Informe sobre la adopción de DMARC y MTA-STS en Estados Unidos en 2026

El informe de PowerDMARC de 2026 sobre la autenticación del correo electrónico en EE. UU. tenía como objetivo estudiar la adopción de DMARC en el país, su configuración y su enfoque en protocolos avanzados de seguridad de tránsito como MTA-STS y DNSSEC. Nuestras estadísticas abarcan el conjunto del país y sus principales sectores para poner de manifiesto problemas clave de seguridad que pasan desapercibidos.

Lo que no sorprende es la sólida adopción de DMARC, lo que refleja una seria consideración hacia los protocolos de autenticación del correo electrónico. Lo que sí sorprendió fue la falta de protección en el tránsito, donde persisten en mayor medida los riesgos de suplantación de identidad y de reducción del nivel de seguridad.

A pesar de las directrices federales más estrictas, como la iniciativa «Shields Up» de la CISA  y las iniciativas nacionales más amplias en materia de ciberseguridad, Estados Unidos sigue siendo un terreno propicio para las estafas de suplantación de identidad impulsadas por la IA y las estafas de compromiso del correo electrónico empresarial (BEC), que el año pasado le costaron a la economía más de 2.9 mil millones de dólares el año pasado.

Este análisis de PowerDMARC pone de manifiesto que, aunque el país ha abordado la autenticación de identidad (SPF/DMARC), ha dejado peligrosamente expuestas la seguridad de la capa de transporte (MTA-STS) y la integridad de las zonas (DNSSEC). Echemos un vistazo rápido a lo que revela el informe.

Situación general de la seguridad del correo electrónico en EE. UU.

La autenticación del correo electrónico en EE. UU. es un sistema de dos niveles: registros básicos casi universales (SPF y DMARC) combinados con una protección mínima en la capa de transporte (MTA-STS y DNSSEC). En más de 900 dominios, las métricas de referencia son las siguientes:

SPF

EE. UU. SPF

DMARC

EE. UU.-DMARC-Square

MTA-STS

EE. UU. MTA-STS

DNSSEC

Logotipo BIMI

Métricas de seguridad del correo electrónico en EE. UU.

Métrica Tasa de adopción
Corrección SPF 95.7%
Adopción de DMARC 95.8%
DMARC p=rechazar 49.0%
Adopción de MTA-STS 1.7%
Adopción de DNSSEC 18.0%
Prueba de 15 días

1. Banca y finanzas: infraestructura de alto nivel de cumplimiento normativo

La estafa de phishing de JPMorgan de 2024 reportó 100 millones de dólares, lo que vuelve a poner de manifiesto que, aunque los bancos de EE. UU. bancos dan prioridad a la aplicación de la ley, no todo queda a salvo con eso únicamente.

Métrica Tasa de adopción
Corrección SPF 90.9%
Adopción de MTA-STS 3.0%
Adopción de DNSSEC 22.7%
Adopción de SPF en el sector bancario

❌Riesgo crítico

Secuestro de confirmaciones SWIFT: Con una brecha del 97,0 % en el protocolo MTA-STS, los atacantes pueden interceptar las confirmaciones de las transferencias bancarias en tránsito antes incluso de que se detecte la brecha de seguridad.

✅Solución de PowerDMARC

Automatizado Alojamiento MTA-STS: El tránsito de correo electrónico se realiza a través de canales cifrados con TLS 1.2 o superior, lo que reduce considerablemente el riesgo de degradación y de interceptación al aplicar TLS para la entrega entrante y exigir el cumplimiento de las políticas a través de MTA-STS.

2. Gobierno: obligatorio pero vulnerable

Las agencias federales de EE. UU. lideran la aplicación de DMARC gracias a las directivas operativas vinculantes de la CISA. La falta de visibilidad sigue siendo generalizada en materia de seguridad del transporte.

Métrica Tasa de adopción
Corrección SPF 97.7%
DMARC p=rechazar 80.1%
Adopción de MTA-STS 3.4%

❌Riesgo crítico

Crítico Suplantación: Dada la naturaleza de la seguridad requerida, incluso el escaso 19,9 % permite a actores estatales extranjeros falsificar credenciales oficiales .gov, eludiendo la confianza de los ciudadanos para distribuir malware o recopilar información personal identificable (PII) sensible.

✅Solución de PowerDMARC

Cumplimiento automatizado de SCuBA para dominios .gov: Nuestra plataforma automatiza los requisitos de autenticación de correo electrónico de la directiva BOD 25-01 de la CISA, proporcionando un panel de control centralizado para migrar los dominios .gov a DMARC p=reject sin ningún esfuerzo manual, cumpliendo así con los requisitos mínimos de seguridad de SCuBA para M365 y Google Workspace.

3. Atención sanitaria: el flanco desprotegido de la HIPAA

¿Recuerdas la filtración de datos de Change Healthcare en 2024? Los profesionales sanitarios son blanco constante de ataques mediante remitentes falsos de terceros, y el correo electrónico sigue siendo un eslabón débil.

Métrica Tasa de adopción
DMARC p=rechazar 64.6%
Adopción de MTA-STS 1.3%
Adopción de DNSSEC 11.4%

❌Riesgo crítico

Fugas de datos de carácter personal en el transporte público: 98,7 % del tráfico de correo electrónico del sector sanitario no está cifrado durante su transmisión. Los atacantes pueden interceptar la información sanitaria protegida (PHI) directamente de la red, lo que conlleva multas cuantiosas en virtud de la HIPAA y la filtración de datos de pacientes.

✅Solución de PowerDMARC

Gestiona el proceso para la plena aplicación de DMARC y MTA-STS, garantizando que todos los historiales médicos salientes se cifren a través de un MTA-STS alojado.

Agendar demo

4. Energía y servicios públicos: riesgos tecnológicos operativos

A pesar de los avances, el correo electrónico corporativo sigue siendo una superficie de ataque activa para el ransomware en el sector.

Métrica Tasa de adopción
Corrección SPF 96.8%
DMARC p=rechazar 51.6%
Adopción de MTA-STS 1.6%
Adopción de DNSSEC en el sector energético

❌Riesgo crítico

Pivotes de phishing hacia la tecnología operativa (OT): Casi la mitad del sector es incapaz de bloquear el correo suplantado, lo que convierte la bandeja de entrada en una puerta de acceso a la red eléctrica.

✅Solución de PowerDMARC

Optimización de registros: Aplica estrictas políticas DMARC en todos los dominios de servicios públicos y comprime registros SPF complejos con PowerSPF, sin sobrepasar los límites de consulta del DNS y garantizando al mismo tiempo la seguridad de las comunicaciones operativas.

5. Educación: La recolección de propiedad intelectual

La educación superior estadounidense presenta la tasa de aplicación de DMARC más baja de todos los sectores del país, a pesar de que las universidades son uno de los principales objetivos del robo de propiedad intelectual, el fraude en las subvenciones de investigación y ataques de phishing dirigidos.

Métrica Tasa de adopción
DMARC p=rechazar 30.3%
Adopción de MTA-STS 3.4%
Adopción de DNSSEC 12.4%

❌Riesgo crítico

Robo de credenciales de acceso a universidades: Una tasa de rechazo del 30,3 % significa que, aproximadamente, siete de cada diez campus permiten a los atacantes falsificar correos electrónicos con dominio .edu, lo que les da acceso a bases de datos de investigación valoradas en varios millones de dólares, solicitudes de subvenciones y registros financieros de antiguos alumnos.

✅Solución de PowerDMARC

Gestiona miles de subdominios departamentales desde un único panel de control. Aplica políticas de control en todo el campus, reduciendo así el éxito de los ataques de phishing en los sistemas del profesorado, de antiguos alumnos y de servicios a los estudiantes.

6. Medios de comunicación: el amplificador de la desinformación

La lucha de las redacciones contra las noticias falsas no da los resultados esperados debido a la escasa adopción de medidas de autenticación. Como fuentes de información nacional, se trata de una carencia fundamental que hay que subsanar.

Métrica Tasa de adopción
DMARC p=rechazar 30.4%
Adopción de MTA-STS 0.4%
Adopción de DNSSEC 3.3%
Logotipo BIMI

❌Riesgo crítico

Robo de identidad de origen: Con un nivel de aplicación de MTA-STS prácticamente nulo y un bajo nivel de aplicación de DMARC, las comunicaciones privadas de los periodistas con fuentes sensibles son visibles para cualquiera que supervise la red.

✅Solución de PowerDMARC

Integridad de la fuente: Cambia los dominios de los medios a p=reject, de modo que solo los periodistas verificados puedan enviar correos desde el dominio de la publicación. Añade BIMI para mostrar un logotipo de verificación en las bandejas de entrada de los destinatarios, lo que refuerza la confianza editorial.

Prueba de 15 días

7. Telecomunicaciones: imán para las estafas a los abonados

Las operadoras protegen sus redes, pero dejan sus buzones de correo totalmente desprotegidos, lo que fomenta la epidemia de suplantación de tarjetas SIM que cuesta miles de millones a los estadounidenses cada año.

Métrica Tasa de adopción
DMARC p=rechazar 41.4%
Adopción de MTA-STS 2.3%
Adopción de DNSSEC 12.6%

❌Riesgo crítico

Fraude en la facturación y apropiación de cuentas: Los estafadores envían alertas de facturación que parecen auténticas para obtener códigos de autenticación de dos factores (2FA), que luego utilizan para autorizar cambios de tarjeta SIM y vaciar cuentas bancarias.

✅Solución de PowerDMARC

SIM-Phish Slamming: Aplica el parámetro «p=reject» en todos los dominios de los operadores y en el MTA-STS del host para garantizar la seguridad de los flujos de facturación automatizados.

8. Transporte y logística: el compromiso de la cadena de suministro

Las aerolíneas y las redes ferroviarias se enfrentan al «reenrutamiento logístico», en el que los manifiestos falsificados provocan el robo de carga y el reenrutamiento de los suministros de combustible.

Métrica Tasa de adopción
Corrección SPF 90.2%
DMARC p=rechazar 42.4%
Sin registro DMARC 1.1%
Adopción de MTA-STS 0.0%
Adopción de DNSSEC 12.0%

❌Riesgo crítico

Robo de un manifiesto en texto plano: Un una brecha del 100 % en MTA-STS significa que todos los manifiestos de carga enviados por correo electrónico no están cifrados. Los atacantes pueden interceptar fácilmente los valores y las rutas de los envíos para coordinar el robo físico o digital de las mercancías.

✅Solución de PowerDMARC

Canales logísticos a prueba de fraudes: El alojamiento MTA-STS con un solo clic protege la capa de transporte, garantizando que los datos confidenciales de envío se cifren de extremo a extremo y evitando las interrupciones de tipo «hombre en el medio» provocadas a través del correo electrónico.

Cuatro deficiencias estructurales que provocan la brecha en la aplicación de la ley

La brecha de implementación p=none

El 46,8 % de los dominios estadounidenses tienen DMARC pero carecen de aplicación (p=none o p=quarantine). El estado actual p=none carece de capacidad de reparación, lo que permite a los atacantes seguir suplantando marcas de confianza mientras la organización se limita a observar la actividad en los registros.

«Una política DMARC establecida en p=none solo proporciona informes y visibilidad sobre los intentos de suplantación de identidad, sin bloquearlos. Aunque la alta tasa de adopción en Estados Unidos es alentadora, es necesario pasar a una política DMARC de p=reject para prevenir activamente el uso no autorizado del correo electrónico. Sin su aplicación, los dominios de correo electrónico siguen siendo vulnerables».

Maitham Al Lawati, director ejecutivo de PowerDMARC

«Esto lo vemos constantemente en las empresas de la lista Fortune 500: añaden una nueva herramienta de marketing y, de repente, sus correos electrónicos de facturación empiezan a rebotar. El límite de 10 consultas es un techo infranqueable en el DNS. Sin técnicas de optimización SPF como el aplanamiento o las macros para comprimir estos registros, el crecimiento de su pila digital rompe inevitablemente la capacidad de entrega de su correo electrónico».

Yunes Tarada, Gerente de Prestación de Servicios, PowerDMARC

Complejidad del SPF a escala

Mientras 95,7 % de los dominios tiene un SPF, el 4,3 % presenta errores críticos de configuración. En las complejas empresas estadounidenses, esto suele deberse a que se alcanza el «límite de 10 búsquedas» de consultas DNS, lo que provoca que los correos electrónicos legítimos de proveedores externos (CRM, sistemas de RR. HH.) no superen la autenticación y desaparezcan.

MTA-STS: El déficit de cifrado

Con 98,3 % de exposición generalizada, Estados Unidos tiene una brecha de control casi total en lo que respecta a la seguridad del transporte. Sin MTA-STS, los atacantes pueden realizar «ataques de degradación», obligando a los servidores de correo electrónico a eliminar el cifrado y transmitir mensajes en texto plano, legibles por cualquiera que supervise la red.

«El cifrado estándar del correo electrónico (STARTTLS) es oportunista; solicita el cifrado, pero no lo exige. MTA-STS es una forma de reforzar el bloqueo del transporte. Con casi todo el tráfico de EE. UU. expuesto, para un atacante es muy fácil eliminar el cifrado y leer las comunicaciones corporativas confidenciales en tránsito».

Ayan Bhuiya, jefe de turno de Operaciones y Entrega, PowerDMARC

«Las organizaciones invierten mucho en generar confianza en la marca, pero un solo secuestro de DNS puede destruirla en cuestión de segundos. DNSSEC actúa como guardián de su identidad digital, garantizando que cuando los clientes se pongan en contacto con usted, se conecten con su identidad real. Ya no es solo un protocolo informático, sino una capa fundamental de la gestión de la reputación de la marca».

Ahona Rudra, director de marketing, PowerDMARC

DNSSEC: La base débil

DNSSEC está habilitado solo en 18,0 % de los dominios. Sin él, el sistema de directorios de Internet (DNS) queda desprotegido. Los atacantes sofisticados patrocinados por Estados pueden secuestrar el respuesta del DNS , redirigiendo todo el flujo de correo electrónico de una empresa a un servidor malicioso sin que el remitente o el destinatario se den cuenta.

Contáctenos

Benchmarking global: Estados Unidos en contexto

PaísSPF CorrectoAdopción de DMARCDMARC p=rechazarMTA-STS (Cifrado)Adopción de DNSSEC
Estados Unidos 🇺🇸95.7%95.8%49.0%1.7%18.0%
Países Bajos 🇳🇱92.4%88.5%41.2%14.5%59.0%
Suecia 🇸🇪85.0%77.9%29.9%2.9%25.9%
Noruega 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australia 🇦🇺91.5%78.4%26.5%3.1%6.8%
Arabia Saudita 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japón 🇯🇵95.0%74.6%9.2%0.5%2.1%

Análisis: En qué aspectos destaca EE. UU. y en cuáles se queda atrás

Los datos comparativos de 2025-2026 revelan que Estados Unidos es actualmente el líder mundial en defensa activa, con el mayor tasa de rechazo de las medidas coercitivas del el 49,0 %. Este éxito se debe en gran medida a las primeras disposiciones normativas y al entorno de alto riesgo en los sectores bancario y sanitario.

Sin embargo, Estados Unidos se enfrenta a un problema de «laguna técnica». Aunque la adopción de los estándares básicos SPF y DMARC es casi universal, los Países Bajos superan con creces a Estados Unidos en materia de cifrado avanzado. Esto pone de manifiesto un enfoque estratégico centrado en la lucha contra el phishing (DMARC), mientras que se invierte de forma insuficiente en la resiliencia de las infraestructuras (DNSSEC/MTA-STS).

Además, con una adopción de DNSSEC de solo 18,0 %, Estados Unidos sigue siendo más vulnerable al secuestro sofisticado de DNS que Noruega (45,6 %). Esta diferencia pone de relieve el enfoque estratégico de Estados Unidos en detener el phishing (DMARC), mientras que se invierte menos en la resiliencia de la infraestructura (DNSSEC/MTA-STS). Para que Estados Unidos mantenga su liderazgo en ciberseguridad, la siguiente fase debe ir más allá de la simple verificación de identidad y avanzar hacia el cifrado total y la integridad del ecosistema global del correo electrónico.

De las métricas a la acción: cómo salvar la brecha de implementación

Estados Unidos cuenta con los fundamentos necesarios para liderar a nivel mundial la autenticación del correo electrónico. El trabajo que queda por hacer es de carácter operativo: pasar de la supervisión a la aplicación de las normas e incorporar protección en la capa de transporte, algo que la mayoría de las organizaciones posponen debido a la complejidad que les parece que conlleva.

PowerDMARC subsana esta carencia gracias a tres funciones:

Vías de aplicación automatizadas: Migrar a las empresas de la lista Fortune 500 y a las pymes de p=none a p=reject sin bloquear el correo legítimo.

Simplificación de la infraestructura: Resuelve el límite de 10 consultas SPF con PowerSPF, aloja políticas MTA-STS y valida registros DNSSEC desde un único panel de control nativo de la nube.

Preparación normativa: Apoyo al cumplimiento de las normas PCI-DSS 4.0, HIPAA y CISA desde una única plataforma.

Reservar una demostración Póngase en contacto con nosotros

Perspectiva de PowerDMARC

«Estados Unidos es el principal campo de pruebas para el phishing impulsado por la IA . Los equipos informáticos estadounidenses publican bien los informes, pero se quedan estancados a la hora de aplicar las medidas porque temen bloquear correos legítimos. En 2026, limitarse a la supervisión equivaldrá, en la práctica, a rendirse ante las técnicas sofisticadas de suplantación de identidad. El paso a la defensa activa es una protección esencial contra las filtraciones que marcarán este año».

Equipo de PowerDMARC

Conclusión: De la visibilidad a la defensa

Los datos de 2026 son inequívocos. Las organizaciones estadounidenses han sentado las bases; el siguiente paso es la aplicación de las medidas. En un año en el que la suplantación de identidad impulsada por la IA es capaz de imitar el tono y el estilo de redacción de un directivo a la primera, limitarse únicamente a la vigilancia supone un retraso.

El proceso de migración de p=none a p=reject lleva semanas, no trimestres, cuando los registros se gestionan automáticamente. Los sectores que den el primer paso convertirán el correo electrónico, que actualmente es su mayor superficie de ataque, en un canal de comunicación fiable.

¿Estás listo para pasar de la visibilidad a la defensa activa?

Reserva una demostración

Prueba de 15 díasAgendar demo