El ciberseguro es ahora una parte esencial de la gestión del riesgo empresarial. Sin embargo, aquí está lo que la mayoría de las empresas pasa por alto: si no puede demostrar que ha asegurado su dominio de correo, su póliza puede no protegerle.

Sin una autenticación de correo adecuada (DMARC, SPF, DKIM), la cobertura puede reducirse, las primas pueden aumentar — y las reclamaciones pueden denegarse directamente. Esto no es hipotético: está ocurriendo a empresas en este momento.

La amenaza real: phishing y suplantación de identidad

El compromiso del correo empresarial (BEC) y el phishing siguen siendo los principales impulsores de los incidentes cibernéticos a nivel mundial. El Centro de Denuncias de Delitos en Internet (IC3) del FBI reportó más de 2.900 millones de dólares en pérdidas por BEC solo en 2023. Los atacantes explotan dominios no autenticados para hacerse pasar por marcas de confianza y extraer dinero o datos.

El patrón de ataque es consistente: un actor de amenazas suplanta su dominio, envía una factura fraudulenta o una solicitud de transferencia bancaria a su proveedor o cliente, y el dinero se mueve antes de que nadie lo note. Sin malware, sin intrusión técnica — solo un correo no autenticado que parecía venir de usted.

Los aseguradores lo saben. Por eso, la falta de controles de autenticación de correo puede:

  • Aumentar sus primas entre un 15 y un 40 % en la renovación
  • Reducir sus límites de cobertura para incidentes de ingeniería social
  • Llevar a la denegación de reclamaciones tras un incidente, alegando incumplimiento de los estándares mínimos de seguridad

Si su dominio puede ser suplantado, los aseguradores lo tratarán como una vulnerabilidad conocida y prevenible. Lo examinarán durante la suscripción — y de nuevo cuando presente una reclamación.

DMARC, SPF y DKIM: los tres pilares de la confianza en el correo

Comprender qué hace cada control le ayuda a explicar su postura de seguridad a los suscriptores:

  • SPF (Sender Policy Framework) - Define qué direcciones IP están autorizadas para enviar correo en nombre de su dominio. Un registro SPF ausente o excesivamente permisivo permite que cualquiera envíe en su nombre.
  • DKIM (DomainKeys Identified Mail) - Añade una firma criptográfica a los correos salientes. Los destinatarios pueden verificar que el mensaje no fue alterado durante el tránsito.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) - Une SPF y DKIM. Alinea la dirección From visible con los resultados de autenticación y le indica a los servidores receptores exactamente cómo manejar los fallos: monitorizar, poner en cuarentena o rechazar.

Una política DMARC establecida en p=none es solo de monitorización — recopila datos pero no protege a nadie. Los aseguradores buscan aplicación efectiva: p=quarantine o p=reject. La diferencia entre p=none y p=reject es la diferencia entre "sabemos que nos están suplantando" y "detenemos la suplantación antes de que llegue a las bandejas de entrada."

Lo que los suscriptores realmente comprueban durante la renovación

Los cuestionarios de suscripción de ciberseguro se han vuelto significativamente más técnicos desde 2022. Esto es lo que la mayoría de los principales aseguradores preguntan ahora sobre la seguridad del correo:

  • ¿Tiene registros SPF publicados para todos los dominios de envío?
  • ¿Tiene DKIM configurado para todas las transmisiones de correo saliente?
  • ¿Su política DMARC está establecida en p=quarantine o p=reject?
  • ¿Monitoriza los informes DMARC para detectar remitentes no autorizados?
  • ¿Cuenta con un plan de respuesta a incidentes documentado para ataques basados en correo?

Responder "no" a varios elementos suele resultar en primas más altas o exclusiones de cobertura para incidentes de ingeniería social y BEC — precisamente la categoría más probable de afectar a su negocio.

Las denegaciones de ciberseguro están aumentando

Los datos del sector muestran una fricción creciente entre los incidentes y los pagos. Análisis recientes indican que entre el 40 y el 54 % de las reclamaciones de ciberseguro se enfrentan a algún tipo de impugnación o denegación parcial. Entre las reclamaciones relacionadas con BEC, los controles de seguridad del correo ausentes o mal configurados aparecen como factor contribuyente en una proporción significativa de los casos en disputa.

Los principales proveedores de buzones de correo — Gmail, Yahoo y Apple Mail — ya exigen una autenticación estricta para los remitentes masivos. Esa misma presión técnica está llegando ahora a los aseguradores, que utilizan los requisitos de los proveedores como base para lo que cuenta como "medidas de seguridad razonables".

No cumplir estos requisitos le deja expuesto de dos formas: a los atacantes que explotan su dominio no autenticado, y al riesgo financiero posterior al incidente cuando su póliza no cubre las pérdidas.

Para fundadores, CTOs y responsables de riesgos: qué hacer ahora

Si está pagando un ciberseguro, necesita hacer esto en paralelo:

  1. Audite su postura actual: Realice una comprobación DMARC en cada dominio que use para el correo — incluidos los subdominios utilizados por herramientas de marketing, sistemas de RRHH y plataformas CRM.
  2. Corrija primero SPF y DKIM: La aplicación de DMARC depende de que ambos sean correctos. Un registro SPF roto o una firma DKIM ausente causarán fallos de autenticación incluso con una política de rechazo.
  3. Escale su política DMARC: Pase de p=none a p=quarantine y eventualmente a p=reject. Este es el paso que más les importa a los aseguradores.
  4. Conserve evidencias: Guarde los informes agregados DMARC, los registros de cambios DNS y las exportaciones de configuración. Son su rastro de auditoría si alguna reclamación es impugnada.
  5. Monitorice de forma continua: Los nuevos servicios de correo, la TI en la sombra y los cambios de DNS pueden romper silenciosamente la autenticación. La monitorización automatizada detecta las brechas antes de que se conviertan en incidentes.

La seguridad no es una casilla que marcar — es una responsabilidad operativa continua. La buena noticia es que DMARC, una vez correctamente configurado, es en gran medida automantenido con las herramientas adecuadas.

Cómo DMARCFlow le ayuda a cumplir los requisitos del asegurador

DMARCFlow le lleva del riesgo a la resiliencia con herramientas diseñadas precisamente para este caso de uso:

  • El análisis de dominios identifica registros SPF, DKIM y DMARC mal configurados en todos sus dominios
  • Monitorización continua con alertas instantáneas cuando la autenticación falla o aparecen nuevos remitentes no autorizados
  • Análisis de informes agregados que descubre remitentes no autorizados, fallos de alineación y brechas de política
  • Informes de cumplimiento exportables que demuestran la postura de seguridad a los suscriptores y auditores

Los fundadores, CISOs y responsables de cumplimiento obtienen tanto protección como prueba — las dos cosas que los aseguradores necesitan ver durante la suscripción y al procesar las reclamaciones.

Reflexiones finales

El ciberseguro puede salvarle de un desastre — pero solo si cumple las condiciones escritas en su póliza. Si DMARC sigue establecido en p=none, su dominio es suplantable y su cobertura para ataques basados en correo puede no responder cuando más la necesite.

La solución no es ni cara ni complicada. Una política de aplicación DMARC correctamente configurada, combinada con una monitorización continua, cierra la brecha entre lo que su póliza promete y lo que realmente ofrece. No espere a una violación de seguridad para descubrir la diferencia.

¿Necesita aplicar DMARC rápidamente?
Realice un análisis gratuito de DMARC/SPF/DKIM y vea qué falta.
Análisis gratuito