Defaults.Exposed › Informes
Las 6 etapas de la madurez de DMARC
Publicado 2026-07-03 · actualizado 2026-07-03
Cifras a fecha de 2026-06-29 · metodología v7. Este es un modelo de referencia respaldado por un censo recurrente; cada edición vuelve a medir la misma población para poder seguir la evolución de los números a lo largo del tiempo. Todas las cifras son agregadas: nunca publicamos la calificación de una empresa individual.
Publicar DMARC no es lo mismo que estar protegido
En 261 millones de dominios medidos, el 24,89% publica un registro DMARC, pero solo el 10,59% lo aplica. Dicho de otro modo: de los aproximadamente 65 millones de dominios que iniciaron el camino de DMARC, el 57,5% nunca llegó a la parte que bloquea algo. Publicaron un registro, apuntaron los informes a algún sitio y se quedaron estancados. Estudios independientes más pequeños encuentran la misma forma: un informe del sector de 2026 lo situó en torno al 9 % de aplicación entre los aproximadamente 938 000 dominios que examinó.
La adopción ya no es el problema. La protección sí. Y los dominios se estancan por una razón estructural: los mapas que todo el mundo utiliza se quedan cortos. Terminan demasiado pronto, y ninguno de ellos le da al paso más difícil un nombre propio.
Dónde se quedan cortos los mapas existentes
Los modelos que guían al sector eran acertados para su época, y merecen una lectura justa:
- El modelo de despliegue en cinco fases popularizado por dmarcian (cuyo fundador coautoró el propio DMARC) recorre desplegar → monitorizar → endurecer la política, y trata alcanzar
p=rejectcomo el destino. - La progresión del RFC —
p=none → quarantine → reject— son tres niveles de aplicación, no un modelo de madurez. No dice nada sobre los prerrequisitos ni sobre lo que viene después. - «Gatear, caminar, correr» es un modelo popular: acertado en la dirección, pero vacío en la estructura.
Los tres comparten dos límites. Primero, se detienen en p=reject, como si la aplicación fuera la línea de meta. No lo es: el propio estándar ha seguido avanzando (DMARCbis —RFC 9989, 9990 y 9991— se publicó en mayo de 2026, reemplazando al RFC 7489 original), y la aplicación no hace nada por la seguridad del transporte ni por la confianza en la marca. Segundo —y este es el que realmente deja varados a los dominios—, ninguno de ellos convierte «cada remitente contabilizado» en una etapa con nombre propio. Para ser justos, las guías de despliegue sí mencionan el trabajo: el modelo de dmarcian incluye la identificación de fuentes como una tarea dentro de su fase de monitorización. Pero una tarea enterrada dentro de una fase es exactamente como se acaba tratando: como parte de la «monitorización» en lugar de como el logro independiente que es. Ver llegar los informes se siente como un avance. Todavía no lo es. La razón más frecuente por la que los dominios permanecen en p=none durante años es que pueden ver su correo pero no lo han contabilizado, así que no se atreven a aplicar la política por miedo a romper algo real.
Un modelo útil necesita darle a ese paso su propio nombre y sus propios criterios de salida. Este lo hace. Lo llamamos el Modelo de Madurez de Adopción de DMARC — DAMM (por sus siglas en inglés): seis etapas, un movimiento en cada una, y un nombre que puedes citar.
El modelo
Etapa 1 — Desprotegido. Sin registro DMARC, o con SPF y DKIM incompletos por debajo. Cualquiera puede enviar correo en nombre de tu dominio, y nada en ninguna parte lo está comprobando. El movimiento: configura SPF y DKIM para tu correo principal, y confirma que autentican y se alinean. DMARC se construye sobre ambos; no puedes saltarte este cimiento.
Etapa 2 — Autenticado. SPF y DKIM son correctos y se alinean para tu flujo de correo principal. Tu correo legítimo demuestra su origen, pero nada le dice a las bandejas de entrada del mundo qué hacer con el correo que no lo hace. El movimiento: publica un registro DMARC en p=none con una dirección de informes rua=.
Etapa 3 — Observando. DMARC está publicado, los informes agregados están fluyendo y, por primera vez, puedes ver quién envía en nombre de tu dominio. Nada se bloquea. La mayoría de las herramientas llaman a esta etapa «visibilidad»; nosotros deliberadamente no, porque ver los informes y comprenderlos son logros distintos. El movimiento: identifica todas las fuentes legítimas que envían en nombre de tu dominio, y consigue que cada una se alinee.
Etapa 4 — Visibilidad. Cada remitente legítimo está identificado y alineado: la plataforma de boletines, el sistema de facturación, el CRM, aquello que marketing contrató la primavera pasada. Conoces tu correo. Nada legítimo se romperá si aplicas la política. Esta es la etapa que los mapas antiguos se saltan, y el muro que la mayoría de los dominios nunca escala. El movimiento: eleva la política — p=none → p=quarantine (el modo de prueba t=y de DMARCbis ayuda aquí) → p=reject.
Etapa 5 — Aplicado. p=quarantine o p=reject está activo, con los subdominios cubiertos por una política sp= explícita. El correo que falla la autenticación ahora se pone realmente en cuarentena o se rechaza en los receptores participantes —que incluyen a todos los principales proveedores de buzones—, de modo que la suplantación directa de tu dominio exacto deja de aterrizar allí donde se comprueba DMARC. El movimiento: añade la capa de refuerzo — la cobertura np= y de recorrido de árbol (tree-walk) de DMARCbis, MTA-STS y TLS-RPT para el transporte, y BIMI si la visualización de marca te importa.
Etapa 6 — Reforzado y sostenido. Aplicación más la pila moderna: cobertura de subdominios inexistentes (np=) de DMARCbis, MTA-STS y TLS-RPT protegiendo el correo en tránsito, BIMI donde justifique su coste y, fundamentalmente, monitorización continua ante desviaciones y nuevos remitentes. Esto no es una insignia; es una disciplina. Aparecen nuevos remitentes, los proveedores cambian de IP, las configuraciones se degradan. El movimiento: mantente aquí.
El carril sin correo. Medido sobre el inventario completo de dominios —incluidos los dominios muertos—, el 51,5% de los dominios no ejecuta ningún servicio de correo, y para ellos el camino se reduce a un solo paso. Un dominio que nunca envía debería publicar SPF
-ally DMARCp=rejectde inmediato: no hay correo legítimo que proteger, así que no hay nada que observar ni muro que escalar. Los dominios de marca aparcados y latentes pasan directamente a Aplicado con un único cambio de DNS, y al hacerlo cierran uno de los vectores de suplantación más comunes que existen.
El muro: etapa 3 → 4
Todas las demás transiciones de este modelo son un cambio de DNS. Esta es trabajo de investigación, y es donde mueren los meses.
Pasar de Observando a Visibilidad significa atribuir cada fuente de envío de tus informes a un sistema real: qué ESP, qué CRM, el relé de correo de qué oficina regional, qué herramienta SaaS conectó alguien en 2023 y olvidó. Significa encontrar los remitentes de shadow IT que nadie documentó. Significa arreglar la alineación ESP por ESP, porque cada plataforma tiene su propia forma de autenticar en tu nombre, y algunas de ellas están mal por defecto.
Saltarse el muro es cómo DMARC se ganó su temible reputación. Aplica la política desde Observando —sin Visibilidad— y bloquearás algo real: una tanda de facturas, un flujo de restablecimiento de contraseña, el boletín del director general. Después llega la reversión presa del pánico a p=none, la autopsia interna y la lección que todos aprenden mal: «probamos DMARC y rompió el correo». La mayoría de las historias de terror de DMARC son exactamente esto: aplicación intentada una etapa demasiado pronto. El muro no es una razón para detenerse en la etapa 3. Es la razón por la que existe la etapa 4.
Esta es también la etapa en la que los responsables buscan ayuda con más frecuencia: un proveedor de TI o un servicio de monitorización de DMARC pueden hacer el trabajo de identificación de remitentes; las etapas siguen siendo las mismas en cualquier caso.
La parte que todos olvidan: etapa 5 → 6
Alcanzar p=reject detiene la suplantación directa de tu dominio en la línea De:, en los receptores que la comprueban. Eso es necesario, y no es suficiente. También merece la pena nombrar lo que la aplicación nunca cubrió: los dominios parecidos (tuempr3sa.com) y la suplantación del nombre para mostrar quedan totalmente fuera del alcance de DMARC, así que la aplicación cierra la puerta del dominio exacto y deja las contiguas a la vigilancia y a otros controles.
La aplicación no hace nada por el transporte: sin MTA-STS y TLS-RPT, el correo hacia tu dominio todavía puede degradarse o interceptarse en tránsito. No hace nada por el reconocimiento de marca: BIMI —tu logotipo, mostrado en la bandeja de entrada— es una señal de confianza, no un control de seguridad, y es honesto tratarlo como tal (además requiere un certificado de pago, motivo por el que va el último, no el primero). Y p=reject a secas es anterior a DMARCbis: la etiqueta np= y el recorrido de árbol de los nuevos RFC cierran la brecha del subdominio inexistente que dejan abierta los despliegues más antiguos.
Un dominio en p=reject sin nada de lo anterior está protegido contra el ataque más común y sin preparación para el resto. Esa es una distinción real, y merece su propia etapa.
Tu etapa es medible
Este modelo no es solo un diagrama: la etapa de un dominio es computable, y eso es lo que lo separa de un póster en la pared.
Las etapas 3 a 6 pueden derivarse de los propios datos de informes DMARC de un dominio más sus registros publicados: qué política está activa, si fluyen los informes y si cada remitente observado se alinea. Las etapas 1 y 2 se evalúan con una comprobación de DNS en vivo, ya que todavía no existen informes. Un límite honesto en cada dirección: la etapa 4 se confirma con evidencia a lo largo del tiempo —«cada remitente observado se alinea durante suficientes días de informes» es un indicador sólido, pero ningún informe puede revelar el remitente que aún no has conectado. Y la capa de refuerzo de la etapa 6 —MTA-STS, TLS-RPT, BIMI— es invisible en los informes DMARC; hace falta una comprobación de DNS para verla. Un dominio puede parecer «terminado» a partir de sus informes y aun así arrastrar una brecha oculta entre las etapas 5 y 6. Este es el modelo con el que se contrasta nuestro propio análisis de informes, con obstáculos y todo.
Un ejemplo resuelto
Una empresa mediana ejecuta Microsoft 365 tras una pasarela de filtrado de correo. SPF termina en -all, DKIM está configurado, DMARC está publicado en p=none y los informes fluyen hacia una herramienta de monitorización. En los mapas antiguos esto parece casi terminado. En este es la etapa 3 — Observando: la configuración difícil está completa, y el dominio se ha estancado justo en el muro: visible, no protegido. El movimiento de mayor valor es 3 → 4 → 5: confirmar que los (probablemente pocos) remitentes legítimos se alinean todos, y luego elevar la política por etapas. Para un dominio con esta forma, eso suele ser cuestión de semanas de atención, no de meses; el muro es más alto para quienes nunca lo mapean.
Encuentra tu etapa
La pregunta que hay que jubilar es «¿tenemos DMARC?»: el 24,89% de los dominios puede decir que sí mientras el 57,5% de ellos sigue siendo suplantable. La mejor pregunta es «¿en qué etapa estamos y cuál es el único movimiento hacia la siguiente?». Cada dominio de internet está hoy en exactamente una de estas seis etapas. Saber en cuál convierte una ansiedad en una lista de tareas.
Preguntas frecuentes
¿Qué es DAMM? El Modelo de Madurez de Adopción de DMARC — el modelo de seis etapas de esta página: Desprotegido, Autenticado, Observando, Visibilidad, Aplicado, Reforzado. La etapa de un dominio es medible a partir de su DNS y de sus datos de informes DMARC, y eso es lo que lo separa de un póster en la pared.
Entonces, ¿publicar p=none no vale para nada? No: es la etapa 3, y la etapa 3 es de carga: los informes son cómo encuentras a cada remitente antes de aplicar la política. Solo se convierte en un problema cuando se trata como un destino. Consulta por qué p=none no es protección.
¿Puedo saltar directamente a p=reject? Si tu dominio no envía correo, sí, hoy mismo, y deberías. Si sí envía correo, no: aplicar la política sin Visibilidad (etapa 4) es cómo se rompe el correo legítimo y se producen las reversiones. Las etapas son el camino seguro, no un ceremonial.
¿Necesito BIMI para estar «terminado»? No. BIMI es la capa de visualización de marca de la etapa 6 y el elemento más opcional del modelo; MTA-STS, TLS-RPT y la cobertura np= de DMARCbis son las partes que refuerzan un dominio de forma sustancial. Si el coste del certificado no se justifica para ti, sáltalo y mantén el resto de la etapa 6.
¿Dónde encajan SPF y DKIM? Debajo de todo: son las etapas 1 → 2, y SPF sin DMARC protege menos de lo que la mayoría de los responsables supone. Desde 2024, los principales receptores también han exigido autenticación directamente a los remitentes masivos.
Comprueba en qué punto está tu propio dominio
Estas etapas son patrones de población: tu dominio está en exactamente una de ellas, y el siguiente movimiento es conocible. Puedes comprobarlo de forma privada y gratuita, y ver cuáles de las 34 comprobaciones apruebas y cómo arreglar las que no.
Comprueba tu dominio → · Cómo calificamos internet → · El pilar de DMARC → · Solo datos agregados. Datos almacenados y procesados en la UE.