Riesgo · Nov 2025

El verdadero coste de ignorar DMARC

La mayoría de las conversaciones sobre seguridad en torno a DMARC se centran en las configuraciones técnicas: alineación SPF, selectores DKIM, informes agregados. Pero el argumento real para actuar con urgencia es financiero. Los incidentes de suplantación de identidad no solo dañan la confianza en la marca; generan costes mensurables, a menudo catastróficos, que se extienden mucho más allá del evento de fraude inicial.

Cómo una factura falsificada se convierte en un problema de seis cifras

El ataque típico de compromiso de correo empresarial (BEC) que explota un dominio sin aplicación de DMARC sigue un patrón predecible. Un atacante registra un dominio similar o, más habitualmente, simplemente falsifica la cabecera From de su dominio legítimo. Envía una instrucción de pago a su equipo financiero o a un cliente. El correo llega con apariencia auténtica porque ninguna política de rechazo DMARC lo detiene en el servidor receptor.

Los datos de pymes alemanas recopilados entre 2022 y 2024 muestran el siguiente desglose medio de costes por evento de fraude bancario exitoso:

  • Reembolso al cliente: 48 000 € de media por incidente en el que un cliente transfiere fondos a la cuenta de un atacante tras recibir una factura falsificada procedente de su dominio.
  • Costes de respuesta al incidente: La informática forense para determinar el vector de ataque, el asesoramiento jurídico externo para las notificaciones regulatorias y las relaciones públicas en situación de crisis suelen añadir entre 15 000 € y 22 000 € al total.
  • Sanciones regulatorias: Bajo el RGPD, si el correo falsificado expuso datos personales (incluso metadatos), puede producirse una brecha de notificación obligatoria. Las multas en Alemania han oscilado entre 5 000 € para entidades pequeñas y más de 200 000 € para empresas medianas que carecían de controles preventivos básicos.
  • Pérdida de productividad: Los equipos de finanzas, TI y ventas invierten de media 18 días-persona en recopilar evidencias, responder a las consultas de los clientes y colaborar con las autoridades. A costes totales, esto representa fácilmente entre 25 000 € y 40 000 € en mano de obra interna absorbida.
  • Aumento de las primas de seguro: Tras una reclamación por BEC, las primas de renovación de los ciberseguros suelen aumentar entre un 40 % y un 80 %. Para una empresa que paga 12 000 € anuales, un único incidente puede elevar permanentemente las primas hasta 18 000–21 000 € anuales de ahí en adelante.

Coste total de un único incidente de suplantación exitoso: entre 87 000 € y 150 000 € de media para una empresa con menos de 250 empleados.

La inversión en DMARC, en perspectiva

Una solución gestionada de supervisión DMARC cuesta normalmente entre 200 € y 600 € al mes, dependiendo del número de dominios y la profundidad de los informes. La implementación técnica —limpieza de SPF, activación de DKIM, publicación del registro DMARC— requiere entre 20 y 40 horas del equipo de TI, generalmente repartidas en cuatro a seis semanas. La inversión total del primer año para la mayoría de las pymes oscila entre 5 000 € y 12 000 € cuando se utiliza una plataforma como DMARCFlow que gestiona el análisis de informes y la orientación en la escalada de políticas.

El retorno de esa inversión es cuantificable: un dominio con p=reject elimina por completo el vector de suplantación de la cabecera From. Los ataques BEC que dependen de la suplantación de dominio —que representan aproximadamente el 64 % de todo el fraude por correo electrónico— no pueden llegar a la bandeja de entrada. El riesgo de fraude restante (dominios similares, engaño mediante el nombre para mostrar) sigue requiriendo formación de los empleados y filtrado del buzón de entrada, pero la magnitud de la exposición se reduce drásticamente.

Qué buscan las aseguradoras de ciberseguros

Las aseguradoras de Allianz, AXA y Hiscox han actualizado sus cuestionarios de ciberpolíza para pymes desde 2023 para incluir preguntas explícitas sobre DMARC. Los requisitos habituales son:

  • Política DMARC en p=quarantine o p=reject para todos los dominios principales de envío.
  • Reporte agregado (rua) configurado y supervisado activamente.
  • Registros SPF presentes y válidos (no más de 10 consultas DNS).
  • Firma DKIM activa para todos los flujos de correo saliente.

La ausencia de alguno de estos elementos no descalifica automáticamente a una empresa para obtener cobertura, pero resulta en una calificación de riesgo más alta que se traduce directamente en primas más elevadas. Más significativamente, si se presenta una reclamación por BEC y la aseguradora descubre que DMARC no estaba implementado, la reclamación puede ser denegada parcial o totalmente alegando el incumplimiento de los controles básicos de seguridad, una cláusula de exclusión estándar en la mayoría de las ciberpolizas modernas.

El coste reputacional que no aparece en las facturas

Más allá de la exposición financiera directa, los incidentes de suplantación crean una responsabilidad reputacional más difícil de cuantificar pero a menudo más perjudicial a largo plazo. Cuando un cliente recibe una factura fraudulenta convincente que aparentemente proviene de su dominio, su primera reacción raramente es "esto debe ser una falsificación". Más bien es "¿podemos confiar en este proveedor?". Esa duda persiste incluso después de que el incidente se resuelva y se confirme la falsificación.

La pérdida de clientes tras un incidente de suplantación es difícil de medir porque los clientes afectados a menudo simplemente reducen el gasto o retrasan las renovaciones sin citar explícitamente el incidente. Las entrevistas realizadas por la Asociación Alemana de la Industria de Internet (eco) sugieren que las empresas B2B pierden de media entre un 8 % y un 12 % de los ingresos de los clientes afectados en los 18 meses siguientes a un incidente BEC que involucra su dominio y que ha sido hecho público.

Construya su caso de negocio en tres pasos

  1. Cuantifique la exposición actual: Cuente los informes de dominios similares y las consultas de pagos redirigidos que su equipo de soporte ha recibido en los últimos 12 meses. Si el reporte DMARC ya está habilitado en p=none, consulte sus datos agregados para ver cuántas fuentes no autorizadas están enviando correo actualmente desde su dominio.
  2. Modele el coste del incidente: Utilizando las cifras medias anteriores, calcule la pérdida esperada de su organización para un único evento BEC. Añada el diferencial de prima de seguro por operar sin p=quarantine o p=reject. Este es el denominador de su cálculo de ROI.
  3. Compare con el coste de implementación: Solicite un presupuesto para un servicio DMARC gestionado, estime las horas internas de TI y calcule el coste total del primer año. Para la mayoría de las pymes, el punto de equilibrio se alcanza en tres a seis meses, lo que significa que la inversión se amortiza antes de que ocurra un solo incidente.

DMARCFlow puede generar un resumen de riesgo automatizado basado en su postura DMARC actual y sus patrones de envío. Compruebe su dominio gratuitamente, o contacte con nuestro equipo para analizar referentes y modelos de ROI relevantes para su sector y tamaño de empresa.