidad de la entrega a medida que los entornos en la nube se vuelven más complejos.

Reservar una demostración Póngase en contacto con nosotros

Investigación y fuentes de datos

Metodología de PowerDMARC

Análisis de registros DNS

Consultas DNS activas en muestras de dominios de los ocho sectores, con recuperación y validación de registros SPF, DMARC, MTA-STS y DNSSEC según las normas RFC pertinentes.

Muestreo sectorial

Sectores identificados a partir de registros de acceso público y listados sectoriales en España, que abarcan los ámbitos financiero (bancario), sanitario, público, educativo, energético, de los medios de comunicación, de las telecomunicaciones y del transporte.

Evaluación comparativa a nivel mundial

Todas las cifras de referencia proceden de los informes por países publicados por PowerDMARC sobre Brasil, Italia, Ecuador, Polonia, los Países Bajos, EE. UU. y el Reino Unido, y se han obtenido mediante una metodología de análisis de DNS coherente.

Clasificación de riesgos

Las calificaciones de riesgo sectorial se han obtenido a partir de un índice compuesto por la tasa de rechazo de p=reject, el porcentaje de dominios sin registro DMARC, la configuración incorrecta de SPF y la baja tasa de adopción de MTA-STS en los dominios analizados en España.

Reservar una demostración Póngase en contacto con nosotros

Convierta la visibilidad en defensa hoy mismo

Las elevadas tasas de adopción de tecnologías en España demuestran que los administradores informáticos del país se encuentran entre los más competentes de la región; simplemente necesitan el mandato y las herramientas necesarias para poner en marcha la aplicación de las medidas.

No permitas que tu dominio siga siendo un sistema sofisticado que observa cómo se produce una brecha de seguridad, pero es incapaz de detenerla. Protege tu reputación y tus datos antes de que la próxima gran campaña de phishing transfronteriza se dirija a tu sector.

Ponte en contacto con nosotros en PowerDMARC para iniciar tu proceso, desde la supervisión hasta la aplicación estricta de las normas.

Prueba de 15 díasAgendar demo