Solicita una demo
Infraestructura en la nubeCiberseguridad para EndpointWeb Application Firewall (WAF)Antispam en la NubeCorreos en la NubeAutenticador del dominioFiltros WebGestión de VulnerabilidadesSecure Sockets Layer (SSL)Soluciones de VPNBackup para Microsoft 365Backup para Google WorkspaceGestión de TISoluciones de RMMAntivirus para EmpresasSoftware de Escritorio Remoto
XcitiumXecuraDmarc Protect
🛡Seguridad de Correo

¿Qué es DMARC y por qué tu empresa lo necesita en 2026?

👤Por Equipo Inforland
📅29 de mayo de 2026
🕐6 min de lectura

DMARC, SPF y DKIM explicados sin jerga técnica. Aprende cómo proteger el dominio de tu empresa contra suplantación de correo (spoofing) y phishing dirigido.

"La mejor protección es la que actúa antes de que la amenaza logre ejecutarse. Eso es exactamente lo que hace Xcitium."

🔒
Seguridad Empresarial
Seguridad de Correo
Protección 24/7

El 73% de empresas peruanas sin protección DMARC

Cualquier persona puede enviar un correo haciéndose pasar por tu empresa si no tienes DMARC configurado. El fraude del CEO (BEC) y el phishing dirigido explotan exactamente este agujero — y las pérdidas en Perú ya superan los US$ 38 millones anuales.

73%

Empresas peruanas sin DMARC configurado

$38M

Pérdidas por fraude BEC en Perú 2025

Imagina que un cliente recibe un correo aparentemente tuyo — con tu logo, tu nombre, tu dirección — pidiendo un cambio urgente de número de cuenta bancaria. El cliente confía y transfiere medio millón de soles. Solo entonces descubre que el correo nunca salió de tu empresa. Alguien suplantó tu dominio.

Esto se llama email spoofing, y es una de las amenazas más caras y subestimadas en 2026. La buena noticia: existe una defensa estándar, gratuita y comprobada — DMARC. La mala: el 73% de las empresas en Perú aún no la tienen bien configurada.

En este artículo te explicamos qué es DMARC, por qué importa, y cómo implementarlo correctamente.

El problema: cualquiera puede mandar correo "desde" tu dominio

Por diseño, el protocolo SMTP (el que mueve todo el correo del mundo) no verifica al remitente. Cuando envías un correo, el servidor de destino confía en lo que dice el campo "From:" — sin verificar nada.

Esto significa que cualquier persona en el planeta puede mandar un correo que diga "From: ceo@tuempresa.com" y el destinatario lo verá como si fuera real. Sin firmas, sin certificados, sin nada.

Este es el agujero que explotan los ataques de phishing dirigido (spear phishing) y de fraude del CEO (BEC, Business Email Compromise). En Perú durante 2025, las pérdidas por BEC superaron los US$ 38 millones según cifras de la Asociación de Bancos.

La solución por capas: SPF + DKIM + DMARC

Para tapar este agujero existen tres tecnologías que se complementan. Las explicamos sin jerga:

SPF (Sender Policy Framework) — "Lista de servidores autorizados"

Es como un registro público en el DNS de tu dominio que dice:

"Los únicos servidores autorizados a mandar correo en nombre de tuempresa.com son éstos: mailgun.com, sendgrid.com, mail.tuempresa.com"

Cuando alguien recibe un correo "from: ti@tuempresa.com", su servidor de correo:

  1. Mira el SPF de tuempresa.com
  2. Verifica si el servidor que envió el correo está en la lista
  3. Si NO está → puede marcarlo como spam o rechazarlo

Limitación de SPF solo: se rompe cuando los correos son reenviados (forward). Por eso hace falta más.

DKIM (DomainKeys Identified Mail) — "Firma digital"

Cuando tu servidor de correo envía un mensaje, lo firma digitalmente con una clave privada. La clave pública está publicada en tu DNS.

El servidor receptor verifica la firma usando la clave pública. Si la firma es válida, sabe que:

  1. El correo realmente salió de tu servidor (no fue suplantado)
  2. El contenido no fue modificado en el camino

Limitación de DKIM solo: no le dice al receptor qué hacer cuando no encuentra la firma o es inválida.

DMARC — "Las instrucciones para el receptor"

Aquí entra DMARC. Es un registro adicional en tu DNS que dice:

"Si un correo dice ser de tuempresa.com pero falla SPF Y DKIM, hacé esto: rechazalo / mándalo a spam / dejalo pasar pero reportame"

DMARC tiene 3 políticas posibles:

  • p=none → "Solo reportame, no bloquees nada" (modo monitoreo)
  • p=quarantine → "Si falla, mándalo a spam"
  • p=reject → "Si falla, rechazalo completamente"

Y aquí está la magia: además, DMARC manda reportes diarios a un correo que tú definas, con estadísticas de TODOS los correos que dicen ser de tu dominio (legítimos y suplantados). Por primera vez tienes visibilidad de cómo se está usando (y abusando) tu dominio.

Tu empresa necesita DMARC SI...

  • Mandás facturas o cotizaciones por correo (todos)
  • Tenés clientes que reciben correos importantes de ti (todos)
  • Manejás transferencias bancarias o información sensible (todos)
  • Querés que tus correos lleguen a la bandeja de entrada en lugar de spam (todos)
  • Querés cumplir con buenas prácticas de seguridad de email (todos)

Spoiler: TODA empresa necesita DMARC. No es opcional en 2026.

Adicionalmente, varias regulaciones lo exigen explícitamente:

  • PCI-DSS 4.0 (procesamiento de tarjetas)
  • Política de Google y Yahoo desde 2024 para remitentes grandes (>5,000 correos/día)
  • NIST Cybersecurity Framework
  • ISO 27001 (control A.13.2.3)

¿Cómo implementar DMARC correctamente? — En 5 fases

Implementar DMARC mal es peor que no tenerlo. Si pones p=reject desde el día 1, podés bloquear correos legítimos de tu propio sistema de facturación o marketing. La implementación correcta sigue 5 fases:

Fase 1 — Inventario (1 semana)

Identificar TODOS los servicios que envían correo en nombre de tu dominio:

  • Tu propio servidor de correo
  • Plataforma de marketing (Mailchimp, Constant Contact, etc.)
  • Sistema de facturación electrónica
  • Plataformas SaaS que envían notificaciones (Jira, Slack, etc.)
  • Sistemas de RRHH, ERPs, CRMs

Fase 2 — SPF y DKIM (2 semanas)

Configurar SPF y DKIM en TODOS los servicios identificados. Cada plataforma tiene su instructivo, pero el patrón es el mismo: agregar registros TXT al DNS.

Fase 3 — DMARC en modo monitoreo (4-6 semanas)

Publicar el registro DMARC con p=none. NO bloquea nada todavía, solo empieza a recolectar reportes para que veas:

  • Qué servicios envían correo legítimo
  • Qué servicios están MAL configurados (SPF/DKIM rotos)
  • Quién está suplantando tu dominio

Fase 4 — Pasar a p=quarantine (4-6 semanas)

Una vez que el 95%+ de tus correos legítimos pasan SPF y DKIM, subir a quarantine. Los suplantados ahora van a spam, los legítimos siguen llegando.

Fase 5 — Pasar a p=reject (definitivo)

Cuando confirmás que todo está perfectamente alineado, subir a reject. A partir de ahora, NADIE puede suplantarte exitosamente.

⚠️ El proceso completo lleva 3-4 meses si se hace bien. No confíes en quien te diga que lo implementa "en una semana" — están saltándose pasos críticos.

Errores comunes que vemos en Perú

En nuestra experiencia auditando dominios peruanos:

  1. Tener DMARC en p=none permanentemente → ni protege ni da valor, solo reporta
  2. Saltar directo a p=reject sin la fase de monitoreo → bloquean su propio correo legítimo
  3. Olvidar plataformas SaaS que envían correo (resultado: facturas legítimas a spam)
  4. No revisar los reportes DMARC → estás recolectando data pero no la usas
  5. Configuración de SPF incorrecta que falla por "too many lookups" (límite técnico)
Implementación DMARC en empresas peruanas

Nuestra solución: XecuraDMARC

En Inforland Perú desarrollamos XecuraDMARC, una plataforma SaaS que:

  • Recolecta y procesa los reportes DMARC automáticamente
  • Visualiza qué servicios envían correo a tu nombre (legítimos y maliciosos)
  • Detecta intentos de suplantación en tiempo real
  • Te guía paso a paso por las 5 fases sin riesgo
  • Incluye soporte de nuestros especialistas durante toda la implementación

Para empresas peruanas que prefieren no manejar la complejidad técnica de DMARC, XecuraDMARC es la forma más rápida y segura de protegerse.

Conclusión

DMARC ya no es opcional en 2026. Toda empresa que dependa del correo electrónico — y eso es prácticamente toda empresa — necesita tener SPF, DKIM y DMARC configurados correctamente para:

  • Evitar que suplanten su dominio (proteger marca y clientes)
  • Mejorar deliverability (que los correos lleguen a bandeja, no a spam)
  • Cumplir con regulaciones (PCI-DSS, ISO 27001, NIST)
  • Tener visibilidad de qué está pasando con su correo

Si tu empresa no tiene DMARC aún o no estás seguro de cómo está configurado, conversemos. Una auditoría de tu dominio toma solo unas horas y los hallazgos te van a sorprender.

También te puede interesar

24 de mayo de 2026

Phishing en Perú 2026: cómo proteger a tu empresa del fraude del CEO y BEC

Análisis del phishing en Perú durante 2026: tipos más comunes, casos reales de Business Email Compromise (BEC) y guía práctica para proteger a tu empresa con tecnología y capacitación.

Leer artículo →
1 de junio de 2026

¿Qué es Xcitium? Guía completa del antivirus empresarial de 7 capas

Conoce Xcitium, el antivirus empresarial con 7 capas de seguridad antimalware, RMM integrado y gestión remota de TI. Guía completa con beneficios, casos de uso y precios para empresas en Perú.

Leer artículo →
31 de mayo de 2026

Top 5 ransomware que atacaron empresas peruanas en 2026

Análisis de los 5 grupos de ransomware más activos contra empresas peruanas en 2026: LockBit, BlackCat, Akira, Play y RansomHub. Tácticas, víctimas conocidas y cómo protegerte.

Leer artículo →
Ver todas las noticias →