6 de julio de 2026
Qué es DMARC y por qué tu empresa lo necesita
El correo nació sin verificar quién envía. SPF, DKIM y DMARC en llano, el fraude del CEO y el DMARC operado que llega al 95–100 % en dominios gestionados.
En una carta de papel, cualquiera puede escribir tu nombre en el sobre. En el correo electrónico ocurre exactamente lo mismo: SMTP, el protocolo que mueve el correo por internet desde hace cuatro décadas, nació sin un mecanismo fuerte para comprobar que el remitente es quien dice ser. Cualquier servidor del mundo puede enviar hoy un mensaje que diga venir de tu dominio. Y si nadie lo comprueba, el destinatario lo verá como tuyo.
SPF, DKIM y DMARC existen para cerrar ese agujero. Son tres controles que el servidor que recibe un correo aplica antes de entregarlo, y cada uno responde a una pregunta muy concreta:
- SPF pregunta: ¿este servidor está autorizado a enviar correo en nombre de este dominio? El dueño del dominio publica en DNS — el directorio público de internet — la lista de servidores que pueden enviar por él.
- DKIM pregunta: ¿el mensaje viene firmado y ha llegado sin alterar? El servidor emisor añade una firma criptográfica: un sello que se rompe si alguien modifica el contenido por el camino.
- DMARC pregunta lo decisivo: ¿lo que se ha validado coincide con el dominio que el usuario ve en el «De:»? Porque un mensaje puede superar comprobaciones técnicas y aun así mostrar un remitente falso. Y si no coincide, DMARC define qué hacer con él — aceptarlo, enviarlo a cuarentena o rechazarlo — y a quién avisar de cada intento.
El diagrama de abajo muestra ese viaje completo: tres controles, tres destinos posibles y un reporte que vuelve al dueño del dominio.
¿Por qué debería importarle esto a un director de empresa? Por el fraude del CEO, el Business Email Compromise: un correo que parece del director general pide una transferencia urgente, o un proveedor de toda la vida «avisa» de que ha cambiado de cuenta bancaria. Y hay un detalle que casi nadie conoce: en muchos casos, ni tu empresa ni la de tu proveedor han sido atacadas. Basta con que un tercero que participó en la conversación — otra empresa, otra persona del hilo — tenga el buzón comprometido. Con eso, el atacante conoce nombres, asuntos, facturas e hilos reales, y construye un engaño convincente.
Aquí está la diferencia entre tener DMARC y operar DMARC. Publicar tres registros DNS es solo el punto de partida: un registro que nadie analiza protege poco. Cada día, los servidores que reciben correo en nombre de tu dominio — Microsoft, Google y miles más — generan reportes técnicos y los envían al dueño del dominio. Nosotros los recibimos y los analizamos, con apoyo de automatización e inteligencia artificial para clasificar el volumen: detectamos intentos de suplantación, encontramos servicios legítimos mal declarados — esa plataforma de facturación o de marketing que envía por ti sin estar autorizada —, endurecemos la política de forma progresiva sin bloquear correo legítimo y te lo contamos en informes periódicos que se entienden. El resultado es medible: en los dominios que gestionamos, la protección DMARC alcanza el 95–100 % del correo.
Esto aplica igual si tu correo vive en Microsoft 365 o en nuestro correo privado. En el segundo caso vamos un paso más allá: cruzamos los reportes DMARC con los registros reales del servidor, y contrastamos lo que los servidores del mundo dicen haber visto con lo que nuestros sistemas enviaron, recibieron o bloquearon de verdad.
¿Qué ganas tú? Tres cosas concretas. Que tu dominio deje de servir para engañar a tus clientes y proveedores. Que tu correo legítimo llegue mejor, porque la autenticación correcta mejora la entregabilidad. Y visibilidad: saber quién envía en tu nombre, desde dónde y con qué resultado.
Una última honestidad: DMARC no lo para todo. Si una cuenta legítima ha sido comprometida, sus mensajes se autenticarán correctamente; para eso hay otras capas. Por eso DMARC es una pieza — esencial, pero una pieza — dentro de la seguridad del correo que operamos, junto a la defensa frente al fraude del CEO, el doble factor y el análisis forense.
DMARC operado, no publicado: la diferencia entre un registro DNS y una protección.