El papel vital de DMARC en la autenticación del correo electrónico y la seguridad de los dominios está en el candelero ahora más que nunca, a medida que aumentan los ataques de phishing y las empresas y organismos reguladores hacen obligatoria su implantación.
En los últimos años, la ciberdelincuencia ha experimentado un crecimiento exponencial, siendo el phishing el método de ataque más común, con un estimado de 3.400 millones de correos electrónicos basura enviados diariamente.
Esto ha generado una creciente necesidad de autenticación del correo electrónico para prevenir la suplantación de dominios. En respuesta, ha surgido la adopción del protocolo de Autenticación, Notificación y Conformidad de Mensajes Basada en Dominios (DMARC) para mitigar estas amenazas y otras relacionadas con el correo electrónico. Pero, ¿cuándo se originó DMARC y por qué ha aumentado su implementación en los últimos años?
Explorando el origen y la expansión de DMARC
Como resultado, la adopción de DMARC ha ido en aumento de manera constante cada año, con un incremento masivo del 84% en el número de políticas válidas en 2021. Sin embargo, a pesar de este crecimiento, con menos de 6 millones de registros DMARC en todo el mundo en 2022, aún queda un largo camino por recorrer.
Es alentador observar que se espera una tasa de crecimiento anual compuesta (CAGR) del 37,53% para DMARC en los próximos cinco años. Se prevé que para 2028, el tamaño del mercado mundial alcance los 1.720 millones de dólares, en comparación con los 254,56 millones de 2022.
Este aumento en la adopción se debe probablemente a las recomendaciones cada vez más enfáticas por parte de organizaciones, reguladores y gobiernos para implementar DMARC o hacerlo obligatorio, lo que seguramente impulsará la implementación del protocolo.
DMARC se vuelve obligatorio
- Requisitos de envío masivo de Google y Yahoo
Desde febrero de 2024, Google y Yahoo han comenzado a monitorear a los remitentes de correo masivo, antes de la fecha límite de junio para que las organizaciones implementen DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF) y DMARC. Esto aplica a aquellas organizaciones que envían más de 5,000 correos electrónicos a la vez o dentro de un período de 24 horas, a direcciones de Gmail o Yahoo.
Dado que algunas organizaciones ya están experimentando errores temporales debido al correo electrónico no autenticado, es crucial priorizar la configuración correcta de los registros DMARC. Esto no solo evitará que los ciberdelincuentes suplanten dominios y realicen ataques de phishing, sino que también garantizará la entrega de correos electrónicos legítimos.
En 2022, casi el 49% de los correos electrónicos en todo el mundo no llegaron a la bandeja de entrada, y en 2023 esa cifra sigue siendo alta: casi el 46%. Muchos de estos correos son legítimos pero, debido a la falta de una política DMARC, se marcan como spam y nunca llegan a destino. Ahora, Google y Yahoo han intensificado sus medidas, estableciendo normas de remitentes para prevenir el spam y asegurar la seguridad de los usuarios mediante la obligación de tener un registro DMARC.
Por lo tanto, independientemente de la plataforma de correo electrónico que utilice una organización, es crucial tomar medidas para garantizar la entrega sin interrupciones a los usuarios de Gmail y Yahoo.
Microsoft también ha comenzado a emitir alertas en los paneles de control de los clientes, advirtiendo sobre la necesidad de asegurar la configuración de los registros de autenticación o enfrentar problemas de entregabilidad al enviar correos electrónicos a cuentas de terceros.
Aunque en Microsoft sus funciones principales son enviar informes y hacer cumplir DMARC, lo que no es suficiente para lograr el cumplimiento total de DMARC. Aquellos que aún no hayan implementado la autenticación adecuada deben buscar una solución completa de DMARC para garantizar el cumplimiento.
- Antiphishing obligatorio y recomendación de DMARC por PCI DSS v4.0
La versión 4.0 de la norma de seguridad de datos del sector de tarjetas de pago (PCI DSS) ha convertido la implementación de mecanismos antiphishing en un requisito para las empresas que almacenan información de titulares de tarjetas y procesan pagos con tarjeta de crédito. En su guía de implementación, el PCI Security Standards Council recomienda controles anti-spoofing como DMARC para evitar que los phishers suplanten dominios. Las organizaciones tienen hasta marzo de 2025 para implementar procesos y mecanismos de detección y protección contra el phishing o podrían enfrentar multas y perder el derecho a procesar pagos.
- Mandatos gubernamentales para el uso obligatorio de DMARC
Varios países han establecido que DMARC sea obligatorio para los departamentos gubernamentales. El Reino Unido lideró esta iniciativa en 2016, y otros países como Canadá y Dinamarca han seguido su ejemplo en años recientes. Estas medidas se han implementado para proteger a los ciudadanos de correos electrónicos de phishing y desinformación, manteniendo así la confianza del público.
Esto destaca la implementación de DMARC como la forma más efectiva de proteger a remitentes y destinatarios contra la suplantación de dominios. Se espera que aumente el número de organismos reguladores y organizaciones que hagan obligatoria la autenticación del correo electrónico.
Impacto empresarial del incumplimiento: Pérdida de ingresos y clientes
Los mandatos anteriores son necesarios para proteger el entorno de correo electrónico de una organización, mantener la confianza de clientes y partes interesadas, y evitar pérdidas financieras y de clientes.
La adopción de DMARC no se trata solo de cumplir con regulaciones nuevas, sino de proteger a las personas y organizaciones con las que se hace negocios, así como de mantener la buena reputación empresarial.
Adoptar DMARC requiere un esfuerzo de toda la organización, ya que la falta de normas adecuadas de autenticación del correo electrónico afecta la capacidad de hacer negocios. Todos los departamentos deben comprender cómo DMARC afecta su trabajo:
- La suplantación de identidad afecta la confianza del cliente y daña la reputación de la empresa, lo que puede provocar la pérdida de clientes y afectar directamente los resultados financieros.
- Departamentos como marketing y finanzas a menudo utilizan soluciones de terceros para enviar comunicaciones, por lo que necesitan colaborar con los equipos de TI o seguridad para comprender qué proveedores de servicios envían corre
Paulina Jara