Informe sobre la adopción de DMARC y MTA-STS en el Reino Unido en 2026

PowerDMARC se propuso el reto de analizar cuál es la situación del Reino Unido en materia de prácticas de autenticación del correo electrónico en 2026. El resultado es un informe que estudia la adopción de DMARC, SPF, MTA-STS y DNSSEC en el país, sector por sector y en el contexto global. 875 dominios del Reino Unido, 22 páginas, con información que indica que más del 50 % del país necesita protegerse frente a brechas de seguridad costosas e inmediatas.

Esto cobra cada vez más relevancia debido a que el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) retiró oficialmente sus servicios «Mail Check» y «Web Check» el 31 de marzo de 2026. Ahora, las empresas y organizaciones están optando por herramientas privadas como PowerDMARC para la implementación y el cumplimiento de los protocolos de autenticación. 

Nuestro informe pone de manifiesto que el país solo está parcialmente preparado, con vulnerabilidades que los atacantes pueden aprovechar fácilmente. Las organizaciones han cumplido con los requisitos de «autenticación» (SPF), pero han ignorado en gran medida las capas de «cifrado» (MTA-STS) e «integridad» (DNSSEC).

A continuación te ofrecemos un breve resumen de algunas de las conclusiones del Informe sobre la adopción de DMARC y MTA-STS en el Reino Unido de PowerDMARC de 2026. Puedes consultar información aún más detallada en el informe completo.

Panorama general del Reino Unido: una historia de dos defensas

Veamos primero cuál es la situación general del Reino Unido antes de pasar a los distintos sectores y a su análisis.

SPF del Reino Unido

Precisión del SPF: 93,7 %

DMARC del Reino Unido

Adopción de DMARC: 86,4 %

DMARC p=rechazar – 44,1 %

MTA-STS del Reino Unido

Adopción de MTA-STS: 20,6 %

Sin MTA-STS: 79,4 %

Pruebas MTA-STS: 4,5 %

MTA-STS Enforce: 16,1 %

Logotipo BIMI

Adopción de DNSSEC: 3,8 %

Prueba de 15 días

1. Banca y finanzas: el perímetro seguro con túneles abiertos

El sector con mejor rendimiento del Reino Unido sigue dejando sin cifrar más del 95 % del tráfico de correos electrónicos financieros, a solo un ataque de degradación de seguridad de quedar al descubierto las confirmaciones SWIFT.

Métrica Tasa de adopción
Corrección SPF 93.5%
DMARC p=rechazar 61.3%
Adopción de MTA-STS 4.8%
Adopción de SPF bancario en el Reino Unido

❌ El riesgo crítico: la interceptación de transacciones de alto valor.

Un alto nivel de aplicación de las normas no protege a los bancos del Reino Unido durante la transmisión a través de canales no cifrados. Datos recientes revelan que el fraude en los pagos y las estafas han supuesto pérdidas por valor de más de 629,3 millones de libras solo en el primer semestre de 2025, a menudo iniciados mediante comunicaciones por correo electrónico manipuladas.

✅ La solución de PowerDMARC:

Con Hosted MTA-STS, obligamos a que todo el tránsito de correo electrónico financiero se realice a través de canales TLS 1.2+ cifrados, lo que reduce considerablemente el riesgo de «ataques de degradación», en los que los delincuentes eliminan el cifrado para leer las comunicaciones confidenciales entre el banco y el cliente durante el tránsito.

2. Gobierno: liderando por mandato, fracasando por descuidar la identidad

El Gobierno es pionero en la adopción de MTA-STS, pero ¿es eso suficiente? Más del 60 % de las comunicaciones por correo electrónico siguen transmitiéndose sin medidas de seguridad.

Métrica Tasa de adopción
Corrección SPF 94.8%
DMARC p=rechazar 57.1%
Adopción de MTA-STS 39.9%
Adopción del DMARC por parte del Gobierno del Reino Unido

❌ El riesgo crítico: suplantación de identidad de los ciudadanos y fugas de datos personales.

Las cifras demuestran que iniciativas serias, como las directrices del NCSC, han impulsado la autenticación del correo electrónico hasta convertirla en una necesidad, pero aún queda mucho por hacer. La filtración de datos del Ministerio de Defensa de 2024, que puso en peligro los datos de nóminas de 272 000 empleados, pone de relieve lo vulnerable que sigue siendo la infraestructura del sector público ante los ataques basados en la identidad. 

✅ La solución de PowerDMARC:

Nuestra plataforma automatiza el proceso de p=reject para los subdominios gubernamentales, garantizando que cumplan con los más altos estándares de seguridad sin riesgo de interrumpir los flujos de comunicación críticos con los ciudadanos.

3. Asistencia sanitaria: riesgos relacionados con la HIPAA en territorio británico

Dos tercios de los proveedores de asistencia sanitaria del Reino Unido no pueden bloquear un correo electrónico suplantado y, dado que el 13,2 % carece por completo de un registro DMARC, los datos de los pacientes están a un solo enlace de phishing de sufrir una filtración.

Métrica Tasa de adopción
DMARC p=rechazar 34.0%
Sin registro DMARC 13.2%
Adopción de MTA-STS 9.4%
Adopción de MTA-STS en el sector sanitario del Reino Unido

❌ El riesgo crítico: fugas de datos de información sanitaria protegida (PHI).

El sector sanitario sigue siendo uno de los principales objetivos de grupos de ransomware como Qilin, que recientemente atacaron al NHS y filtraron 400 GB de datos privados. Dada la escasa aplicación de DMARC y un nivel de DNSSEC prácticamente nulo, los atacantes pueden falsificar fácilmente las credenciales de los hospitales para distribuir malware o acceder a historiales médicos confidenciales.

✅ La solución de PowerDMARC:

Ofrecemos una ruta gestionada hacia la plena DMARC y MTA-STS, garantizando que todos los registros médicos salientes estén cifrados y que todos los avisos sanitarios oficiales estén verificados.

Agendar demo

4. Transporte y logística: la puerta de entrada desprotegida de la cadena de suministro

Las redes de transporte del Reino Unido son una invitación abierta al fraude, ya que registran la tasa más alta de «No-DMARC» del país.

Métrica Tasa de adopción
DMARC p=rechazar 32.8%
Sin registro DMARC 26.7%
Adopción de MTA-STS 6.2%

❌ El riesgo crítico: secuestro de facturas e interrupción del servicio.

El ciberataque de 2024 contra Transport for London (TfL), que puso en peligro los datos financieros de 5.000 clientes, demuestra que los sistemas de transporte público son objetivos de gran valor. Los atacantes utilizan «alertas de equipos críticos» falsificadas o manifiestos falsos para salvar la brecha entre el buzón de correo corporativo y la logística física.

✅ La solución de PowerDMARC:

Optimizamos registros SPF complejos para permanecer dentro de los límites de búsqueda de DNS y aplicamos políticas DMARC estrictas para proteger los canales logísticos contra el fraude en las facturas.

5. Educación: El campo de la recolección de propiedad intelectual

Las universidades del Reino Unido son las que menos aplican el protocolo DMARC en todo el país, a pesar de que aproximadamente el 91 % de las instituciones de educación superior hayan notificado una brecha cibernética en 2025.

Métrica Tasa de adopción
Corrección SPF 94.6%
DMARC p=rechazar 23.9%
Sin registro DMARC 4.3%
Educación Adopción SPF Reino Unido

❌ El riesgo crítico: investigación y recopilación de datos de inicio de sesión.

El bajo nivel de aplicación de DMARC (23,9 %) permite a los atacantes falsificar datos de acceso a la universidad, lo que les da acceso a bases de datos de investigación valoradas en varios millones de libras y a los expedientes financieros de los estudiantes.

✅ La solución de PowerDMARC:

Ayudamos a las universidades a gestionar miles de subdominios departamentales desde un único panel de control, reduciendo drásticamente los intentos de phishing exitosos en todo el campus.

6. Medios de comunicación: el amplificador de la desinformación

Las redacciones luchan contra las noticias falsas, pero sus propios dominios de correo electrónico siguen siendo vulnerables a las firmas falsificadas y a la distribución de deepfakes.

Métrica Tasa de adopción
Corrección SPF 98.4%
Adopción de MTA-STS 1.6%
Adopción de DNSSEC 1.6%
Logotipo BIMI

❌ El riesgo crítico: el robo de identidad y el fraude mediante deepfakes.

Aunque Media presenta un alto nivel de corrección del SPF, su adopción de MTA-STS y DNSSEC es prácticamente nula. Esto significa que las comunicaciones de los periodistas son visibles para quienes supervisan la red, y que sus credenciales pueden ser suplantadas para difundir noticias falsas generadas con deepfake o engañar a los empleados para que realicen transferencias fraudulentas.

✅ La solución de PowerDMARC:

Trasladamos los dominios multimedia a p=reject, lo que garantiza que solo el personal verificado pueda enviar correos electrónicos, preservando así la confianza en la marca en una era de guerras informativas impulsadas por la inteligencia artificial.

Prueba de 15 días

7. Telecomunicaciones: imán para las estafas a los abonados

Las operadoras de telecomunicaciones protegen la red, pero no la bandeja de entrada, lo que permite a los estafadores enviar alertas de facturación falsas a millones de abonados.

Métrica Tasa de adopción
Corrección SPF 91.0%
DMARC p=rechazar 32.8%
Sin registro DMARC 11.9%
Logotipo BIMI

❌ El riesgo crítico: fraude en la facturación y apropiación de cuentas.

Las elevadas tasas de «No-DMARC», junto con una configuración incorrecta de DMARC, permiten a los estafadores enviar alertas de facturación falsas que parecen legítimas, lo que lleva a los usuarios a revelar los códigos de autenticación de dos factores (2FA) necesarios para el intercambio de tarjetas SIM o el robo de identidad.

✅ La solución de PowerDMARC:

Nuestra plataforma aplica p=reject en todos los dominios de los operadores y aloja MTA-STS para proteger los flujos de facturación automatizados, lo que imposibilita que los estafadores utilicen el nombre del propio operador en contra de sus suscriptores.

Bajo el capó: cuatro debilidades estructurales

La brecha de implementación p=none

El 18,9 % de los dominios del Reino Unido tienen DMARC, pero carecen de aplicación.

La opinión de los expertos:

«Una política DMARC establecida en p=none solo proporciona informes y visibilidad sobre los intentos de suplantación de identidad, sin bloquearlos. Aunque la alta tasa de adopción en el Reino Unido es alentadora, es necesario pasar a una política DMARC de p=reject para prevenir activamente el uso no autorizado del correo electrónico».

Maitham Al Lawati, director ejecutivo de PowerDMARC

La opinión de los expertos:

«El límite de 10 búsquedas es un techo infranqueable en el DNS. Sin técnicas de optimización SPF como el aplanamiento o las macros para comprimir estos registros, el crecimiento de su pila digital inevitablemente rompe la capacidad de entrega de su correo electrónico».

Yunes Tarada, responsable de prestación de servicios de PowerDMARC

Complejidad del SPF a escala

El 6,3 % de los dominios del Reino Unido presentan errores críticos de configuración, a menudo debido al «límite de 10 consultas».

MTA-STS: El déficit de cifrado

El 79,4 % de los dominios del Reino Unido presentan una brecha de control total en materia de seguridad del transporte.

La opinión de los expertos:

«El cifrado estándar del correo electrónico (STARTTLS) es oportunista. MTA-STS es una forma de reforzar el bloqueo del transporte. Con casi todo el tráfico del Reino Unido expuesto, es muy fácil para un atacante eliminar el cifrado y leer las comunicaciones corporativas confidenciales en tránsito».

Ayan Bhuiya, jefe de turno de Operaciones y Entrega, PowerDMARC

La opinión de los expertos:

«DNSSEC actúa como guardián de su identidad digital. Ya no es solo un protocolo informático, sino una capa fundamental de la gestión de la reputación de la marca. Un solo incidente de secuestro de DNS puede destruir la confianza en la marca en cuestión de segundos».

Ahona Rudra, directora de marketing de PowerDMARC

DNSSEC: La base débil

Habilitado solo en el 3,8 % de los dominios del Reino Unido.

Contáctenos

Benchmarking global: el Reino Unido en contexto

Esta tabla compara la situación del Reino Unido en materia de protocolos de seguridad fundamentales con la de países como Estados Unidos, Noruega y Japón.

PaísSPF CorrectoDMARC (p=rechazar)MTA-STSDNSSEC
Estados Unidos 🇺🇸95.7%49.0%1.7%18.0%
Australia 🇦🇺92.3%46.7%5.8%6.8%
Reino Unido 🇬🇧93.7%44.1%20.6%3.8%
Noruega 🇳🇴85.2%29.0%2.8%45.6%
Italia 🇮🇹91.0%16.7%1.0%3.5%
Arabia Saudita 🇸🇦80.6%18.4%0.2%11.9%
Japón 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Conclusiones clave de los informes oficiales

❗La brecha en la aplicación de la ley

El Reino Unido cuenta con un alto índice de adopción de SFP, pero menos de la mitad de sus dominios cuentan con protección activa contra los correos electrónicos suplantados.

El MTA-STS más destacado del Reino Unido

En comparación con otros países, el Reino Unido presenta una elevada tasa de adopción de MTA-STS, lo cual resulta importante para la protección del tránsito. Esto se debe a las estrictas directrices del NCSC.

Adopción de DNSSEC

El Reino Unido va a la zaga de la mayoría de los países en cuanto a la adopción de DNSSEC, lo que lo deja expuesto a ataques de secuestro de DNS y de envenenamiento de caché.

La «trampa del cumplimiento normativo»

A pesar de que cada vez son más las organizaciones que alojan registros DMARC, su postura sigue siendo pasiva, ya que no tienen el valor «p=reject». Esto significa simplemente que se limitan a supervisar, en lugar de proteger.

Conclusión: De las métricas a la acción

El Informe sobre la adopción de DMARC y MTA-STS en el Reino Unido de 2026 pone de manifiesto que el Reino Unido ha establecido una sólida base técnica, pero que aún no ha logrado salvar por completo la brecha entre la supervisión pasiva y la aplicación activa de las normas de transporte.

No puedes permitirte esperar a la próxima alerta del NCSC o a que se produzca un incidente catastrófico de suplantación de identidad en el correo electrónico empresarial (BEC) para pasar de la supervisión a la protección. PowerDMARC salva esta «brecha de implementación» al ofrecer:

Vías de aplicación automatizadas: Migración segura de empresas del FTSE 100 y pymes desde p=none a p=reject sin bloquear las comunicaciones comerciales críticas ni el flujo de correo de los departamentos.

Simplificación de la infraestructura: superación del «límite de 10 búsquedas» con la optimización de SPF, alojamiento de MTA-STS para cerrar la brecha de cifrado del 79 , 4 % y validación de registros DNSSEC en un único panel de control nativo de la nube.

Preparación normativa: Apoyo al cumplimiento del RGPD, UK Cyber Essentialsy PCI-DSS 4.0 simplificando la protección contra el phishing y protegiendo las comunicaciones confidenciales por correo electrónico.

Reservar una demostración Póngase en contacto con nosotros

Perspectiva de PowerDMARC

«El Reino Unido es actualmente uno de los principales objetivos del phishing y el fraude de facturas impulsados por la inteligencia artificial. Aunque los equipos informáticos británicos son excelentes a la hora de publicar registros fundamentales, a menudo se ven paralizados por el miedo a bloquear correos legítimos. En 2026, una postura de «solo supervisión» es esencialmente una rendición ante el spoofing sofisticado. El paso a la defensa activa no es solo una mejora de la seguridad, sino que es esencial para la protección contra las violaciones que apuntan al corazón de la economía digital del Reino Unido».

Equipo de PowerDMARC

Convierta la visibilidad en defensa hoy mismo

Las tasas de adopción en el Reino Unido muestran que la base está lista; ahora es el momento de dar el paso. En un panorama en el que la IA puede imitar a la perfección el tono de un ejecutivo, no basta con confiar únicamente en la «visibilidad».

No permita que su dominio siga siendo una «frontera desprotegida». Pase de la supervisión pasiva a la protección activa antes de que la próxima oleada de ataques coordinados afecte a su sector.

Póngase en contacto con PowerDMARC para comenzar su camino hacia la aplicación.

Prueba de 15 díasAgendar demo