Informe sobre la adopción de DMARC y MTA-STS en el Reino Unido en 2026

En PowerDMARC hemos analizado la postura de autenticación de correo electrónico en 875 dominios con sede en el Reino Unido. Los resultados sugieren que el país se encuentra en un estado de «preparación parcial», una posición precaria teniendo en cuenta que el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) va a retirar oficialmente sus servicios Mail Check y Web Check el 31 de marzo de 2026.

Esto supone un cambio radical en el panorama cibernético del Reino Unido. Durante años, las organizaciones han confiado en estas herramientas centralizadas para la supervisión. Ahora, el NCSC está transfiriendo toda la responsabilidad de la implementación y el cumplimiento de DMARC directamente a las organizaciones individuales. Con la desaparición de la red de seguridad de Mail Check, la brecha entre tener un registro y aplicarlo ya no es solo un descuido técnico, sino una emergencia de cumplimiento y seguridad.

Para obtener más información sobre cómo su organización puede afrontar esta transición y mantener la visibilidad, lea nuestra guía: Cambios en la verificación de correo del NCSC para el sector público del Reino Unido.

El siguiente análisis revela un panorama en el que las organizaciones han marcado la casilla de «autenticación» (SPF), pero han ignorado en gran medida las capas de «cifrado» (MTA-STS) e «integridad» (DNSSEC).

Solicitud de informe: adopción de DMARC en el Reino Unido

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Panorama general del Reino Unido: una historia de dos defensas

Antes de profundizar en los sectores específicos, aquí se muestra la postura general en materia de seguridad del Reino Unido en los 875 dominios analizados.

SPF del Reino Unido

Precisión del SPF: 93,7 %

DMARC del Reino Unido

Adopción de DMARC: 86,4 %

DMARC p=rechazar – 44,1 %

MTA-STS del Reino Unido

Adopción de MTA-STS: 20,6 %

Sin MTA-STS: 79,4 %

Pruebas MTA-STS: 4,5 %

MTA-STS Enforce: 16,1 %

Logotipo BIMI

Adopción de DNSSEC: 3,8 %

Prueba de 15 días

1. Banca y finanzas: el perímetro seguro con túneles abiertos

Los bancos del Reino Unido lideran el país en materia de cumplimiento normativo, pero una importante brecha en el transporte deja a billones de libras en transferencias electrónicas vulnerables a la interceptación.

Métrica Tasa de adopción
Corrección SPF 93.5%
DMARC p=rechazar 61.3%
Sin registro DMARC 0.0%
Adopción de MTA-STS 4.8%
Adopción de DNSSEC 11.3%
Adopción de SPF bancario en el Reino Unido

El riesgo crítico: interceptación de transacciones de alto valor.

Si bien los bancos del Reino Unido tienen la tasa de cumplimiento más alta (61,3 %), la diferencia del 95,2 % en MTA-STS es catastrófico, con solo un 1,6 % en modo de prueba y un 3,2 % en modo de aplicación. Sin seguridad en el transporte, los correos electrónicos de confirmación confidenciales de SWIFT viajan a través de rutas no cifradas. Datos recientes muestran que el fraude en los pagos y las estafas robaron más de 629,3 millones de libras esterlinas solo en la primera mitad de 2025, a menudo iniciados por comunicaciones de correo electrónico manipuladas.

La solución PowerDMARC:

Con Hosted MTA-STS, obligamos a que todo el tránsito de correo electrónico financiero se realice a través de canales TLS 1.2+ cifrados, lo que reduce considerablemente el riesgo de «ataques de degradación», en los que los delincuentes eliminan el cifrado para leer las comunicaciones confidenciales entre el banco y el cliente durante el tránsito.

2. Gobierno: liderando por mandato, fracasando por descuidar la identidad

El sector público del Reino Unido presenta las tasas de cifrado más altas del país, pero 1 de cada 8 departamentos aún carece de un registro DMARC básico.

Métrica Tasa de adopción
Corrección SPF 94.8%
DMARC p=rechazar 57.1%
Sin registro DMARC 12.2%
Adopción de MTA-STS 39.9%
Adopción de DNSSEC 2.6%
Adopción del DMARC por parte del Gobierno del Reino Unido

El riesgo crítico: suplantación de identidad de ciudadanos y fugas de información de identificación personal.

Los dominios gubernamentales son los líderes indiscutibles en la adopción de MTA-STS (39,9 %), impulsados por las directrices del NCSC; el 7,6 % se encuentra en modo de prueba y el 32,4 % en modo de aplicación. Sin embargo, con un 12,2 % carece de cualquier registro DMARCy otro 42,9 % no alcanza p=reject, la capa de identidad sigue siendo porosa. La filtración de datos del Ministerio de Defensa de 2024, que comprometió los datos de nóminas de 272 000 empleados, pone de relieve lo vulnerable que puede ser la infraestructura del sector público a la explotación basada en la identidad.

La solución PowerDMARC:

Nuestra plataforma automatiza el proceso de p=reject para los subdominios gubernamentales, garantizando que cumplan con los más altos estándares de seguridad sin riesgo de interrumpir los flujos de comunicación críticos con los ciudadanos.

3. Asistencia sanitaria: riesgos relacionados con la HIPAA en territorio británico

La confianza de los pacientes está en juego, ya que solo 1 de cada 3 proveedores de atención médica puede impedir activamente que un correo electrónico falso llegue a un paciente.

Métrica Tasa de adopción
Corrección SPF 92.5%
DMARC p=rechazar 34.0%
Sin registro DMARC 13.2%
Adopción de MTA-STS 9.4%
Adopción de DNSSEC 1.9%
Adopción de MTA-STS en el sector sanitario del Reino Unido

El riesgo crítico: fugas de datos de información médica protegida (PHI).

La sanidad sigue siendo un objetivo prioritario para grupos de ransomware como Qilin, que recientemente atacó al Servicio Nacional de Salud británico (NHS) y filtró 400 GB de datos privados. Con un bajo nivel de aplicación de DMARC (34,0 %) y un DNSSEC casi inexistente (1,9 %), los atacantes pueden falsificar fácilmente las credenciales de los hospitales para distribuir malware o engañar al personal para que revele historiales médicos confidenciales.

La solución PowerDMARC:

Ofrecemos una ruta gestionada hacia la plena DMARC y MTA-STS, garantizando que todos los registros médicos salientes estén cifrados y que todos los avisos sanitarios oficiales estén verificados.

Agendar demo

4. Transporte y logística: la puerta de entrada desprotegida de la cadena de suministro

Las redes de transporte del Reino Unido son una invitación abierta al fraude, ya que registran la tasa más alta de «No-DMARC» del país.

Métrica Tasa de adopción
Corrección SPF 91.3%
DMARC p=rechazar 32.8%
Sin registro DMARC 26.7%
Adopción de MTA-STS 6.2%
Adopción de DNSSEC 2.6%

El riesgo crítico: secuestro de facturas e interrupción del servicio.

El sector del transporte está muy expuesto, con más del 26 % de los dominios carecen por completo de DMARC. El ciberataque de 2024 contra Transport for London (TfL), que comprometió los datos financieros de 5000 clientes, demuestra que los sistemas de transporte son objetivos de gran valor. Los atacantes utilizan «alertas de equipos críticos» falsificadas o manifiestos falsos para salvar la distancia entre la bandeja de entrada corporativa y la logística física.

La solución PowerDMARC:

Optimizamos registros SPF complejos para permanecer dentro de los límites de búsqueda de DNS y aplicamos políticas DMARC estrictas para proteger los canales logísticos contra el fraude en las facturas.

5. Educación: El campo de la recolección de propiedad intelectual

Los campus universitarios son objetivos muy valiosos para el robo de propiedad intelectual, pero mantienen las tasas de aplicación de la ley más bajas del Reino Unido.

Métrica Tasa de adopción
Corrección SPF 94.6%
DMARC p=rechazar 23.9%
Sin registro DMARC 4.3%
Adopción de MTA-STS 17.4%
Adopción de DNSSEC 4.3%
Educación Adopción SPF Reino Unido

El riesgo crítico: investigación y recolección de datos de inicio de sesión.

Un asombroso 91 % de las instituciones de educación superior del Reino Unido identificaron una brecha cibernética en 2025. La baja aplicación de DMARC (23,9 %) permite a los atacantes falsificar los inicios de sesión de las universidades, obteniendo acceso a bases de datos de investigación valoradas en varios millones de libras y a registros financieros de los estudiantes.

La solución PowerDMARC:

Ayudamos a las universidades a gestionar miles de subdominios departamentales desde un único panel de control, reduciendo drásticamente los intentos de phishing exitosos en todo el campus.

6. Medios de comunicación: el amplificador de la desinformación

Las redacciones luchan contra las noticias falsas, pero sus propios dominios de correo electrónico siguen siendo vulnerables a las firmas falsificadas y a la distribución de deepfakes.

Métrica Tasa de adopción
Corrección SPF 98.4%
DMARC p=rechazar 41.3%
Sin registro DMARC 3.2%
Adopción de MTA-STS 1.6%
Adopción de DNSSEC 1.6%
Logotipo BIMI

El riesgo crítico: robo de identidad de la fuente y fraude con deepfakes.

Aunque Media tiene un alto índice de corrección SPF (98,4 %), su adopción de MTA-STS y DNSSEC es prácticamente nula. Esto significa que las comunicaciones de los periodistas son visibles para quienes supervisan la red, y sus nombres pueden ser falsificados para difundir noticias falsas o engañar a los empleados para que realicen transferencias fraudulentas.

La solución PowerDMARC:

Trasladamos los dominios multimedia a p=reject, lo que garantiza que solo el personal verificado pueda enviar correos electrónicos, preservando así la confianza en la marca en una era de guerras informativas impulsadas por la inteligencia artificial.

Prueba de 15 días

7. Telecomunicaciones: imán para las estafas a los abonados

Los operadores protegen sus redes, pero dejan sus bandejas de entrada abiertas, lo que fomenta el fraude en la facturación y la epidemia del intercambio de tarjetas SIM.

Métrica Tasa de adopción
Corrección SPF 91.0%
DMARC p=rechazar 32.8%
Sin registro DMARC 11.9%
Adopción de MTA-STS 9.0%
Adopción de DNSSEC 9.0%
Logotipo BIMI

El riesgo crítico: fraude en la facturación y apropiación de cuentas.

Las altas tasas de «No-DMARC» (11,9 %) permiten a los estafadores enviar alertas de facturación falsas que parecen legítimas, engañando a los usuarios para que revelen los códigos 2FA necesarios para el intercambio de SIM o el robo de identidad.

La solución PowerDMARC:

Nuestra plataforma aplica p=reject en todos los dominios de los operadores y aloja MTA-STS para proteger los flujos de facturación automatizados, lo que imposibilita que los estafadores utilicen el nombre del propio operador en contra de sus suscriptores.

Bajo el capó: cuatro debilidades estructurales

La brecha de implementación p=none

El 18,9 % de los dominios del Reino Unido tienen DMARC, pero carecen de aplicación.

La opinión de los expertos:

«Una política DMARC establecida en p=none solo proporciona informes y visibilidad sobre los intentos de suplantación de identidad, sin bloquearlos. Aunque la alta tasa de adopción en el Reino Unido es alentadora, es necesario pasar a una política DMARC de p=reject para prevenir activamente el uso no autorizado del correo electrónico».

Maitham Al Lawati, Director General de PowerDMARC

La opinión de los expertos:

«El límite de 10 búsquedas es un techo infranqueable en el DNS. Sin técnicas de optimización SPF como el aplanamiento o las macros para comprimir estos registros, el crecimiento de su pila digital inevitablemente rompe la capacidad de entrega de su correo electrónico».

Yunes Tarada, Director de Prestación de Servicios, PowerDMARC

Complejidad del SPF a escala

El 6,3 % de los dominios del Reino Unido presentan errores críticos de configuración, a menudo debido al «límite de 10 consultas».

MTA-STS: El déficit de cifrado

El 79,4 % de los dominios del Reino Unido presentan una brecha de control total en materia de seguridad del transporte.

La opinión de los expertos:

«El cifrado estándar del correo electrónico (STARTTLS) es oportunista. MTA-STS es una forma de reforzar el bloqueo del transporte. Con casi todo el tráfico del Reino Unido expuesto, es muy fácil para un atacante eliminar el cifrado y leer las comunicaciones corporativas confidenciales en tránsito».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

La opinión de los expertos:

«DNSSEC actúa como guardián de su identidad digital. Ya no es solo un protocolo informático, sino una capa fundamental de la gestión de la reputación de la marca. Un solo incidente de secuestro de DNS puede destruir la confianza en la marca en cuestión de segundos».

Ahona Rudra, directora de marketing, PowerDMARC

DNSSEC: La base débil

Habilitado solo en el 3,8 % de los dominios del Reino Unido.

Contáctenos

Benchmarking global: el Reino Unido en contexto

Esta tabla compara los protocolos de seguridad críticos: Corrección de SPF (registros válidos), Aplicación de DMARC (p=rechazar), Adopción de MTA-STS (cifrado de transporte) y DNSSEC habilitado.

PaísSPF CorrectoDMARC (p=rechazar)MTA-STSDNSSEC
Estados Unidos 🇺🇸95.7%49.0%1.7%18.0%
Australia 🇦🇺92.3%46.7%5.8%6.8%
Reino Unido 🇬🇧93.7%44.1%20.6%3.8%
Noruega 🇳🇴85.2%29.0%2.8%45.6%
Italia 🇮🇹91.0%16.7%1.0%3.5%
Arabia Saudita 🇸🇦80.6%18.4%0.2%11.9%
Japón 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Conclusiones clave de los informes oficiales

La brecha en la aplicación de la ley

Aunque la adopción del SPF es universalmente alta (con una media superior 90 % en los países desarrollados), el cambio de la «vigilancia» (p=none) a la «aplicación» (p=rechazo) sigue siendo el mayor obstáculo. Japón, por ejemplo, tiene un alto SPF (95 %), pero adolece de una enorme brecha en la aplicación, con solo 9,2 % de los dominios bloquean activamente los correos electrónicos falsificados.

El destacado MTA-STS del Reino Unido

The United Kingdom shows an unusually high MTA-STS adoption rate (20.6%) compared to the global average (typically <2%). This is largely attributed to strict NCSC (National Cyber Security Centre) guidelines that have pushed for transport layer security across government and critical infrastructure sectors.

Adopción de DNSSEC

Noruega y Estados Unidos lideran la adopción de DNSSEC, especialmente en los sectores gubernamental y financiero, lo que refleja una mayor prioridad en la prevención de ataques de secuestro de DNS y envenenamiento de caché en esas regiones.

La «trampa del cumplimiento»

PowerDMARC destaca que muchas organizaciones siguen en p=none indefinidamente. En el informe Arabia Saudí 2025, por ejemplo, numerosas organizaciones con DMARC siguen en modo «pasivo», lo que las deja vulnerables a la suplantación de identidad a pesar de tener un registro.

Conclusión: De las métricas a la acción

Los datos son claros: el Reino Unido ha establecido una sólida base técnica, pero aún no ha logrado salvar por completo la brecha entre la supervisión pasiva y la aplicación activa de las normas de transporte. Si bien el SPF es casi omnipresente (93,7 %) y la adopción de DMARC es elevada (86,4 %), más de la mitad del país no ha logrado una aplicación plena (p=reject) y la falta generalizada de integridad DNSSEC (brecha del 96,2 %) sigue siendo una vulnerabilidad que supone miles de millones de libras.

Las organizaciones del Reino Unido no pueden permitirse esperar al próximo advertencia del NCSC o un incidente catastrófico de compromiso del correo electrónico empresarial (BEC) para pasar de la supervisión a la protección. PowerDMARC salva esta «brecha de implementación» proporcionando:

Vías de aplicación automatizadas: Migración segura de empresas del FTSE 100 y pymes desde p=none a p=reject sin bloquear las comunicaciones comerciales críticas ni el flujo de correo de los departamentos.

Simplificación de la infraestructura: superación del «límite de 10 búsquedas» con la optimización de SPF, alojamiento de MTA-STS para cerrar la brecha de cifrado del 79 , 4 % y validación de registros DNSSEC en un único panel de control nativo de la nube.

Preparación normativa: Apoyo al cumplimiento del RGPD, UK Cyber Essentialsy PCI-DSS 4.0 simplificando la protección contra el phishing y protegiendo las comunicaciones confidenciales por correo electrónico.

Reservar una demostración Póngase en contacto con nosotros

Perspectiva de PowerDMARC

«El Reino Unido es actualmente uno de los principales objetivos del phishing y el fraude de facturas impulsados por la inteligencia artificial. Aunque los equipos informáticos británicos son excelentes a la hora de publicar registros fundamentales, a menudo se ven paralizados por el miedo a bloquear correos legítimos. En 2026, una postura de «solo supervisión» es esencialmente una rendición ante el spoofing sofisticado. El paso a la defensa activa no es solo una mejora de la seguridad, sino que es esencial para la protección contra las violaciones que apuntan al corazón de la economía digital del Reino Unido».

Equipo de PowerDMARC

Convierta la visibilidad en defensa hoy mismo

Las tasas de adopción en el Reino Unido muestran que la base está lista; ahora es el momento de dar el paso. En un panorama en el que la IA puede imitar a la perfección el tono de un ejecutivo, no basta con confiar únicamente en la «visibilidad».

No permita que su dominio siga siendo una «frontera desprotegida». Pase de la supervisión pasiva a la protección activa antes de que la próxima oleada de ataques coordinados afecte a su sector.

Póngase en contacto con PowerDMARC para comenzar su camino hacia la aplicación.

Prueba de 15 díasAgendar demo