Blog

La historia de DMARC

julio 14, 2025  |  4 min de lectura
Explore the history of DMARC, from its creation to widespread adoption, and understand how it has evolved to combat phishing and improve email security worldwide.

El correo electrónico ha sido una piedra angular de la comunicación empresarial durante décadas, pero durante mucho tiempo careció de la autenticación esencial necesaria para prevenir amenazas cibernéticas. Esta vulnerabilidad permitió a los atacantes suplantar remitentes e imitar marcas, alimentando el phishing y el fraude por correo electrónico a gran escala que ha costado miles de millones a las empresas.

Para combatir esto, se introdujo DMARC (Autenticación, Informes y Conformidad de Mensajes Basada en Dominios) como un protocolo para verificar la identidad del remitente y proteger los dominios contra abusos. Desde su creación, DMARC ha evolucionado significativamente y, a partir de 2024 y 2025, los principales proveedores de correo electrónico lo están haciendo obligatorio, convirtiendo la autenticación de correos electrónicos en un componente crítico de la seguridad empresarial.

En este blog exploraremos los orígenes de DMARC, cómo se ha desarrollado con el tiempo y por qué implementarlo es ahora imprescindible para todas las empresas.

Qué es DMARC (y por qué existe)

DMARC es un protocolo de autenticación de correo electrónico que funciona con SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail) para verificar que el remitente está autorizado a utilizar un dominio.

Fue desarrollado en respuesta al aumento de los ataques de phishing y la suplantación de dominios. Sin DMARC, cualquiera puede enviar un correo electrónico «desde» tu dominio, lo que erosiona la confianza del cliente y pone en riesgo tu marca.

La evolución de DMARC: Una cronología

2010–2011: Nace DMARC

Aunque SPF y DKIM mejoraron la seguridad del correo electrónico, solo abordaban parcialmente el spoofing y el phishing. Esto llevó a la creación de DMARC — Autenticación, Informes y Conformidad de Mensajes Basada en Dominios. En 2010, actores clave de la industria como PayPal, Microsoft, Google y Yahoo! colaboraron para desarrollar DMARC con el objetivo de brindar a los propietarios de dominios mayor control y retroalimentación sobre la autenticación de correos electrónicos.

La primera especificación de DMARC se publicó el 30 de enero de 2012, marcando un nuevo hito en la seguridad del correo electrónico.

2012–2020: La fase de adopción lenta

A pesar de su potencial, la adopción de DMARC fue lenta debido a su complejidad técnica y la falta de concienciación. Muchas organizaciones carecían de la experiencia necesaria para implementar SPF y DKIM, requisitos previos para desplegar DMARC. Grandes instituciones financieras y empresas tecnológicas comenzaron a implementarlo. Aun así, la adopción era voluntaria. Muchas empresas lo veían como algo “bueno de tener”, pero no esencial.

En 2015 y 2016, gigantes de la industria como Google y Yahoo! comenzaron a aplicar políticas DMARC más estrictas, señalando que los dominios que ignoraban DMARC corrían el riesgo de tener problemas de entregabilidad.

2021–2023: Aumento del spoofing

Gráfico de líneas que muestra el aumento de correos electrónicos de phishing detectados a nivel mundial, de 1.44 millones en enero de 2022 a 9.45 millones en diciembre de 2023.
Número de correos electrónicos de phishing detectados en todo el mundo desde enero de 2022 hasta diciembre de 2023

En diciembre de 2023, el spoofing y el phishing alcanzan máximos históricos con 9.45 millones de correos electrónicos de phishing detectados a nivel mundial, frente a los 5.59 millones registrados en septiembre (Statista). A medida que aumenta la presión de la industria, la visibilidad de DMARC se integra cada vez más en las herramientas de ciberseguridad, aunque su aplicación sigue siendo poco común. La plataforma todo en uno de Skysnag automatiza la aplicación de DMARC, ayudando a las organizaciones a protegerse contra ataques de suplantación al lograr el cumplimiento completo del correo electrónico en días, no en meses.

Iniciar prueba gratuita

Febrero 2024: Google y Yahoo imponen DMARC para remitentes masivos

Google y Yahoo anuncian que los remitentes masivos (que envían más de 5,000 correos electrónicos al día) deben tener una política DMARC válida, o de lo contrario sus correos podrían ser rechazados o enviados a la carpeta de spam.

Los requisitos incluyen:

  • Un dominio con un registro SPF y DKIM válido
  • Una política DMARC (como mínimo) p=none)
  • Cifrado TLS
  • Cancelación de suscripción con un solo clic

El incumplimiento de los requisitos de envío de correo electrónico de Google y Yahoo resulta en daños a la reputación y fallos en la entrega.

Mayo 2025: Microsoft se suma al impulso por el cumplimiento de DMARC

Microsoft comienza a aplicar activamente DMARC en Outlook y Exchange Online para remitentes empresariales a partir del 5 de mayo de 2025. El correo autenticado se convierte en el estándar, incluso para remitentes de bajo volumen.

A partir de esta fecha, Microsoft rechaza los correos electrónicos que no cumplan con los estrictos requisitos de autenticación. Si un dominio falla en la alineación de DMARC con SPF o DKIM, puede aparecer el siguiente error:

550 5.7.515 Acceso denegado, el dominio remitente [TuDominio] no cumple con el nivel de autenticación requerido.

Por qué esto importa ahora

Si envías correos electrónicos, ya sea a través de HubSpot, Mailchimp, Google Workspace o tus propios servidores, debes autorizar explícitamente esas plataformas en los registros DNS de tu dominio.

Sin esa autorización:

  • Tus correos electrónicos pueden ser marcados como spam o rechazados directamente
  • Pierdes visibilidad sobre quién está suplantando tu dominio
  • Tu dominio puede terminar en listas negras
  • Pierdes el control sobre la reputación de correo electrónico de tu marca

El papel de SPF, DKIM, MTA-STS, TLS-RPT y BIMI

Aunque DMARC recibe la mayor parte de la atención, forma parte de un conjunto completo de protocolos de autenticación que juntos:

  • Autentican tu identidad (SPF, DKIM)
  • Aseguran la conexión (MTA-STS, TLS-RPT)
  • Refuerzan visualmente la confianza (BIMI, con tu logotipo y una marca de verificación azul verificada)

Estos protocolos trabajan en conjunto para proteger tu dominio, mejorar la entregabilidad del correo electrónico y asegurar que tus mensajes lleguen a donde deben: la bandeja de entrada.

Reflexión final: La autenticación del correo electrónico no es opcional

El mensaje de Google, Yahoo y Microsoft es claro: autentícate o corre el riesgo de ser bloqueado.

DMARC y los protocolos relacionados ya no son solo buenas prácticas, sino requisitos fundamentales. Si aún no lo has hecho, ahora es el momento de configurar correctamente tu dominio, aplicar tu política DMARC y proteger tu reputación.

Skysnag automatiza todo el proceso de autenticación de correo electrónico, desde la configuración de SPF, DKIM y DMARC hasta MTA-STS, TLS-RPT, BIMI y la monitorización de listas negras, todo en solo unos clics y sin necesidad de conocimientos técnicos.

Regístrate ahora y pruébalo gratis o consigue un informe de salud del dominio en menos de 30 segundos.

También te puede interesar:

OBTÉN UNA DEMOSTRACIÓN PERSONALIZADA

¿Listo para ver Skysnag en acción?

Skysnag protege a su organización de las ciberamenazas y proporciona una visión clara de su entorno de correo electrónico.

Obtén una demostración
Demostración del panel de control

Compruebe el cumplimiento de la seguridad DMARC de su dominio

Suscríbase a nuestro boletín mensual