Qué es DMARC y por qué los bancos ya lo exigen a sus proveedores

Candado - Símbolo de seguridad

Foto de Towfiqu barbhuiya en Unsplash

Pocas pymes conocen DMARC por curiosidad. Lo normal es conocerlo por requisito: un cliente grande envía su cuestionario de homologación de proveedores y, entre las preguntas de seguros y certificaciones, aparece la casilla «¿Dispone su dominio de política DMARC?». O lo menciona el banco. O un pedido importante queda condicionado a responder que sí.

La sigla no ha llegado a tu mesa por moda. Ha llegado porque tu correo se ha convertido en parte de la seguridad de tus clientes, y ellos han empezado a comprobarlo. Este artículo explica qué es, qué hace exactamente y por qué quienes más tienen que perder llevan años exigiéndolo.

Qué es, sin ceremonia

DMARC es una instrucción pública que tu dominio da a todos los servidores de correo del mundo: qué hacer con los mensajes que digan venir de ti y no puedan demostrarlo.

No es un programa. No se instala en tus ordenadores ni se compra por licencias. Es una declaración que se publica junto a tu dominio, donde cualquier servidor puede consultarla. Cuando Gmail, Outlook o el servidor de tu cliente reciben un correo con tu nombre, leen esa declaración y la obedecen.

Si tu dominio no la tiene publicada, la instrucción que recibe el mundo es «cada cual decida por su cuenta». Y cada cual decide.

Las dos pruebas y el veredicto

DMARC no trabaja solo. Se apoya en dos comprobaciones previas que conviene distinguir, porque cada una tiene su papel:

  • SPF es una lista publicada por tu dominio que declara qué servidores están autorizados a enviar correo en tu nombre. El servidor que recibe comprueba si el mensaje viene de uno de ellos.
  • DKIM es una firma que viaja dentro de cada mensaje. Permite al receptor verificar dos cosas: que el correo lo envió realmente tu dominio y que nadie lo alteró por el camino.
  • DMARC es el veredicto. Toma el resultado de las dos pruebas y añade una comprobación propia, que es su verdadera aportación: que la prueba superada corresponda exactamente al dominio que el destinatario ve como remitente, no a otro. Superada esa verificación, el correo es tuyo. Fallada, se aplica tu política.

Ese último matiz importa más de lo que parece. Sin él, un mensaje puede superar comprobaciones técnicas en nombre de un dominio mientras muestra el tuyo en el remite visible. DMARC existe precisamente para cerrar esa rendija: lo que se verifica y lo que el destinatario ve tienen que coincidir.

Los tres niveles, y la trampa del «ya lo tengo»

La política DMARC admite tres instrucciones, de menor a mayor firmeza:

  • Observar: no hagas nada con los correos que fallen, pero infórmame de ellos.
  • Cuarentena: envíalos a la carpeta de spam.
  • Rechazo: no los entregues.

Y aquí, el dato incómodo: una parte enorme de los dominios que «tienen DMARC» están en el primer nivel. La política existe, el cuestionario se puede responder que sí, y los correos fraudulentos se entregan igual, porque la instrucción publicada es, literalmente, «no hagas nada». Es un portero con la consigna de apuntar a los intrusos en una libreta mientras pasan.

El nivel de observación tiene una función legítima e importante —es la fase de diagnóstico, como veremos—, pero como destino final no protege nada. Tener la sigla no es estar protegido. La diferencia está en una sola palabra de la política, y casi nadie la mira.

Por qué los bancos lo exigen a sus proveedores

Porque el fraude ya no ataca a la fortaleza: ataca a quien le lleva los tornillos.

La estafa de la factura con cuenta cambiada —la misma que vimos al hablar de la suplantación de dominio— rara vez suplanta al banco, que tiene sus defensas afinadas. Suplanta al proveedor pequeño: la asesoría, el taller, el suministrador habitual. Su dominio no está protegido, imitarlo es trivial y sus correos ya cuentan con la confianza del destinatario. El eslabón débil de la cadena de pagos no está en la entidad: está en su agenda de proveedores.

Las grandes organizaciones lo saben, y han sacado la conclusión lógica: la identidad de correo de sus proveedores forma parte de su propio perímetro de seguridad. De ahí los cuestionarios de homologación, y de ahí que la exigencia se esté extendiendo en cascada.

El contexto general apunta en la misma dirección. Administraciones públicas de varios países exigen por norma esta política a sus organismos desde hace años. Los principales proveedores de correo del mundo la exigen desde 2024 a quien les envía mensajes en gran volumen. Y en los estándares de cumplimiento de sectores regulados ya aparece de forma expresa. Lo que durante años fue una buena práctica de especialistas se está convirtiendo en condición para operar.

Lo que DMARC no hace

Conviene decirlo con la misma claridad que todo lo anterior: DMARC protege tu dominio exacto. No protege los parecidos.

Si un estafador registra un dominio que se diferencia del tuyo en una letra, o le añade un guion, está enviando desde un dominio que existe y que es suyo. Tus políticas no le alcanzan, porque no está suplantando tu dominio: está usando otro que se le parece. Ese frente se combate por otras vías —vigilancia de registros similares, formación de quien recibe pagos—, y quien te venda DMARC como protección total contra el fraude por correo te está vendiendo más de lo que la herramienta da.

Lo que sí cierra DMARC es la vía más directa y más usada: el correo que dice ser exactamente tú. Con la política en rechazo, ese mensaje no llega a tu cliente. Muere en la puerta.

Cómo se hace bien (y cómo se estropea)

La tentación es evidente: si el rechazo es el nivel que protege, publicar el rechazo hoy y asunto resuelto. Esa prisa es la forma más rápida de estropearlo.

En casi toda empresa hay más remitentes legítimos de los que nadie recuerda: la herramienta de facturación, la plataforma de campañas, el formulario de la web, el programa de gestión. Si alguno no está correctamente autorizado y la política pasa a rechazo, sus correos —legítimos, tuyos— dejan de entregarse. El arreglo mal hecho reproduce el problema de los correos que no llegan, ahora por orden tuya.

Por eso el camino serio es por fases. Primero, observar: publicar la política en su nivel de diagnóstico y leer los informes que los servidores del mundo envían sobre quién está usando tu nombre, con qué resultado. Después, autorizar lo que falte y corregir lo que falle. Solo entonces, endurecer la política, y comprobar que nada legítimo se queda fuera. Son semanas de proceso medido, no una tarde de configuración. Y los informes, dicho sea de paso, siguen llegando después: leerlos de vez en cuando es la diferencia entre estar protegido y creerlo.

De opcional a casilla

DMARC está recorriendo el mismo camino que recorrió el candado de las webs seguras: primero cosa de bancos, después recomendación, hoy requisito que otros marcan por ti. Nada de esto existe, por cierto, sin un dominio propio sobre el que configurarlo.

La única decisión real es el calendario: llegar con los deberes hechos, o hacerlos con el cuestionario de un cliente encima de la mesa y un plazo de respuesta corriendo. Si quieres saber en qué punto está tu dominio —si hay política, en qué nivel y qué está contando de ti—, escríbenos. Lo comprobamos y te lo decimos claro, salga lo que salga.