Cumplimiento normativo · Nov 2025

Las obligaciones gubernamentales de DMARC afectan a los proveedores en 2025

El BMI y el BSI de Alemania están impulsando a los organismos federales a aplicar políticas DMARC estrictas, y los proveedores privados que suministran productos o servicios a esos organismos o están conectados a ellos son el siguiente colectivo afectado. Esta guía explica el calendario, qué esperan ver los auditores y cómo preparar su organización antes de que la contratación pública comience a rechazar ofertas.

Por qué los gobiernos están imponiendo DMARC ahora

La suplantación de identidad dirigida a dominios gubernamentales ha aumentado de forma pronunciada. En 2024, la Oficina Federal Alemana de Seguridad de la Información (BSI) registró un incremento interanual del 34 % en campañas de phishing que se hacían pasar por autoridades públicas. Los defraudadores clonan direcciones ministeriales para redirigir devoluciones fiscales, interceptar datos de ciudadanos o engañar a contratistas para que paguen facturas falsas. DMARC con p=reject es el único control técnico que bloquea categóricamente estos ataques de remitente falsificado en el servidor de correo receptor.

La Directiva NIS2 de la UE, en vigor desde octubre de 2024, refuerza esto exigiendo "medidas técnicas adecuadas" para la seguridad del correo electrónico en todas las entidades esenciales e importantes. DMARC, junto con SPF y DKIM, es la medida de referencia que los auditores comprueban en primer lugar. Las organizaciones que no puedan demostrar p=reject o, como mínimo, p=quarantine se enfrentan a deficiencias de cumplimiento que pueden desencadenar medidas supervisoras o exclusiones contractuales.

Plazos clave y ámbito de aplicación

El mandato federal alemán sigue un calendario por fases:

  • Junio de 2025: Todos los dominios *.bund.de y los dominios principales de los ministerios federales deben publicar DMARC p=reject. El reporte agregado (rua) al relay del BSI es obligatorio.
  • Septiembre de 2025: Los proveedores de servicios de TI federales (clientes de ITZBund) deben demostrar la cobertura DMARC para los dominios utilizados en la correspondencia oficial.
  • Diciembre de 2025: Los municipios y las administraciones de los Länder deben tener un plan de proyecto DMARC aprobado registrado; p=quarantine como mínimo en esta fecha.
  • Q1 2026: Los proveedores privados que liciten contratos públicos superiores a 25 000 € deben presentar una lista de verificación de cumplimiento DMARC completada junto con su oferta.

En paralelo se están desarrollando calendarios similares en toda la UE: la ANSSI de Francia impuso DMARC para la administración central en el cuarto trimestre de 2024, el NCSC de los Países Bajos exige p=reject para todos los dominios rijksoverheid.nl, y el NCSC del Reino Unido publicó orientaciones actualizadas que hacen de p=reject la recomendación predeterminada para todos los organismos del sector público.

Qué cambia para los proveedores del sector privado

Incluso las empresas sin obligación directa en virtud de NIS2 se ven afectadas cuando suministran productos o servicios a entidades en el ámbito de aplicación. Los responsables de contratación añaden cada vez con más frecuencia el cumplimiento de DMARC en la sección de requisitos técnicos de los pliegos. Una política ausente o de p=none se trata ahora de la misma manera que un certificado SSL caducado: una señal de alarma que puede dar lugar al rechazo de la oferta sin evaluación de su mérito.

Más allá de la contratación, las aseguradoras de ciberseguros han comenzado a vincular las tarifas de las primas a la postura de aplicación de DMARC. Una organización que opera con p=none recibe una puntuación de riesgo más alta, independientemente de si ha sufrido algún incidente. El razonamiento es sencillo: p=none significa que el propietario del dominio tiene visibilidad pero ha optado por no actuar, y esa inacción consciente se considera un fallo de gobernanza más que una falta de conocimiento.

Evidencias de auditoría que necesitará

Los auditores y los equipos de contratación solicitan cuatro categorías de evidencias. Prepararlas antes de la fecha de la licitación o auditoría ahorra semanas de trabajo urgente:

  • Inventario de dominios con estado de la política: Una hoja de cálculo o exportación de herramienta que liste todos los dominios y subdominios, la política DMARC actual (none / quarantine / reject) y el responsable dentro de la organización. DMARCFlow genera esto automáticamente a partir de sus datos de supervisión.
  • Métricas de alineación por plataforma de envío: Datos agregados que muestran qué porcentaje del correo de cada fuente (CRM, ERP, sistemas transaccionales, plataformas de marketing) supera la alineación SPF y DKIM. Cualquier valor inferior al 95 % requiere investigación antes de avanzar a p=reject.
  • Manuales de incidentes: Un procedimiento documentado sobre qué ocurre cuando se detecta un intento de suplantación en los informes DMARC: quién recibe la notificación, en qué plazo y qué medidas correctivas se toman. Esto demuestra que los informes no solo se recopilan sino que se actúa sobre ellos.
  • Registro de cambios en los registros DNS: Un rastro de auditoría que muestre los cambios en los registros DMARC, SPF y DKIM con marcas de tiempo y nombres de los aprobadores. Son aceptables tanto la gestión de DNS basada en Git como la exportación de un sistema de tickets.

Hoja de ruta sugerida para organizaciones que comienzan hoy

Si su organización se encuentra actualmente en p=none o no tiene ningún registro DMARC, a continuación se presenta un camino realista de seis semanas hacia p=quarantine, alcanzable antes de la mayoría de los plazos de 2025:

  1. Semana 1 - Inventario: Enumere todos los dominios. Compruebe en cada uno si existen registros DMARC, SPF y DKIM con una herramienta como el Verificador DMARC de DMARCFlow. Identifique las plataformas de envío leyendo los informes agregados rua si DMARC ya existe, o consultando a los equipos de TI y marketing.
  2. Semanas 2–3 - Corrección de SPF y DKIM: Resuelva las infracciones del número de consultas SPF (máximo 10 consultas DNS), añada la firma DKIM a cualquier plataforma que le falte y confirme que el dominio de firma se alinea con el dominio de la cabecera From. La desalineación es la causa más común de fallos de autenticación.
  3. Semana 4 - Despliegue de p=none con reporte rua: Si aún no está implementado, publique v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensics@yourdomain.com; fo=1. Deje que los informes se acumulen durante al menos 7–10 días antes de extraer conclusiones.
  4. Semana 5 - Análisis y corrección: Revise los informes agregados. Cualquier fuente legítima que falle en la autenticación debe corregirse antes de avanzar la política. Problemas habituales: ESP aún no configurado para DKIM, un relay de correo secundario que utiliza una directiva SPF include antigua, o configuraciones de reenvío que rompen la alineación SPF.
  5. Semana 6 - Avance a p=quarantine: Una vez que el 97 %+ del correo legítimo supere la validación, establezca p=quarantine con pct=10 inicialmente y, a continuación, escale a pct=100 en el transcurso de dos semanas. Documente cada paso con capturas de pantalla y marcas de tiempo para su expediente de auditoría.

Cómo DMARCFlow respalda los proyectos de cumplimiento

DMARCFlow agrega informes de todos los principales proveedores de buzones de correo, los analiza en paneles de alineación por fuente y genera exportaciones PDF listas para cumplimiento. La plataforma también supervisa la aparición de nuevas fuentes de envío sin autorización, algo crítico en entornos donde los equipos de marketing y desarrollo ponen en marcha regularmente nuevas herramientas de envío de correo sin informar a la seguridad de TI. Las alertas pueden enrutarse a Slack, Teams o su SIEM a través de webhook.

Para las organizaciones que se enfrentan a un plazo de licitación inminente, el equipo de incorporación de DMARCFlow puede llevar a cabo una evaluación acelerada, identificar las brechas de mayor riesgo y producir un memorando de cumplimiento en un plazo de cinco días hábiles. Este memorando es aceptado por varias oficinas de contratación pública federales alemanas como evidencia provisional mientras se completa el despliegue completo de p=reject.

¿Listo para comenzar? Utilice el Verificador DMARC de DMARCFlow para ver el estado actual de su política en menos de 30 segundos, o solicite una revisión de cumplimiento con nuestro equipo para mapear su organización frente al calendario de mandatos actual.