Ciberseguridad en Práctica
Sergio Ibáñez · 1/4/2026

DMARC: plan por fases para reducir suplantación de marca y fraude por correo (sin romper la entrega)

PhishingDKIMDMARCEmailSPFSuplantación
  • DMARC, junto con SPF y DKIM, ayuda a controlar quién puede enviar correo usando el dominio de la empresa y reduce la suplantación de marca, pero su despliegue debe hacerse por fases.
  • El riesgo no es solo técnico: afecta a cobros, pagos, reputación, soporte y relación con clientes si terceros envían mensajes fraudulentos aparentando venir de la empresa.
  • La forma prudente de implantarlo es clara: inventario de remitentes, monitorización, corrección de alineación y endurecimiento gradual de la política, coordinando TI, marketing, finanzas y proveedores.
Imagen principal del artículo: DMARC: plan por fases para reducir suplantación de marca y fraude por correo (sin romper la entrega)

La suplantación por correo no suele empezar como un problema “de servidores”. Se convierte en un problema de negocio cuando alguien recibe un correo que parece legítimo y actúa en consecuencia: paga una factura errónea, comparte información sensible, responde a una falsa urgencia de dirección o desconfía de futuras comunicaciones de la marca.

Por eso, DMARC no debe verse como un simple ajuste en DNS. Es una medida de control sobre un activo crítico: el dominio corporativo y la confianza asociada a él.

Por qué la suplantación escala

Enviar correo con una apariencia convincente es barato para un atacante. Además, en muchas organizaciones el ecosistema de envío está fragmentado:

  • herramientas de newsletter,
  • CRM,
  • plataformas de facturación,
  • software de soporte,
  • automatizaciones comerciales,
  • agencias externas,
  • sistemas internos que envían alertas o notificaciones.

Cuando no existe un inventario claro de quién envía en nombre del dominio, es fácil que convivan remitentes legítimos, configuraciones parciales y servicios “invisibles” que nadie recuerda. Ese desorden aumenta el riesgo y dificulta distinguir entre tráfico legítimo y abuso.

Cómo se traduce en pérdidas y tiempo

Sin prometer resultados cuantitativos, sí puede afirmarse que un mal control del correo corporativo suele derivar en:

  • más exposición a fraude por correo y suplantación de marca,
  • más incidencias operativas para TI y soporte,
  • más tiempo perdido validando si un envío es real o no,
  • fricción con marketing y comunicación cuando las campañas fallan,
  • impacto reputacional si clientes o proveedores reciben correos falsos aparentando ser de la empresa.

El valor de DMARC está en poner orden y visibilidad. Primero permite observar; después, decidir; y solo al final, bloquear con criterio.

Acciones recomendadas

  1. Nombrar un responsable claro

Asignar un responsable principal en TI o seguridad y un corresponsable en marketing o comunicación para cualquier cambio relacionado con remitentes.

  1. Inventariar dominios y servicios de envío

No solo el dominio principal: también subdominios, herramientas de CRM, newsletters, facturación, soporte y proveedores externos.

  1. Activar DMARC en monitorización

Empezar con una política que recoja información sin bloquear correo legítimo, para detectar emisores ocultos y validar el mapa real.

  1. Corregir SPF y DKIM por proveedor

Ajustar las configuraciones de autenticación y revisar la alineación con DMARC antes de endurecer políticas.

  1. Cerrar remitentes no autorizados

Eliminar servicios que ya no se usan, revocar permisos innecesarios y evitar que terceros sigan enviando en nombre de la marca sin control.

  1. Subir la política gradualmente

Pasar por etapas de monitorización y cuarentena antes de plantear rechazo total, revisando el impacto de forma periódica.

  1. Integrar el control de correo en compras y cambios

Ningún proveedor nuevo debería enviar correos con el dominio corporativo sin pasar una lista de verificación previa de autenticación, responsables y seguimiento.

Qué resuelve DMARC (y qué no)

Lo que sí ayuda a resolver

DMARC está diseñado para indicar a los receptores qué hacer cuando un correo no supera determinadas comprobaciones de autenticación y alineación. En la práctica, ayuda a:

  • reducir envíos no autorizados que usan el dominio de la empresa,
  • tener visibilidad sobre quién está enviando en nombre de la organización,
  • ordenar proveedores y servicios de correo,
  • establecer una política progresiva de protección de marca.

Lo que no resuelve por sí solo

DMARC no elimina todo el fraude por correo ni sustituye otros controles. No impide, por ejemplo:

  • ataques desde dominios parecidos pero no idénticos al de la empresa,
  • engaños basados en ingeniería social si el atacante usa otra infraestructura,
  • errores internos de validación de pagos o cambios de cuenta bancaria,
  • malas prácticas operativas en altas de proveedores o aprobación de campañas.

Por eso debe verse como una capa relevante, no como una solución única. Conviene complementarlo con:

  • verificación de pagos,
  • doble validación en cambios bancarios,
  • formación interna,
  • control de dominios similares,
  • procesos de alta y baja de proveedores.

Prerrequisitos en lenguaje claro

Antes de hablar de políticas estrictas, conviene entender cuatro piezas básicas.

1. Dominios y subdominios

La empresa puede enviar correo desde el dominio principal o desde subdominios dedicados, por ejemplo para marketing o notificaciones. Esto importa porque no todos los flujos deberían tratarse igual.

Separar usos puede ayudar a reducir impacto si un proveedor falla o si una parte del tráfico necesita una política distinta.

2. Remitentes reales

Un “remitente” no es solo una persona. Puede ser cualquier sistema o proveedor que envía correo en nombre de la empresa:

  • Microsoft 365 o Google Workspace,
  • CRM,
  • plataforma de automatización,
  • facturación,
  • ticketing,
  • ERP,
  • proveedores externos o agencias.

Si no se conoce la lista completa, el despliegue de DMARC se hará a ciegas.

3. SPF y DKIM

  • SPF indica qué servidores están autorizados a enviar correo para un dominio.
  • DKIM añade una firma criptográfica al mensaje para que el receptor pueda verificar que fue firmado por un dominio autorizado y que no se alteró en tránsito.

DMARC se apoya en ambas tecnologías; no las sustituye.

4. Alineación

La idea clave de DMARC no es solo “tener SPF o DKIM”. Es que el dominio autenticado por SPF o DKIM esté alineado con el dominio visible para el destinatario en el campo “From”.

Ese punto es el que suele generar incidencias cuando un proveedor está técnicamente enviando bien, pero no en nombre del dominio correcto o no con la configuración adecuada.

Plan por fases

La forma más segura de desplegar DMARC es por etapas, con hitos claros y decisiones explícitas.

Ilustración de apoyo 1
Figura: Timeline DMARC por fases: inventario → monitorización → corregir SPF/DKIM y alineación → quarantine → reject. 2026.Ciberseguridad en Práctica.

Fase 0: inventario de dominios y remitentes

Objetivo: saber qué se usa realmente antes de tocar políticas.

Qué hacer

  • listar todos los dominios y subdominios de envío,
  • identificar todos los servicios que mandan correo,
  • incluir herramientas de marketing, CRM, facturación, soporte y automatización,
  • revisar agencias o proveedores externos con capacidad de envío,
  • detectar servicios antiguos o poco documentados.

Decisiones clave

  • qué dominios se protegen primero,
  • qué subdominios conviene separar por uso,
  • qué remitentes deben seguir activos,
  • qué proveedores deben regularizarse o retirarse.

Resultado esperado

Un inventario operativo, no teórico: quién envía, para qué, desde qué dominio, con qué volumen aproximado y con qué responsable interno.

Fase 1: DMARC en modo monitorización

Objetivo: recoger datos sin bloquear envíos legítimos.

La política inicial debe centrarse en observación. Es la fase que evita “romper la entrega” por precipitación.

Qué hacer

  • publicar DMARC en modo de monitorización,
  • habilitar la recepción y revisión de informes,
  • observar durante un periodo suficiente para detectar patrones,
  • contrastar lo que aparece con el inventario previo.

Qué suele descubrirse

  • proveedores que nadie había documentado,
  • subdominios en uso residual,
  • sistemas internos que aún envían alertas,
  • configuraciones parciales de SPF o DKIM,
  • discrepancias entre el remitente visible y el autenticado.

Decisión clave

No endurecer política mientras existan emisores legítimos sin identificar o sin corregir.

Fase 2: arreglar alineación y limpiar remitentes no autorizados

Objetivo: preparar el terreno para aplicar control real.

Aquí empieza el trabajo de detalle entre TI, seguridad, marketing y proveedores.

Qué hacer

  • corregir registros SPF donde falten emisores autorizados,
  • activar o validar DKIM en cada plataforma,
  • revisar que el dominio visible esté alineado con SPF o DKIM,
  • eliminar servicios obsoletos,
  • documentar responsables y propósito de cada remitente.

Dónde suelen aparecer problemas

  • proveedores que envían usando dominios de terceros,
  • configuraciones heredadas de campañas antiguas,
  • plataformas dadas de alta por marketing sin circuito formal,
  • herramientas contratadas por áreas distintas sin coordinación con TI,
  • múltiples proveedores compitiendo por el mismo dominio sin una política común.

Decisión clave

Solo deben seguir activos los remitentes con responsable identificado y autenticación correcta.

Fase 3: endurecer política gradualmente con cuarentena

Objetivo: empezar a poner consecuencias al tráfico no alineado, con control de impacto.

Una vez el inventario está razonablemente limpio, puede aplicarse una política más estricta de forma gradual.

Qué hacer

  • avanzar hacia cuarentena para una parte o la totalidad del tráfico no conforme,
  • revisar semanalmente incidencias de entregabilidad,
  • coordinar con marketing campañas sensibles o picos de envío,
  • mantener excepciones documentadas y temporales si son necesarias.

Qué vigilar

  • rebotes inesperados,
  • bajadas en recepción de campañas legítimas,
  • incidencias en facturación o notificaciones transaccionales,
  • diferencias entre proveedores bien y mal configurados.

Decisión clave

No acelerar por presión estética o por “querer terminar”. El ritmo debe venir marcado por datos y estabilidad operativa.

Fase 4: política reject donde tenga sentido

Objetivo: bloquear de forma más contundente el uso no autorizado del dominio, una vez validado el ecosistema.

La política de rechazo es el punto de mayor protección, pero no tiene por qué aplicarse igual a todos los dominios ni al mismo tiempo.

Qué hacer

  • aplicar reject en dominios maduros y bien controlados,
  • mantener vigilancia sobre nuevos proveedores y cambios,
  • reservar excepciones solo para casos justificados y revisados,
  • usar subdominios diferenciados si ciertos flujos necesitan una transición más lenta.

Cuándo tiene sentido

  • cuando el inventario es estable,
  • cuando los principales proveedores ya están alineados,
  • cuando existe proceso de cambio formal,
  • cuando el equipo puede responder a incidencias rápidamente.

Decisión clave

Reject no es un trofeo técnico. Es una política que debe sostenerse en el tiempo sin comprometer operaciones legítimas.

Gobernanza mínima

Sin una gobernanza básica, DMARC tiende a degradarse con cada nueva herramienta o proveedor.

Responsable y corresponsable

Modelo mínimo recomendado:

  • Responsable: TI o seguridad, responsable de política, DNS, autenticación y seguimiento.
  • Corresponsable: marketing o comunicación, responsable de validar necesidades de envío y coordinar proveedores.

Finanzas también debe estar informada, especialmente por el vínculo con fraude de facturas, pagos y comunicaciones sensibles.

Circuito de cambios

Cualquier nuevo remitente debería pasar por un proceso simple:

  1. solicitud del área de negocio,
  2. validación del propósito del envío,
  3. revisión técnica de SPF/DKIM/DMARC,
  4. asignación de responsable interno,
  5. paso a producción con seguimiento inicial.

Si este circuito no existe, el inventario se rompe en pocos meses.

Métricas operativas útiles

Sin depender de herramientas concretas, conviene revisar al menos:

  • número de remitentes autorizados,
  • remitentes sin responsable identificado,
  • dominios y subdominios protegidos,
  • incidencias de entregabilidad vinculadas a autenticación,
  • tiempo medio de alta de un nuevo remitente,
  • excepciones activas y su antigüedad.

Listas de verificación y plantilla

Lista de verificación: alta de nuevo remitente

Antes de autorizar a un proveedor o sistema a enviar correo con el dominio corporativo:

  • ¿Qué dominio o subdominio usará?
  • ¿Quién es el responsable interno del servicio?
  • ¿Qué tipo de correo enviará: marketing, transaccional, soporte, facturación?
  • ¿Tiene configurado SPF o requiere inclusión específica?
  • ¿Tiene DKIM activo y validado?
  • ¿El dominio visible en “From” queda alineado con SPF o DKIM?
  • ¿Existe un entorno de prueba o validación previa?
  • ¿Qué volumen y frecuencia de envío se esperan?
  • ¿Cómo se dará de baja si el servicio deja de usarse?
  • ¿Quién revisará incidencias de entregabilidad durante las primeras semanas?

Plantilla breve: incidente de entregabilidad

Cuando aparezca un problema, conviene registrar siempre:

  • fecha y hora,
  • dominio afectado,
  • proveedor o sistema implicado,
  • tipo de correo afectado,
  • síntoma observado: rebote, cuarentena, no recepción, caída de apertura,
  • cambio reciente realizado,
  • estado de SPF,
  • estado de DKIM,
  • estado de alineación DMARC,
  • responsable técnico,
  • impacto de negocio,
  • acción correctiva aplicada,
  • fecha de revisión posterior.

Esto evita discusiones difusas entre áreas y acelera el diagnóstico.

Errores comunes y cómo evitarlos

1. Proveedores invisibles

Es uno de los fallos más habituales: herramientas antiguas o contratadas por un área concreta que siguen enviando sin estar en ningún inventario.

Cómo evitarlo: revisar contratos, integraciones, campañas históricas y DNS; no confiar solo en la memoria de los equipos.

2. Dominios de terceros mal entendidos

Algunos proveedores envían desde infraestructuras propias y no siempre queda claro qué dominio firma o qué aparece al destinatario.

Cómo evitarlo: exigir claridad sobre SPF, DKIM y dominio visible antes de aprobar el envío.

3. Cambios de marketing sin control

La urgencia comercial puede llevar a activar plataformas o agencias sin validar autenticación ni gobernanza.

Cómo evitarlo: establecer un circuito ligero pero obligatorio para altas y cambios.

4. Querer llegar demasiado pronto a reject

Pasar a rechazo total sin observación previa puede bloquear envíos legítimos y generar desconfianza interna hacia el proyecto.

Cómo evitarlo: monitorizar primero, corregir después y endurecer solo con evidencia.

5. Tratar DMARC como proyecto puntual

Una vez publicado el registro, algunas empresas lo consideran “cerrado”. Pero cada nueva herramienta de correo reabre el riesgo.

Cómo evitarlo: convertirlo en un proceso operativo continuo, no en una tarea de una sola vez.

Qué significa para negocio, en una frase

Controlar quién puede enviar en nombre de la marca no es solo una mejora técnica: es una medida de protección reputacional, reducción de riesgo de fraude y disciplina operativa con impacto directo en varias áreas del negocio.

Lista rápida de acciones

  • Nombrar hoy mismo un responsable en TI/seguridad y un corresponsable en marketing.
  • Crear un inventario único de dominios, subdominios y todos los servicios que envían correo.
  • Publicar DMARC en modo monitorización antes de plantear políticas más duras.
  • Corregir proveedor por proveedor la autenticación y la alineación.
  • Eliminar remitentes heredados o no autorizados.
  • Subir la política de forma gradual, con revisión semanal de impacto.
  • Integrar el alta de remitentes en compras, marketing y gestión de proveedores para que ningún servicio nuevo envíe sin pasar una lista de verificación.

Artículos relacionados

Ver más en Operaciones y proveedores
Guías y playbooks · Álvaro Ruiz · 10/4/2026
Playbook: despliegue de MFA para toda la empresa (fases, comunicación, excepciones y métricas)
Desplegar MFA con éxito no consiste en activar una política global de un día para otro, sino en combinar priorización de cuentas críticas, comunicación interna, soporte preparado y excepciones gobernadas.
PhishingPlaybookAccesos
Guías y playbooks · Laura Moreno · 13/3/2026
Checklist anti‑phishing para directivos: decisiones rápidas que evitan pérdidas
El phishing dirigido a dirección no suele romper tecnología: rompe procesos de validación bajo presión.
PhishingConcienciación