Artículo de blog
- 23 de enero de 2025
- 8 minutos de lectura
- Edward Carroll
- DMARC Advocate
Más allá del ruido: El verdadero panorama normativo para DMARC
Cuando se trata de la seguridad del correo electrónico y el cumplimiento de la normativa, hay mucha confusión. Hemos visto afirmaciones de que el protocolo Domain-based Message Authentication, Reporting, and Conformance(DMARC) es necesario en virtud de la normativa sobre datos de privacidad, cuando los mandatos no lo exigen.
Aunque la seguridad del correo electrónico es importante para proteger la información sensible, creemos que hay que tener claro qué normativas requieren DMARC y cuáles apuntan a su aplicación generalizada.
En este artículo, vamos a destacar los mandatos reales de DMARC, desacreditar los conceptos erróneos más comunes y explicar por qué DMARC sigue siendo importante, incluso cuando no es obligatorio.
La normativa vinculada a DMARC
DMARC es una poderosa herramienta en la lucha contra la suplantación de identidad del correo electrónico, una táctica común utilizada en los ataques de Business Email Compromise (BEC), que se espera que cuesten US$ 3.220 millones este año, y el phishing. Pero no todas las normativas de ciberseguridad o privacidad de datos lo exigen directamente. He aquí un desglose de las normativas que exigen la implementación DMARC y las que no:
Mandatos que exigen DMARC
Muchos gobiernos y organismos reguladores de todo el mundo ya han tomado medidas DMARC obligatorio para industrias específicas:
A nivel global
- Requisitos de envío masivo de Google y Yahoo : las organizaciones que envían más de 5000 correos electrónicos al día deben implementar DMARC .
- Mandato de remitente de alto volumen de Microsoft : las empresas que envían más de 5000 correos electrónicos diariamente a dominios de Microsoft deben tener SPF , DKIM , y DMARC .
Norteamérica
- Directiva Operativa Vinculante (DBO) 18-01: Requiere que las agencias federales de EE.UU. implementen DMARC con una política p=reject .
- Manual de Gestión de Información Estatal de California (SIMM) – 5315A : Mandatos DMARC para agencias estatales de California.
- Programa Federal de Gestión de Riesgos y Autorización (FedRAMP) DMARC : Requiere que los proveedores de servicios en la nube que trabajan con el gobierno federal de EE. UU. apliquen p=reject .
- Política de correo electrónico del Gobierno canadiense: Las agencias federales canadienses deben tener una política DMARC de p=quarantine o p=reject.
Europa
- Dinamarca, Países Bajos y Reino Unido: Todos tienen mandatos gubernamentales específicos que exigen laimplementación DMARC para la seguridad del correo electrónico del sector público.
Otras regiones
- Nueva Zelanda : Mandatos a DMARC política de p=reject para agencias gubernamentales.
- Controles esenciales de ciberseguridad (ECC) de Arabia Saudita : requiere una autenticación de correo electrónico sólida, que incluye DMARC .
- Mandato del sector financiero de Ruanda : Las instituciones financieras deben implementar SPF , DKIM , y DMARC .
¿Qué ocurre con otras leyes de protección de la privacidad?
Una cosa que hemos notado es que muchos asumen que las regulaciones de protección de datos bien conocidas, como el Reglamento General de Protección de Datos (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA), exigen DMARC Esto simplemente no es cierto. Estas leyes se centran en la protección de datos personales, notificaciones de infracciones y derechos de los consumidores, pero no exigen que las empresas... implementar DMARC .
Otras regulaciones que se asocian erróneamente con DMARC incluir:
- Regla de privacidad de la información financiera del consumidor de la Ley Gramm-Leach-Bliley (GLBA) : requiere que las instituciones financieras aseguren los datos de los clientes, pero no los obliga DMARC .
- Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA): Protege los datos de los pacientes, pero DMARC no es un requisito de cumplimiento.
- Certificación del Modelo de Madurez de Ciberseguridad (CMMC): Requiere que los contratistas del Departamento de Defensa (DoD) salvaguarden la información sensible, pero DMARC no es obligatorio.
- Organización Internacional de Normalización (ISO)/Comisión Electrotécnica Internacional (CEI) 27001: Un marco de ciberseguridad ampliamente reconocido, pero no especifica DMARC como requisito.
- Norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS) v4.0: Obliga a utilizar mecanismos automatizados para detectar y proteger contra phishing, pero no exige DMARC.
Para ser claros, mientras DMARC ayuda a las organizaciones a alinearse con los objetivos de estas regulaciones, al reducir el riesgo de éxito phishing ataques que podrían provocar violaciones de datos; no existe un requisito directo para implementar él.
Por qué DMARC es importante con o sin regulaciones
Aunque no es obligatorio en todos los marcos normativos, la implementación de DMARC puede reforzar significativamente la seguridad del correo electrónico de tu empresa. He aquí por qué DMARC es importante, incluso sin requisitos de cumplimiento:
- Mejora la integridad y la confianza: DMARC Con Sender Policy Framework ( SPF ) y DomainKeys Identified Mail ( DKIM ) , se ayuda a autenticar la integridad del correo electrónico y la identidad del remitente. Esto impide que los ciberdelincuentes suplanten la identidad fácilmente. tu dominio de la empresa, generando confianza con los clientes y socios comerciales.
- Mejora la capacidad de entrega: al alinearse con SPF y DKIM , DMARC Reduce la probabilidad de que correos legítimos terminen en la carpeta de spam. Esto puede mejorar la entregabilidad y aumentar la probabilidad de que las comunicaciones importantes lleguen a los destinatarios previstos.
- Proporciona más visibilidad: DMARC permite a las organizaciones recibir reportes sobre los correos electrónicos enviados desde su dominio, incluidos los que no superan las comprobaciones DMARC. Esta visibilidad permite a las empresas supervisar y controlar el uso de su dominio de correo electrónico, detectando rápidamente el uso no autorizado y las amenazas potenciales.
- Protege la reputación de la marca: Al reducir el fraude por correo electrónico, las empresas pueden proteger la reputación de su marca del impacto negativo de los ataques basados en el correo electrónico como la ingeniería social, una amenaza común utilizada en el 98 % de los ciberataques en 2024.
Con DMARC , las empresas mejoran sus medidas de seguridad y su eficiencia operativa manteniendo la confianza de sus grupos de interés.
Transparencia en DMARC guía
En Sendmarc, creemos que hay que eliminar el ruido y proporcionar información precisa y práctica sobre la adopción de DMARC. Nos centramos en lo que realmente importa:
- Normativas que exigen DMARC implementación
- Mejores prácticas y tendencias que muestran dónde DMARC Los mandatos se dirigen
- Orientación clara sobre cómo las organizaciones pueden anticiparse a los cambios normativos
Si tu organización está considerando DMARC, la pregunta no es si lo necesitarás, sino cuándo. Y con el aumento del phishing , que contribuyó a 932.923 ciberataques solo en el tercer trimestre de 2024, cuanto antes se instale la protección, mejor.
¿Te interesa comenzar? Ponte en contacto con nosotros y te guiaremos a través de todo el proceso.
