Domain-based Message Authentication, reporte, and Conformance (DMARC) es un importante protocolo creado para reducir los riesgos asociados a los ataques de suplantación de identidad y phishing por correo electrónico. Los organismos reguladores del correo electrónico de todo el mundo exigen o recomiendan cada vez másimplementación DMARC con Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) para mejorar la seguridad del correo electrónico.
DMARC está pasando de ser una medida de seguridad opcional a un requisito fundamental. Aunque todavía no es obligatorio en todo el mundo, muchos lo consideran cada vez más esencial. La implementación de DMARC no solo ayuda a las organizaciones a cumplir las normas del sector, sino que también refuerza las defensas frente a las amenazas del correo electrónico.
Las tablas siguientes ofrecen una visión detallada de las normativas internacionales de seguridad del correo electrónico y los mandatos DMARC. Estas reglas y recomendaciones proceden de diversos grupos, como autoridades gubernamentales, reguladores del sector y organizaciones de cumplimiento específicas del sector.
Gobiernos de todo el mundo están incorporando cada vez más regulaciones sobre DMARC para mejorar la seguridad del correo electrónico tanto en el sector público como en el privado. Su objetivo es proteger las infraestructuras críticas, asegurar las comunicaciones y reducir la ciberdelincuencia.
Regulación
Región
Qué significa
Los correos electrónicos gubernamentales deben implementar SPF, DKIM y una política DMARC de p=quarantine o p=reject.
DBO
Directiva Operativa Vinculante 18-01
Las agencias federales deben aplicar STARTTLS, SPF, DKIM y DMARC con una política p=reject .
California SIMM
Manual de gestión de la información del Estado de California - 5315A
Sí
MS-ISAC
Centro Multiestatal de Análisis e Intercambio de Información
Estados Unidos
No
Sí
No
Sí
Sí
No
NZISM
Manual de seguridad de la información de Nueva Zelanda v3.8
Sí
Sí
No
Normativa: Política de correo electrónico del Gobierno canadiense
Región: Canadá
Qué significa: Los correos electrónicos gubernamentales deben implementar SPF, DKIM y una política DMARC de p=quarantine o p=reject.
Obligatorio para DMARC: Sí
Reglamento: DBO - Directiva Operativa Vinculante 18-01
Región: Estados Unidos
Qué significa: Las agencias federales deben aplicar STARTTLS, SPF, DKIM y DMARC con una política p=reject .
Obligatorio para DMARC: Sí
Normativa: California SIMM - Manual de gestión de la información del Estado de California - 5315A
Región: Estados Unidos (California)
Qué significa: Los organismos estatales deben implementar DMARC para la protección contra amenazas del correo electrónico.
Obligatorio para DMARC: Sí
Reglamento: MS-ISAC - Centro Multiestatal de Análisis e Intercambio de Información
Región: Estados Unidos
Qué significa: Configurar DMARC, SPF y DKIM para mejorar la ciberseguridad.
Obligatorio para DMARC: No
Reglamento: Mandato del Gobierno danés
Región: Dinamarca
Qué significa: Todas las agencias gubernamentales deben implementar una política DMARC de p=reject.
Obligatorio para DMARC: Sí
Normativa: Norma irlandesa de ciberseguridad del sector público
Región: Irlanda
Qué significa: Los organismos de servicio público deben hacer cumplir SPF, DKIM y DMARC.
Obligatorio para DMARC: No
Normativa: Mandato del Gobierno neerlandés
Región: Países Bajos
Qué significa: Los organismos públicos deben implementar STARTTLS, DANE, SPF, DKIM y DMARC.
Obligatorio para DMARC: Sí
Normativa: Política de correo electrónico seguro del Gobierno británico
Región: Reino Unido
Qué significa: Las administraciones públicas deben implementar TLS, DMARC, DKIM y SPF.
Obligatorio para DMARC: Sí
Normativa: Guía de seguridad del correo electrónico del Gobierno indio
Región: India
Qué significa: implementar SPF, DKIM y DMARC para mejorar la seguridad del correo electrónico.
Obligatorio para DMARC: No
Reglamento: NZISM - Manual de Seguridad de la Información de Nueva Zelanda v3.8
Región: Nueva Zelanda
Qué significa: Las agencias gubernamentales deben utilizar DMARC con una política de p=reject, SPF y DKIM.
Obligatorio para DMARC: Sí
Reglamento: Mandato del sector financiero de Ruanda
Región: Ruanda
Qué significa: Las instituciones financieras deben implementar SPF, DKIM y DMARC.
Obligatorio para DMARC: Sí
Normativa: Norma de seguridad del correo electrónico del sector público de Ruanda
Región: Ruanda
Qué significa: Las instituciones públicas deben implementar DMARC para bloquear la suplantación de identidad en el correo electrónico.
Obligatorio para DMARC: No
Varios organismos reguladores y de cumplimiento de la normativa han introducido requisitos de seguridad del correo electrónico para proteger la información sensible y garantizar la continuidad de la actividad empresarial.
Regulación
Región
Qué significa
CCPA
Ley de Privacidad del Consumidor de California
Estados Unidos (California)
No
CIS
Centro para la Seguridad en Internet controles críticos de seguridad
No
FedRAMP
Programa Federal de Gestión de Riesgos y Autorizaciones DMARC
Sí
CMMC
Certificación del Modelo de Madurez de Ciberseguridad
Estados Unidos
No
NIST CSF
Instituto Nacional de Normas y Tecnología Marco de Ciberseguridad
No
GDPR
Reglamento General de Protección de Datos
Es una obligación para las empresas a proteger los datos personales. Al proteger los datos de correo electrónico de accesos no autorizados, DMARC contribuye al cumplimiento del GDPR.
No
No
No
Las organizaciones deben implementar DMARC para dominios activos y aparcados.
No
Las organizaciones del sector público deberían implementar medidas de ciberseguridad como DMARC.
No
Sí
Configuración de SPF, DKIM y DMARC con una política p=reject para reducir las amenazas del correo electrónico.
No
ECC
Controles esenciales de ciberseguridad de Arabia Saudí
Sí
POPIA
Ley de Protección de Datos Personales
No
Las organizaciones que envían más de 5.000 correos electrónicos al día deben autenticar los dominios con TLS, DKIM, SPF y una política DMARC de p=none como mínimo.
Sí
Internacional
Sí
ISO/IEC
Organización Internacional de Normalización / Comisión Electrotécnica Internacional 27001
Internacional
Las organizaciones deben gestionar eficazmente los riesgos de seguridad de la información para cumplir la norma ISO/IEC 27001. La implantación de DMARC puede ayudar a las empresas a cumplirla.
No
Normativa: CCPA - Ley de Privacidad del Consumidor de California
Región: Estados Unidos (California)
Qué significa: Refuerza la protección de los datos de los clientes; DMARC ayuda a proteger la información sensible.
Obligatorio para DMARC: No
Normativa: CIS - Centro para la Seguridad en Internet controles críticos de seguridad
Región: Estados Unidos
Qué significa: implementar DMARC para reducir el éxito de los ataques de suplantación de identidad por correo electrónico.
Obligatorio para DMARC: No
Normativa: FedRAMP - Programa Federal de Gestión de Riesgos y Autorizaciones DMARC
Región: Estados Unidos
Qué significa: Los proveedores de servicios en la nube deben aplicar una políticaDMARC p=reject .
Obligatorio para DMARC: Sí
Explicación de la normativa: CMMC - Certificación del Modelo de Madurez de Ciberseguridad
Región: Estados Unidos
Qué significa: Las empresas que trabajan con el Departamento de Defensa (DoD) deben proteger la información sensible. DMARC mejora la seguridad, reduciendo el riesgo de fugas de información.
Obligatorio para DMARC: No
Normativa: NIST CSF - National Institute of Standards and Technology Cybersecurity Framework (Marco de Ciberseguridad del Instituto Nacional de Normalización y Tecnología)
Región: Estados Unidos
Qué significa: Las organizaciones deberían reducir los riesgos de ciberseguridad implantando soluciones como DMARC.
Obligatorio para DMARC: No
Reglamento: GDPR - Reglamento General de Protección de Datos
Región: Unión Europea
Qué significa: Obliga a las empresas a proteger los datos personales. Al proteger los datos de correo electrónico de accesos no autorizados, DMARC contribuye al cumplimiento del GDPR.
Obligatorio para DMARC: No
Normativa: Orientaciones sobre la seguridad del correo electrónico en Francia
Región: Francia
Qué significa: Los administradores de correo electrónico deben implementar SPF, DKIM y DMARC.
Obligatorio para DMARC: No
Normativa: Orientaciones sobre seguridad de los PSI en Alemania
Región: Alemania
Qué significa: Los ISP deben utilizar DMARC, SPF y DKIM para combatir el spam y el phishing.
Obligatorio para DMARC: No
Reglamento: Recomendaciones de Portugal en materia de ciberseguridad
Región: Portugal
Qué significa: Las organizaciones deben implementar DMARC para dominios activos y aparcados.
Obligatorio para DMARC: No
Normativa: Plan de acción de ciberresiliencia de Escocia
Región: Escocia
Qué significa: Las organizaciones del sector público deben implementar medidas de ciberseguridad como DMARC.
Obligatorio para DMARC: No
Normativa: Seguridad del correo electrónico en el sector público británico
Región: Reino Unido
Qué significa: Los correos electrónicos del sector público deben utilizar TLS y DMARC para cifrar y autenticar el correo electrónico.
Obligatorio para DMARC: Sí
Normativa: Directrices australianas sobre ciberseguridad
Región: Australia
Qué significa: Configure SPF, DKIM y DMARC con una política p=reject para reducir las amenazas del correo electrónico.
Obligatorio para DMARC: No
Reglamento: ECC - Controles esenciales de ciberseguridad de Arabia Saudí
Región: Arabia Saudí
Qué significa: Las organizaciones deben implementar una sólida protección del correo electrónico, incluidos SPF, DKIM y DMARC.
Obligatorio para DMARC: Sí
Reglamento: POPIA - Ley de protección de datos personales
Región: Sudáfrica
Qué significa: Tomar medidas razonables para impedir el acceso no autorizado a información personal. DMARC puede mejorar la protección de datos sensibles.
Obligatorio para DMARC: No
Reglamento: Requisitos de envío masivo de Google y Yahoo
Región: Internacional
Qué significa: Las organizaciones que envían más de 5 000 correos electrónicos al día deben autenticar los dominios con TLS, DKIM, SPF y una política DMARC de p=none como mínimo.
Obligatorio para DMARC: Sí
Reglamento: Requisitos de Microsoft para los remitentes de grandes volúmenes
Región: Internacional
Qué significa: Las empresas que envíen más de 5 000 correos electrónicos al día a dominios de Microsoft deben implementar SPF, DKIM y una política DMARC de al menos p=none.
Obligatorio para DMARC: Sí
Normativa: ISO/IEC - Organización Internacional de Normalización/Comisión Electrotécnica Internacional 27001
Región: Internacional
Qué significa: Las organizaciones deben gestionar eficazmente los riesgos de seguridad de la información para cumplir la norma ISO/IEC 27001. La implantación de DMARC puede ayudar a las empresas a cumplirla.
Obligatorio para DMARC: No
Regulación
Región
Qué significa
PCI DSS
Norma de seguridad de datos del sector de las tarjetas de pago v4.0
No
GLBA
Norma de confidencialidad de la información financiera de los consumidores de la Ley Gramm-Leach-Bliley
No
Normativa: PCI DSS - Estándar de seguridad de datos del sector de tarjetas de pago v4.0
Región: Internacional
Qué significa: Requiere mecanismos automatizados para detectar y proteger contra phishing. DMARC, SPF y DKIM son las mejores prácticas recomendadas.
Obligatorio para DMARC: No
Normativa: GLBA - Privacy of Consumer Financial Information Rule de la Ley Gramm-Leach-Bliley
Región: Estados Unidos
Qué significa: Obliga a las entidades financieras a proteger los datos de los clientes; DMARC puede ayudar a mejorar las defensas.
Obligatorio para DMARC: No
Regulación
Región
Qué significa
Sí
HIPAA
Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (Health Insurance Portability and Accountability Act)
Estados Unidos
Garantiza la privacidad y seguridad de los datos de los pacientes; DMARC puede aumentar la protección reduciendo los intentos de phishing con éxito.
No
Normativa: Política de seguridad del correo electrónico del NHS británico
Región: Reino Unido
Qué significa: Las organizaciones acreditadas por el NHS deben implementar un servicio de correo electrónico compatible con DMARC.
Obligatorio para DMARC: Sí
Normativa: HIPAA - Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios
Región: Estados Unidos
Qué significa: Garantiza la privacidad y seguridad de los datos de los pacientes; DMARC puede aumentar la protección reduciendo los intentos de phishing con éxito.
Obligatorio para DMARC: No
DMARC es vital para autenticar las comunicaciones por correo electrónico. Al alinear SPF y DKIM con las políticas DMARC , las organizaciones pueden reducir el riesgo de éxito de los ataques phishing y spoofing. Los reguladores del correo electrónico que exigen o recomiendan DMARC destacan su papel crucial en la protección contra las ciberamenazas.
La adopción de DMARC, SPF y DKIM difiere en todo el mundo, pero el mensaje es claro: proteger la comunicación por correo electrónico es una necesidad. A medida que evolucionen las ciberamenazas, también lo harán las normas y los mandatos. Las organizaciones deben adoptar estas medidas para salvaguardar su reputación, cumplir los requisitos y proteger los datos de los clientes.
Hemos publicado un blog sobre todo lo que los proveedores de servicios gestionados (MSP) y los proveedores de servicios de seguridad gestionados (MSSP) deben saber sobre los mandatos globales DMARC .
Recursos
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Cras et lacus suscipit mi tristique dignissim. In sit amet interdum dui, ac ullamcorper diam. Nunc a est eu orci egestas cursus at in ante. Vestibulum ligula urna, ultrices vitae velit quis.
