Informe sobre la adopción de DMARC y MTA-STS en Estados Unidos en 2026

En PowerDMARC analizamos la postura de autenticación de correo electrónico en los dominios de EE. UU. y destacaron dos cosas: la adopción de DMARC está aumentando, pero su aplicación sigue siendo desigual, y MTA-STS se queda muy atrás. Esa brecha es donde persisten los riesgos de suplantación de identidad y degradación. 

Washington D.C. sigue siendo el epicentro de la política mundial en materia de ciberseguridad, pero a medida que nos acercamos al año 2026, la brecha entre el mandato y la implementación se está ampliando. A pesar del aumento de las directrices federales, como la postura «Shields Up» de la CISA  , y de iniciativas nacionales más amplias en materia de ciberseguridad, Estados Unidos sigue siendo un terreno abonado para las estafas de suplantación de identidad impulsadas por la inteligencia artificial y los fraudes por correo electrónico empresarial (BEC), que el año pasado le costaron a la economía más de 2900 millones de dólares el año pasado.

Este análisis de PowerDMARC revela que un país ha abordado la autenticación de identidad (SPF/DMARC), pero ha dejado la seguridad de la capa de transporte (MTA-STS) y la integridad de la zona (DNSSEC) peligrosamente expuestas.

Solicitud de informe: adopción de DMARC en Estados Unidos

"*" indica campos obligatorios

Este campo tiene fines de validación y no debe modificarse.
Nombre*

Vulnerabilidades y rendimiento específicos del sector en EE. UU.

Para proporcionar una referencia clara, a continuación se muestra la situación general de seguridad de Estados Unidos en los más de 900 dominios antes de profundizar en los sectores industriales específicos.

SPF

EE. UU. SPF

DMARC

EE. UU.-DMARC-Square

MTA-STS

EE. UU. MTA-STS

DNSSEC

Logotipo BIMI

Métricas de seguridad del correo electrónico en EE. UU.

Métrica Tasa de adopción
Corrección SPF 95.7%
Adopción de DMARC 95.8%
DMARC p=rechazar 49.0%
Adopción de MTA-STS 1.7%
Adopción de DNSSEC 18.0%
Prueba de 15 días

1. Banca y finanzas: infraestructura de alto nivel de cumplimiento normativo

Bancos de EE. UU. bancos están a la cabeza del país en materia de aplicación de la ley, pero el gran volumen de ataques, en concreto la ola de phishing de 2024 contra JPMorgan que supuso una pérdida de 100 millones de dólares, demuestra que incluso las pequeñas brechas pueden tener consecuencias catastróficas.

Métrica Tasa de adopción
Corrección SPF 90.9%
DMARC p=rechazar 66.7%
Sin registro DMARC 7.6%
Adopción de MTA-STS 3.0%
Adopción de DNSSEC 22.7%
Adopción de SPF en el sector bancario

El riesgo crítico

Secuestro de confirmaciones SWIFT. Con un 97,0 % en MTA-STS, billones de confirmaciones de transferencias bancarias viajan a través de rutas no cifradas. Los atacantes pueden interceptarlas en tránsito para identificar la modificación no autorizada antes de que el banco o el cliente se den cuenta de la violación.

La solución PowerDMARC

Automatizado MTA-STS Hosting. Obligamos a que todo el tránsito de correo electrónico se realice a través de canales TLS 1.2+ cifrados, lo que reduce considerablemente el riesgo de degradación e interceptación al aplicar TLS para la entrega entrante y exigir el cumplimiento de las políticas a través de MTA-STS. Esto ayuda a cumplir las expectativas comunes de gobernanza en materia de transporte seguro de correo electrónico y comunicaciones con los proveedores.

2. Gobierno: obligatorio pero vulnerable

Las agencias federales son el estándar de referencia para DMARC, pero la persistencia de los ataques a la cadena de suministro al estilo SolarWinds pone de manifiesto una enorme brecha de visibilidad en la seguridad del transporte.

Métrica Tasa de adopción
Corrección SPF 97.7%
DMARC p=rechazar 80.1%
Sin registro DMARC 2.3%
Adopción de MTA-STS 3.4%
Adopción de DNSSEC 54.5%

El riesgo crítico

Credencial Falsificación. Mientras el 80,1 % aplican p=rechazar, el 19,9 % restante 19,9 % permite a los actores estatales falsificar credenciales oficiales .gov, eludiendo la confianza de los ciudadanos para distribuir malware o recopilar información personal sensible. La baja adopción de MTA-STS también pone en riesgo la seguridad del correo electrónico entrante.

La solución PowerDMARC

Cumplimiento automatizado de SCuBA para .gov. Nuestra plataforma automatiza los estrictos requisitos de autenticación de correo electrónico de CISA BOD 25-01. Proporcionamos un panel de control centralizado para trasladar los dominios .gov a DMARC p=reject sin ningún esfuerzo manual, lo que garantiza que los entornos federales en la nube cumplan con los requisitos básicos de seguridad SCuBA para Microsoft 365 y Google Workspace sin riesgo de interrumpir el flujo de correo legítimo.

3. Atención sanitaria: el flanco desprotegido de la HIPAA

La violación de Change Healthcare en 2024 demostró que los proveedores médicos están siendo blanco de ataques a través de remitentes falsos. A pesar del aumento del uso de la autenticación multifactorial (MFA), el correo electrónico sigue siendo un eslabón débil.

Métrica Tasa de adopción
Corrección SPF 94.9%
DMARC p=rechazar 64.6%
Sin registro DMARC 1.3%
Adopción de MTA-STS 1.3%
Adopción de DNSSEC 11.4%

El riesgo crítico

Fugas en el sistema de transporte PHI. 98,7 % del el tráfico de correo electrónico sanitario no está cifrado durante el tránsito. Esto permite a los atacantes interceptar la información médica protegida (PHI) directamente desde la red, lo que da lugar a multas masivas de la HIPAA y a la filtración de datos de pacientes.

La solución PowerDMARC

Ofrecemos una ruta gestionada para la aplicación completa de DMARC y MTA-STS, lo que garantiza que todos los registros médicos salientes se cifren a través de MTA-STS alojado.

Agendar demo

4. Energía y servicios públicos: riesgos tecnológicos operativos

Tras el ataque Post-Colonial Pipeline, el sector energético estadounidense ha reforzado su tecnología operativa (OT), pero el correo electrónico corporativo sigue siendo un punto vulnerable para los ataques de ransomware.

Métrica Tasa de adopción
Corrección SPF 96.8%
DMARC p=rechazar 51.6%
Sin registro DMARC 3.2%
Adopción de MTA-STS 1.6%
Adopción de DNSSEC 6.5%
Adopción de DNSSEC en el sector energético

El riesgo crítico

Pivotes de phishing a OT. Solo el 51,6 % del sector energético bloquea el fraude. Los atacantes utilizan «alertas de equipos críticos» falsas para engañar a los ingenieros y que hagan clic en enlaces maliciosos, salvando así la distancia entre el buzón de correo electrónico corporativo y la red eléctrica física.

La solución PowerDMARC

Optimización de registros. Protegemos las comunicaciones operativas contra las entradas de phishing mediante la aplicación de estrictas políticas DMARC y optimizando registros SPF complejos para mantenernos dentro de los límites de búsqueda de DNS.

5. Educación: La recolección de propiedad intelectual

Los campus estadounidenses son objetivos muy valiosos para el robo de propiedad intelectual, pero mantienen las tasas de aplicación de la ley más bajas del país.

Métrica Tasa de adopción
Corrección SPF 96.6%
DMARC p=rechazar 30.3%
Sin registro DMARC 2.2%
Adopción de MTA-STS 3.4%
Adopción de DNSSEC 12.4%

El riesgo crítico

Recopilación de datos de inicio de sesión en universidades. DMARC bajo p=rechazar (30,3 %) permite a los atacantes falsificar inicios de sesión .edu, obteniendo acceso a bases de datos de investigación valoradas en millones de dólares y a registros financieros de antiguos alumnos.

La solución PowerDMARC

Simplificamos la adopción y la aplicación, ayudamos a gestionar miles de subdominios departamentales desde un único panel de control y reducimos drásticamente los intentos de phishing exitosos en todo el campus.

6. Medios de comunicación: el amplificador de la desinformación

Las redacciones luchan contra las noticias falsas, pero sus propios dominios de correo electrónico se utilizan con frecuencia para difundirlas a través de firmas falsificadas.

Métrica Tasa de adopción
Corrección SPF 96.7%
DMARC p=rechazar 30.4%
Sin registro DMARC 5.5%
Adopción de MTA-STS 0.4%
Adopción de DNSSEC 3.3%
Logotipo BIMI

El riesgo crítico

Robo de identidad de origen. Con un MTA-STS cercano a cero (0,4 %) y una baja aplicación de DMARC, las comunicaciones privadas de los periodistas con fuentes sensibles son visibles para cualquiera que supervise la red, y sus firmas pueden falsificarse fácilmente para publicar noticias falsas.

La solución PowerDMARC

Integridad de la fuente. Trasladamos los dominios de los medios de comunicación a p=reject, lo que garantiza que solo los periodistas verificados puedan enviar correos electrónicos desde el dominio de la redacción, preservando así la confianza en la marca en una era de guerras informativas.

Prueba de 15 días

7. Telecomunicaciones: imán para las estafas a los abonados

Los operadores protegen sus redes, pero dejan sus bandejas de entrada completamente abiertas, lo que alimenta la epidemia de intercambio de tarjetas SIM que cuesta miles de millones de dólares al año a los estadounidenses.

Métrica Tasa de adopción
Corrección SPF 96.6%
DMARC p=rechazar 41.4%
Sin registro DMARC 8.0%
Adopción de MTA-STS 2.3%
Adopción de DNSSEC 12.6%

El riesgo crítico

Fraude en la facturación y apropiación de cuentas. Altas tasas de «No-DMARC» (8,0 %) permiten a los estafadores enviar alertas de facturación falsas que parecen legítimas, engañando a los usuarios para que revelen los códigos 2FA necesarios para el intercambio de SIM.

La solución PowerDMARC

SIM-Phish Slamming. Nuestra plataforma aplica p=reject en todos los dominios de los operadores y aloja MTA-STS para proteger los flujos de facturación automatizados, lo que dificulta que los estafadores utilicen el nombre del propio operador en contra de sus suscriptores.

8. Transporte y logística: el compromiso de la cadena de suministro

Las aerolíneas y las redes ferroviarias se enfrentan al «reenrutamiento logístico», en el que los manifiestos falsificados provocan el robo de carga y el reenrutamiento de los suministros de combustible.

Métrica Tasa de adopción
Corrección SPF 90.2%
DMARC p=rechazar 42.4%
Sin registro DMARC 1.1%
Adopción de MTA-STS 0.0%
Adopción de DNSSEC 12.0%

El riesgo crítico

Robo de manifiesto de texto sin formato. A 100,0 % en MTA-STS significa que todos los manifiestos de carga enviados por correo electrónico no están cifrados. Los atacantes pueden interceptar los valores y las rutas de los envíos para coordinar el robo físico o digital de mercancías «justo a tiempo».

La solución PowerDMARC

Canales logísticos a prueba de fraudes. Ofrecemos alojamiento MTA-STS con un solo clic que protege la capa de transporte, garantizando que los datos confidenciales de envío se cifren de extremo a extremo, lo que evita las interrupciones de tipo «man-in-the-middle» provocadas a través del correo electrónico.

Bajo el capó: cuatro debilidades estructurales

La brecha de implementación p=none

El 46,8 % de los dominios estadounidenses tienen DMARC pero carecen de aplicación (p=none o p=quarantine). El estado actual p=none carece de capacidad de reparación, lo que permite a los atacantes seguir suplantando marcas de confianza mientras la organización se limita a observar la actividad en los registros.

«Una política DMARC establecida en p=none solo proporciona informes y visibilidad sobre los intentos de suplantación de identidad, sin bloquearlos. Aunque la alta tasa de adopción en Estados Unidos es alentadora, es necesario pasar a una política DMARC de p=reject para prevenir activamente el uso no autorizado del correo electrónico. Sin su aplicación, los dominios de correo electrónico siguen siendo vulnerables».

Maitham Al Lawati, director ejecutivo de PowerDMARC

«Esto lo vemos constantemente en las empresas de la lista Fortune 500: añaden una nueva herramienta de marketing y, de repente, sus correos electrónicos de facturación empiezan a rebotar. El límite de 10 consultas es un techo infranqueable en el DNS. Sin técnicas de optimización SPF como el aplanamiento o las macros para comprimir estos registros, el crecimiento de su pila digital rompe inevitablemente la capacidad de entrega de su correo electrónico».

Yunes Tarada, Gerente de Prestación de Servicios, PowerDMARC

Complejidad del SPF a escala

Mientras 95,7 % de los dominios tiene un SPF, el 4,3 % presenta errores críticos de configuración. En las complejas empresas estadounidenses, esto suele deberse a que se alcanza el «límite de 10 búsquedas» de consultas DNS, lo que provoca que los correos electrónicos legítimos de proveedores externos (CRM, sistemas de RR. HH.) no superen la autenticación y desaparezcan.

MTA-STS: El déficit de cifrado

Con 98,3 % de exposición generalizada, Estados Unidos tiene una brecha de control casi total en lo que respecta a la seguridad del transporte. Sin MTA-STS, los atacantes pueden realizar «ataques de degradación», obligando a los servidores de correo electrónico a eliminar el cifrado y transmitir mensajes en texto plano, legibles por cualquiera que supervise la red.

«El cifrado estándar del correo electrónico (STARTTLS) es oportunista; solicita el cifrado, pero no lo exige. MTA-STS es una forma de reforzar el bloqueo del transporte. Con casi todo el tráfico de EE. UU. expuesto, para un atacante es muy fácil eliminar el cifrado y leer las comunicaciones corporativas confidenciales en tránsito».

Ayan Bhuiya, Jefe de Turno de Operaciones y Entrega, PowerDMARC

«Las organizaciones invierten mucho en generar confianza en la marca, pero un solo secuestro de DNS puede destruirla en cuestión de segundos. DNSSEC actúa como guardián de su identidad digital, garantizando que cuando los clientes se pongan en contacto con usted, se conecten con su identidad real. Ya no es solo un protocolo informático, sino una capa fundamental de la gestión de la reputación de la marca».

Ahona Rudra, director de marketing, PowerDMARC

DNSSEC: La base débil

DNSSEC está habilitado solo en 18,0 % de los dominios. Sin él, el sistema de directorios de Internet (DNS) queda desprotegido. Los atacantes sofisticados patrocinados por Estados pueden secuestrar el respuesta del DNS , redirigiendo todo el flujo de correo electrónico de una empresa a un servidor malicioso sin que el remitente o el destinatario se den cuenta.

Contáctenos

Benchmarking global: Estados Unidos en contexto

PaísSPF CorrectoAdopción de DMARCDMARC p=rechazarMTA-STS (Cifrado)Adopción de DNSSEC
Estados Unidos 🇺🇸95.7%95.8%49.0%1.7%18.0%
Países Bajos 🇳🇱92.4%88.5%41.2%14.5%59.0%
Suecia 🇸🇪85.0%77.9%29.9%2.9%25.9%
Noruega 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australia 🇦🇺91.5%78.4%26.5%3.1%6.8%
Arabia Saudita 🇸🇦80.6%54.4%18.4%0.2%11.9%
Japón 🇯🇵95.0%74.6%9.2%0.5%2.1%

Análisis: La posición de Estados Unidos en la escena internacional

Los datos comparativos de 2025-2026 revelan que Estados Unidos es actualmente el líder mundial en defensa activa, con el mayor índice de p=rechazar la aplicación del 49,0 %. Esta cifra es significativamente superior a la de economías digitales consolidadas como Australia (26,5 %) o Japón (9,2). El éxito de Estados Unidos se debe en gran medida a las primeras regulaciones y al entorno de alto riesgo al que se enfrentan los sectores bancario y sanitario.

Sin embargo, Estados Unidos se enfrenta a un problema de «cola técnica». Si bien la adopción básica de SPF y DMARC es casi universal (más del 95,0 %), el Reino de los Países Bajos supera significativamente a Estados Unidos en cifrado avanzado, con un 14,5 de adopción de MTA-STS frente al escaso 1,7. PowerDMARC salva esta brecha de implementación proporcionando la implementación automatizada de políticas, al tiempo que mantiene el manejo de excepciones para los remitentes críticos heredados.

Además, con una adopción de DNSSEC de solo 18,0 %, Estados Unidos sigue siendo más vulnerable al secuestro sofisticado de DNS que Noruega (45,6 %). Esta diferencia pone de relieve el enfoque estratégico de Estados Unidos en detener el phishing (DMARC), mientras que se invierte menos en la resiliencia de la infraestructura (DNSSEC/MTA-STS). Para que Estados Unidos mantenga su liderazgo en ciberseguridad, la siguiente fase debe ir más allá de la simple verificación de identidad y avanzar hacia el cifrado total y la integridad del ecosistema global del correo electrónico.

Conclusión: De las métricas a la acción

Los datos son claros: Estados Unidos cuenta con las especificaciones técnicas y los registros fundamentales necesarios, pero aún debe evolucionar de la supervisión pasiva a la aplicación activa del transporte. Si bien el SPF es omnipresente y la adopción del DMARC está aumentando, el hecho de no lograr la aplicación (p=rechazar) y asegurar la capa de transporte (MTA-STS) sigue siendo una vulnerabilidad que cuesta miles de millones de dólares.

Las organizaciones estadounidenses no pueden permitirse esperar a la próxima Directiva Operativa Vinculante de la CISA o a un incidente catastrófico de compromiso del correo electrónico empresarial (BEC) para pasar de la supervisión a la protección. PowerDMARC salva esta «brecha de implementación» proporcionando:

Rutas de aplicación automatizadas: Migración segura de empresas de la lista Fortune 500 y pymes de p=none a p=reject sin bloquear las comunicaciones empresariales críticas.

Simplificación de la infraestructura: Superación del «límite de 10 búsquedas» con optimización SPF, alojamiento MTA-STS y validación de registros DNSSEC en un único panel de control nativo de la nube.

Preparación normativa: Compatibilidad con las normas PCI-DSS 4.0, HIPAA y CISA mediante la simplificación de la protección contra el phishing y la seguridad de las comunicaciones por correo electrónico.

Reservar una demostración Póngase en contacto con nosotros

Perspectiva de PowerDMARC

«Actualmente, Estados Unidos es el principal laboratorio para el phishing impulsado por la IA . Aunque los equipos informáticos estadounidenses son excelentes en la publicación de registros, a menudo se ven paralizados por el temor a bloquear correos legítimos. En 2026, una postura de «solo supervisión» es esencialmente una rendición ante el spoofing sofisticado. El paso a la defensa activa no es solo una mejora de la seguridad, sino que es esencial para la protección contra infracciones sofisticadas».

Equipo de PowerDMARC

Convierta la visibilidad en defensa hoy mismo

Las tasas de adopción en EE. UU. muestran que la base está lista; ahora es el momento de dar el paso. En un panorama en el que la IA puede imitar a la perfección el tono de un ejecutivo, no basta con confiar únicamente en la «visibilidad».

No permita que su dominio siga siendo una «frontera desprotegida». Pase de la supervisión pasiva a la protección activa antes de que la próxima oleada de ataques coordinados afecte a su sector.

Póngase en contacto con PowerDMARC para comenzar su camino hacia la aplicación.

Prueba de 15 díasAgendar demo