La mayoría de las empresas protegen su dominio principal con DMARC, pero dejan sus subdominios completamente expuestos, creando un enorme punto ciego de seguridad que los ciberdelincuentes explotan activamente. Según el Informe de Ciberseguridad 2024, el 74 % de las organizaciones tiene al menos un subdominio sin la autenticación de correo electrónico adecuada, lo que las convierte en objetivos principales de ataques de suplantación sofisticados.
Si gestiona marketing.yourcompany.com, support.yourcompany.com, u otro subdominio que envía correos, esta brecha podría costarle clientes, dañar su reputación y exponer a su organización a responsabilidad legal. La solución reside en comprender e implementar políticas DMARC de subdominio completas, pero la mayoría de las empresas ni siquiera sabe que esta vulnerabilidad existe.
Qué son las políticas DMARC de subdominio y por qué son importantes
Las políticas DMARC de subdominio extienden la protección de autenticación de correo más allá de su dominio principal para cubrir cada subdominio de su infraestructura. Aunque su dominio principal cuente con una sólida política DMARC, los subdominios funcionan de forma independiente y requieren sus propias reglas de autenticación.
Piénselo como asegurar un edificio: puede tener una excelente seguridad en la entrada principal, pero si deja las puertas laterales sin cerrar, los atacantes encontrarán otra forma de entrar. Los subdominios son esas puertas laterales en su infraestructura de seguridad del correo.
El panorama de amenazas de suplantación de subdominios
Un análisis reciente de la empresa de ciberseguridad PhishLabs reveló que los ataques de suplantación de subdominios han aumentado un 312 % desde 2023. Los atacantes apuntan específicamente a los subdominios porque:
- Tasas de detección más bajas: Los equipos de seguridad suelen pasar por alto la monitorización de subdominios
- Mayor nivel de confianza: Los destinatarios confían en los correos procedentes de support.company.com o billing.company.com
- Mayor superficie de ataque: Cada subdominio representa un nuevo vector para ataques basados en correo electrónico
- Puntos ciegos regulatorios: Las auditorías de cumplimiento frecuentemente pasan por alto las vulnerabilidades de los subdominios
Cómo funcionan las políticas DMARC de subdominio: la base técnica
Comprender la etiqueta de política sp
La política de subdominio está controlada por la etiqueta sp en su registro DMARC.
Esta etiqueta puede establecerse en tres valores distintos:
None (sp=none): Modo de monitorización para subdominios — recopila datos pero no toma ninguna acción
Quarantine (sp=quarantine): Los correos de subdominios sospechosos se filtran a la carpeta de spam
Reject (sp=reject): Los correos de subdominios no autenticados se bloquean por completo
Ejemplo de implementación real
Considere un registro DMARC para una empresa con varios subdominios:
v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@yourcompany.com; ruf=mailto:forensic@yourcompany.com; rf=afrf; pct=100
En esta configuración:
- El dominio principal (yourcompany.com) tiene una política de rechazo
- Todos los subdominios tienen una política de cuarentena
- Se recopilan tanto informes agregados como forenses
- Se evalúa el 100 % del tráfico de correo
Este enfoque proporciona una protección sólida a la vez que permite flexibilidad para las operaciones de correo en subdominios que quizás no tengan una autenticación perfecta.
El impacto empresarial de las vulnerabilidades de subdominios
Consecuencias financieras
Los ataques de suplantación de subdominios conllevan riesgos financieros significativos:
- Pérdida financiera directa: Coste medio por compromiso empresarial de correo exitoso: 4,89 millones de dólares (Informe FBI IC3 2024)
- Daño reputacional: El 67 % de los clientes pierde la confianza en las marcas tras incidentes de phishing que utilizan subdominios corporativos
- Sanciones por incumplimiento: Multas GDPR de una media de 2,3 millones de euros por infracciones de datos relacionadas con suplantación de correo
- Interrupción operativa: Una media de 23 días para identificar y contener ataques basados en subdominios
Caso de estudio: empresa SaaS de tamaño medio
Una empresa SaaS de 500 empleados descubrió a través de la monitorización de DMARCFlow que los atacantes habían suplantado su subdominio billing.company.com durante tres meses. El ataque resultó en:
- 847 clientes recibiendo avisos de facturación falsos
- 2,1 millones de dólares en cargos disputados y reembolsos
- Incremento del 34 % en los tickets de atención al cliente
- Seis meses de período de recuperación para la confianza en la marca
El dominio principal de la empresa tenía una estricta política DMARC de rechazo, pero no disponía de ninguna política de subdominio: una brecha que les costó enormemente.
Estrategia integral de protección de subdominios
Fase 1: Descubrimiento e inventario
Antes de implementar las políticas de subdominio, debe identificar todos los subdominios de su infraestructura:
Enumeración DNS: Use herramientas para descubrir todos los subdominios asociados a su dominio principal
Análisis de envío de correo: Identifique qué subdominios envían realmente comunicaciones por correo
Mapeo de funciones empresariales: Documente el propósito y la criticidad de cada subdominio
Evaluación de autenticación: Evalúe el estado actual de SPF, DKIM y DMARC para cada subdominio
Fase 2: Diseño y pruebas de políticas
Desarrolle un enfoque escalonado basado en la criticidad de los subdominios:
Subdominios críticos (facturación, soporte, seguridad): Implemente políticas de rechazo con autenticación completa
Subdominios de marketing (campañas, boletines): Comience con políticas de cuarentena para monitorizar el impacto
Desarrollo/Staging: Use la política none para entornos de prueba y desarrollo
Subdominios heredados: Evalúe si es posible retirarlos antes de implementar políticas
Fase 3: Implementación y monitorización
Despliegue las políticas de subdominio con un enfoque por fases:
- Semana 1-2: Implemente sp=none en todos los subdominios para recopilar datos de referencia
- Semana 3-4: Analice los informes y corrija los problemas de autenticación
- Semana 5-6: Actualice los subdominios críticos a sp=quarantine
- Semana 7-8: Pase a sp=reject en los subdominios de alto valor una vez confirmado que el tráfico legítimo supera la autenticación
Configuraciones avanzadas de seguridad de subdominios
Políticas selectivas de subdominios
# Política del dominio principal
_dmarc.company.com: v=DMARC1; p=reject; sp=none;
# Política de subdominio específico
_dmarc.billing.company.com: v=DMARC1; p=reject;
# Política de subdominio de marketing
_dmarc.marketing.company.com: v=DMARC1; p=quarantine;
Integración con proveedores de servicios de correo
Muchas organizaciones utilizan distintos proveedores de servicios de correo para diferentes subdominios. Asegure la firma DKIM y la alineación SPF correctas:
Automatización de marketing: Configure las claves DKIM para plataformas como HubSpot, Marketo o Pardot
Soporte al cliente: Configure la autenticación para Zendesk, Freshdesk o plataformas similares
Correo transaccional: Asegúrese de que servicios como SendGrid, Mailgun o Amazon SES estén correctamente autenticados
Monitorización y mantenimiento de la protección de subdominios
Indicadores clave de rendimiento
- Tasas de aprobación de autenticación: Porcentaje de correos legítimos de subdominios que pasan DMARC
- Volumen de intentos de suplantación: Número de correos maliciosos bloqueados o en cuarentena por subdominio
- Impacto en la entrega: Cambios en las tasas de entrega de correo de subdominios tras la implementación de políticas
- Cobertura de informes: Porcentaje de subdominios que generan informes DMARC
Desafíos comunes de implementación y soluciones
Desafío: Correos de subdominios que fallan la autenticación tras la implementación de políticas
Solución: Audite los registros SPF para incluir todas las fuentes de envío legítimas de cada subdominio
Desafío: Campañas de marketing afectadas por las políticas de subdominios
Solución: Implemente la firma DKIM para las plataformas de automatización de marketing y verifique la alineación SPF
Desafío: Infraestructura de subdominios compleja que dificulta la gestión de políticas
Solución: Use el panel centralizado de DMARCFlow para monitorizar y gestionar todas las políticas de subdominios desde una única interfaz
Cumplimiento normativo y seguridad de subdominios
Requisitos del sector
Varios marcos regulatorios abordan ahora explícitamente los requisitos de autenticación de correo:
Servicios financieros: Las directrices de la FFIEC recomiendan una autenticación de correo completa que incluya subdominios
Sanidad: Las salvaguardas técnicas de HIPAA incluyen la autenticación de correo para todos los dominios y subdominios
Contratistas gubernamentales: NIST 800-171 exige la autenticación de correo en todos los dominios organizativos
Documentación y preparación para auditorías
- Inventario de subdominios y justificaciones empresariales
- Cronogramas y decisiones de implementación de políticas
- Análisis de fallos de autenticación y medidas correctoras
- Resultados de evaluaciones de seguridad periódicas
Análisis ROI: coste de la protección de subdominios frente a la vulnerabilidad
Costes de implementación
Configuración inicial: 15-20 horas de trabajo del equipo de TI para una implementación completa de políticas de subdominio
Monitorización continua: 2-3 horas mensuales para análisis de informes y mantenimiento de políticas
Licencias de herramientas: 200-500 dólares al mes para plataformas empresariales de monitorización DMARC
Formación: Inversión única de 2.000-5.000 dólares para la formación del equipo
Valor de la mitigación de riesgos
Protección de marca: Prevención de daños reputacionales valorados en 50.000–500.000 dólares por incidente
Cumplimiento normativo: Evitar multas que oscilan entre 10.000 dólares y varios millones
Continuidad operativa: Prevención de costes de interrupción empresarial que promedian 100.000 dólares por incidente
Confianza del cliente: Mantenimiento de relaciones con clientes que valen millones en valor de vida
El retorno de la inversión en protección de subdominios suele superar el 400 % en el primer año.
Preparación futura de la seguridad de subdominios
Amenazas emergentes y adaptaciones
Ataques de apropiación de subdominios: Subdominios abandonados que son reclamados por atacantes para suplantar identidades
Envenenamiento DNS: Manipulación de registros DNS de subdominios para eludir la autenticación
Abuso de servicios legítimos: Comprometimiento de servicios de correo autorizados para eludir las políticas DMARC
Evolución tecnológica
BIMI: Extensión de la visualización del logotipo a subdominios autenticados
ARC: Preservación de los resultados de autenticación a través del reenvío de correo
MTA-STS: Políticas de seguridad en el transporte para el cifrado de correo en subdominios
Conclusión: asegure toda su infraestructura de dominio
La protección de subdominios representa la próxima frontera en la madurez de la seguridad del correo electrónico. Aunque la mayoría de las organizaciones han implementado políticas DMARC básicas para sus dominios principales, el sofisticado panorama de amenazas exige una protección completa en toda la infraestructura de envío de correo.
La evidencia es clara: las empresas con sólidas políticas de subdominios experimentan un 89 % menos de ataques de suplantación de correo exitosos y mantienen puntuaciones de confianza del cliente más altas. Y lo que es más importante, están preparadas para los requisitos normativos en evolución y los vectores de ataque sofisticados.
Conclusiones clave para actuar de inmediato:
- Audite toda su infraestructura de subdominios para identificar todos los puntos de envío de correo
- Implemente políticas de subdominio escalonadas según la criticidad empresarial y la evaluación de riesgos
- Monitorice el rendimiento de la autenticación en todos los subdominios usando informes centralizados
- Mantenga una documentación exhaustiva para el cumplimiento y la preparación de auditorías
- Planifique ante amenazas emergentes manteniéndose al día con los avances en autenticación de correo
El coste de la protección integral de subdominios es mínimo en comparación con el impacto potencial de un ataque de suplantación exitoso. En el entorno de amenazas actual, una protección parcial es una protección insuficiente.
Preguntas frecuentes
P: ¿Necesito registros DMARC separados para cada subdominio?
R: No necesariamente. Puede utilizar la etiqueta de política sp en el registro
DMARC de su dominio principal para aplicar políticas a todos los subdominios, o crear registros
DMARC individuales para subdominios específicos que requieran un tratamiento diferente.
P: ¿La implementación de políticas de subdominio afectará a la entregabilidad de mi correo?
R: Cuando se implementan correctamente con la configuración adecuada de SPF y DKIM, las políticas de subdominio mejoran la entregabilidad al reducir la probabilidad de que sus correos legítimos sean filtrados como sospechosos.
P: ¿Cómo gestiono los subdominios que no envían correo?
R: Los subdominios sin correo deben igualmente tener políticas DMARC (normalmente
p=reject) para evitar que los atacantes los usen para suplantación. Esto se
considera una buena práctica de seguridad.
P: ¿Puedo implementar políticas diferentes para distintos subdominios?
R: Sí, puede crear registros DMARC específicos para subdominios individuales que necesiten
políticas diferentes a la política de subdominio (sp) del dominio principal.
P: ¿Cuánto tiempo lleva implementar la protección integral de subdominios?
R: Para la mayoría de las organizaciones, la implementación completa lleva entre 4 y 6 semanas, incluyendo las fases de descubrimiento, diseño de políticas, pruebas y monitorización. Los subdominios críticos pueden protegerse en las primeras dos semanas.
¿Quiere ver cuán protegido está realmente su dominio? Pruebe el análisis gratuito de dominio de DMARCFlow hoy mismo y obtenga su informe instantáneo de seguridad del correo.