Artículo de blog
- 23 de enero de 2025
- 8 minutos de lectura
- Edward Carroll
- DMARC Advocate
A través del ruido: El verdadero panorama normativo para DMARC
Cuando se trata de la seguridad del correo electrónico y el cumplimiento de la normativa, hay mucha confusión. Hemos visto afirmaciones de que la autenticación, reporte y conformidad de mensajes basada en dominios (DMARC ) es necesaria en virtud de la normativa sobre datos de privacidad, cuando los mandatos no la exigen.
Aunque la seguridad del correo electrónico es importante para proteger la información sensible, creemos que hay que tener claro qué normativas obligan a DMARC y cuáles apuntan a su aplicación generalizada.
En este artículo, vamos a destacar los mandatos reales de DMARC , desacreditar los conceptos erróneos más comunes y explicar por qué DMARC sigue siendo importante, incluso cuando no es obligatorio.
La normativa DMARC
DMARC es una poderosa herramienta en la lucha contra la suplantación de identidad del correo electrónico, una táctica común utilizada en los ataques de Business Email Compromise (BEC), que se espera que costo 3.220 millones de dólares este año, y el phishing. Pero no todas las normativas de ciberseguridad o privacidad de datos lo exigen directamente. He aquí un desglose de las normativas que exigenimplementación DMARC y las que no:
Mandatos que exigen DMARC
Muchos gobiernos y organismos reguladores de todo el mundo ya han hecho obligatorio el uso DMARC en sectores específicos:
Global
- Requisitos de envío masivo de Google y Yahoo: Las organizaciones que envíen más de 5 000 correos electrónicos al día deben implementar DMARC.
Norteamérica
- Directiva Operativa Vinculante (DBO) 18-01: Requiere que las agencias federales de EE.UU. implementar DMARC con una política p=reject .
- Manual de gestión de la información del Estado de California (SIMM) - 5315A: Obliga a DMARC a las agencias estatales de California.
- Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) DMARC: Requiere que los proveedores de servicios en la nube que trabajan con el gobierno federal de EE.UU. apliquen p=reject.
- Política de correo electrónico del Gobierno canadienseolicía: Las agencias federales canadienses deben tener una política DMARC de p=quarantine o p=reject.
Europa
- Dinamarca, Países Bajos y REINO UNIDO: Todos tienen mandatos gubernamentales específicos que exigen laimplementación DMARC para la seguridad del correo electrónico del sector público.
Otras regiones
- Nueva Zelanda: Establece una política DMARC de p=reject para los organismos gubernamentales.
- Controles esenciales de ciberseguridad (ECC) de Arabia Saudí: Exige una autenticación sólida del correo electrónico, incluido DMARC.
- El sector financiero ruandés mandate: Las instituciones financieras deben implementar SPF, DKIM y DMARC.
¿Qué ocurre con otras leyes de protección de la intimidad?
Una cosa que hemos notado es que muchos asumen que las regulaciones de protección de datos bien conocidas como el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA) obligan a DMARC. Esto no es cierto. Estas leyes se centran en la protección de los datos personales, las notificaciones de infracciones y los derechos de los consumidores, pero no obligan a las empresas a implementar DMARC.
Otras normativas que se asocian erróneamente con DMARC incluyen:
- Norma sobre privacidad de la información financiera del consumidor de la Ley Gramm-Leach-Bliley (GLBA): Obliga a las entidades financieras a proteger los datos de sus clientes, pero no impone DMARC.
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA): Protege los datos de los pacientes, pero DMARC no es un requisito de cumplimiento.
- Certificación del Modelo de Madurez de Ciberseguridad (CMMC): Requiere que los contratistas del Departamento de Defensa (DoD) salvaguarden la información sensible, pero DMARC no es obligatorio.
- Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (CEI) 27001: Un marco de ciberseguridad ampliamente reconocido, pero no especifica DMARC como requisito.
- Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) v4.0: Obliga a utilizar mecanismos automatizados para detectar y proteger contra phishing , pero no exige DMARC.
Para que quede claro, aunque DMARC ayuda a las organizaciones a alinearse con los objetivos de estas normativas -reduciendo el riesgo de ataques phishing que podrían dar lugar a filtraciones de datos-, no existe ningún requisito directo para implementar .
Por qué DMARC es importante sin mandatos
Aunque no es obligatorio en todos los marcos normativos, la implantación de DMARC puede reforzar significativamente la seguridad del correo electrónico de tu empresa. He aquí por qué DMARC es importante, incluso sin requisitos de cumplimiento:
- Mejora la integridad y la confianza: DMARC, con Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM), ayuda a autenticar la integridad del correo electrónico y la identidad del remitente. Esto impide que los ciberdelincuentes suplanten o se hagan pasar fácilmente por el dominio de tu empresa, lo que fomenta la confianza de clientes y socios comerciales.
- Mejora la capacidad de entrega: Al alinearse con SPF y DKIM, DMARC reduce la posibilidad de que los correos legítimos acaben en Spam. Esto puede mejorar la capacidad de entrega y aumentar las posibilidades de que las comunicaciones importantes lleguen a los destinatarios previstos.
- Proporciona más visibilidad: DMARC permite a las organizaciones recibir informes sobre los correos electrónicos enviados desde su dominio, incluidos los que no superan las comprobaciones DMARC . Esta visibilidad permite a las empresas supervisar y controlar el uso de su dominio de correo electrónico, detectando rápidamente el uso no autorizado y las amenazas potenciales.
- Protege la reputación de la marca: Al reducir el fraude por correo electrónico, las empresas pueden proteger la reputación de su marca del impacto negativo de los ataques basados en el correo electrónico como la ingeniería social, una amenaza común utilizada en el 98% de los ciberataques en 2024.
Con DMARC, las empresas mejoran sus medidas de seguridad y su eficacia operativa, al tiempo que mantienen la confianza de sus interlocutores.
Transparencia en las directrices DMARC
En Sendmarc, creemos que hay que eliminar el ruido y proporcionar información precisa y práctica sobre la adopción de DMARC . Nos centramos en lo que realmente importa:
- Normativa que exige laimplementación DMARC
- Mejores prácticas y tendencias que muestran hacia dónde se dirigen los mandatos DMARC
- Orientación clara sobre cómo las organizaciones pueden anticiparse a los cambios normativos
Si tu organización está considerando DMARC, la pregunta no es si lo necesitará, sino cuándo. Y con el aumento del phishing , que contribuyó a 932.923 ciberataques solo en el tercer trimestre de 2024, cuanto antes se instale la protección, mejor.
¿Le interesa empezar? Póngase en contacto con nosotros y le guiaremos tu través de todo el proceso.
