Defaults.Exposed

Defaults.Exposed › Informes

Publicar SPF no basta: la falsa sensación de seguridad del correo (2026)

Publicado 2026-06-29

Cifras a fecha de 2026-06-29 · metodología v7. Datos censales agregados que combinan comprobaciones por dominio en 261 millones de dominios calificados. «En aplicación» = una política DMARC de quarantine o reject. Consulta cómo calificamos.

El lugar más peligroso en seguridad del correo es sentirse protegido. El 32,4% de los dominios publican SPF pero no tienen DMARC en absoluto — y el 45,7% tienen SPF que no está respaldado por aplicación. Estos propietarios hicieron algo, vieron «SPF: configurado» y se detuvieron. Pero SPF por sí solo no impide que alguien falsifique tu dirección «De» visible — solo lo hace un DMARC en aplicación. A fecha de 2026-06-29, solo el 3,87% de los dominios están plenamente protegidos en el correo.

La brecha entre «configurado» y «protegido»

SPF comprueba qué servidores pueden enviar en tu nombre. No regula la dirección «De» que una persona ve realmente, ni indica a los receptores qué hacer ante un fallo. Esa es la función de DMARC. Así que SPF sin una política DMARC en aplicación es una cerradura sin puerta detrás:

EstadoCuota de dominios¿Realmente protegido?
SPF publicado, sin ningún registro DMARC32,4%No
SPF publicado, DMARC sin aplicación45,7%No
Plenamente protegido en el correo (SPF + DMARC en aplicación)3,87%

Lee de nuevo la fila central: el 45,7% de todos los dominios tienen SPF pero sin aplicación — casi la mayoría de internet situada en la zona de la falsa seguridad. A efectos de un atacante, son falsificables — y el 89,4% de los dominios en general lo son.

La peor versión: entra correo, sin guardia en la puerta

Se vuelve más grave para los dominios que realmente reciben correo. El 42,7% de los dominios aceptan correo (tienen registros MX) pero no tienen ninguna autenticación de correo funcional — sin aplicación de SPF, sin DMARC. Son dominios activos y en uso cuyos propietarios envían y reciben cada día, totalmente suplantables. Precisamente esa actividad es lo que los hace objetivos atractivos para el fraude de facturas y las estafas a proveedores.

Por qué «tenemos SPF» se convirtió en la trampa

SPF es más antiguo, más simple y lo primero que mencionan la mayoría de las guías de configuración — así que es la casilla que se marca. DMARC llegó después, suena más avanzado y requiere una progresión deliberada hacia la aplicación. El resultado es una población enorme que adoptó el paso uno y nunca dio el paso dos, y luego siguió creyendo que el trabajo estaba hecho. El censo hace visible por primera vez la escala de ese error: 32,4% con SPF y sin ningún DMARC.

Cómo protegerse de verdad

  1. Mantén tu SPF, pero no confíes solo en él. (Arreglar SPF.)
  2. Añade DKIM para que tu correo esté firmado. (Arreglar DKIM.)
  3. Publica DMARC y llévalo a la aplicación (p=nonequarantinereject). Este es el paso que convierte «configurado» en «protegido». (Arreglar DMARC.)

Preguntas frecuentes

¿Es suficiente SPF para detener la suplantación de correo? No. SPF no protege la dirección «De» visible ni indica a los receptores que rechacen falsificaciones — solo lo hace una política DMARC en aplicación. El 45,7% de los dominios tienen SPF sin esa aplicación.

Tengo un registro SPF — ¿estoy protegido? No por sí solo. Estás protegido únicamente cuando SPF (e idealmente DKIM) está respaldado por DMARC configurado en quarantine o reject. Solo el 3,87% de los dominios lo logran.

¿Qué cuota de dominios aún puede ser suplantada? El 89,4% — porque carecen de DMARC en aplicación, publiquen o no SPF.

¿Por qué tener correo (MX) sin autenticación es especialmente arriesgado? El 42,7% de los dominios envían y reciben correo activamente pero no tienen autenticación funcional — dominios activos y de confianza que cualquiera puede falsificar, justo lo que buscan los estafadores.

Comprueba si estás realmente protegido

«Tenemos SPF» no es lo mismo que estar protegido. Comprueba tu dominio gratis y en privado — ve si tu correo todavía puede falsificarse.

Comprueba tu dominio → · Arreglar DMARC → · La puntuación de exposición del dominio → · p=none no es protección → · Solo datos agregados. Datos almacenados y procesados en la UE.