Defaults.Exposed › Informes
El índice de suplantabilidad del correo: ¿cuántos dominios puede falsificar cualquiera? (2026)
Publicado 2026-07-03
Cifras a 2026-06-29 · metodología v7. Censo agregado de 261 millones de dominios calificados —internet tal como lo medimos— unido por dominio. Todas las cifras son agregadas; nunca la calificación de una empresa individual. Consulta cómo calificamos.
¿Cuántos dominios pueden suplantarse?
9 de cada 10. El 89,4% de internet —233.445.245 dominios— no publica ninguna política que indique a los receptores que rechacen o marquen como spam el correo que no supera la autenticación. Eso es lo que contamos como suplantable, y es la visión del censo desde el ojo del atacante: no “quién empezó a proteger su correo”, sino “quién todavía puede ser suplantado”. La mayoría de los dominios han empezado: publican SPF. Muchos menos han terminado, y la brecha entre esos dos verbos es el índice.
¿Qué significa “suplantable” aquí?
Una definición precisa, porque esta cifra se cita mucho: un dominio es suplantable cuando no publica ninguna política DMARC en p=quarantine o p=reject —la única instrucción estandarizada que hace que todos los grandes receptores rechacen o marquen como spam un mensaje que falla—. Algunos receptores sí actúan por sí solos ante un SPF estricto -all, pero ese comportamiento es discrecional e inconsistente en las bandejas de entrada de todo el mundo; la aplicación de DMARC es la instrucción que todos respetan. Así que un dominio suplantable no está necesariamente indefenso en todas partes: está indefenso por política, dependiente de la buena voluntad de cada receptor.
Esa es también la razón por la que publicar solo SPF no saca a un dominio de este índice: SPF identifica tu correo legítimo, pero sin aplicación nada indica a los receptores que actúen ante las falsificaciones.
¿Qué terminaciones de dominio son más suplantables?
La proporción de dominios calificados que carecen de DMARC con aplicación, por terminación:
| TLD | Proporción suplantable |
|---|---|
| .xyz | 94,9% |
| .de | 78,6% |
| .com | 90,5% |
| .org | 90,0% |
| .uk | 86,6% |
| .nl | 70,6% |
Ningún barrio de internet está a salvo: la diferencia entre terminaciones son grados de exposición, no categorías de ella. Los extremos a nivel de país son otra historia: consulta los países más suplantables para ver la clasificación por país que este índice resume.
El recorte de los servidores de correo: bandejas activas, sin protección
El fragmento más afilado del índice: el 42,7% de todos los dominios calificados tiene un servidor de correo activo pero no publica ninguna autenticación en absoluto —111.369.509 dominios que a la vez reciben correo real y ofrecen a los falsificadores un nombre sin custodia—. No son cáscaras aparcadas; son dominios de correo en funcionamiento cuyos dueños nunca instalaron los cerrojos.
Por qué esta es la cifra que importa
Las estadísticas de adopción halagan a internet; la suplantabilidad mide lo que un atacante todavía puede hacer. La solución es gratuita en cada paso —SPF, DKIM y luego una política DMARC en p=reject— y cada dominio que termina pasa de los 9 de cada 10 a los pocos protegidos. Los dos artículos son el mismo conjunto de datos leído desde extremos opuestos: este cuenta las puertas abiertas; aquel cuenta las cerradas.
Preguntas frecuentes
¿Qué hace que un dominio sea suplantable?
La ausencia de una política DMARC con aplicación (p=quarantine o p=reject). Sin ella, ninguna instrucción estandarizada indica a los receptores que rechacen o marquen como spam el correo que falla las comprobaciones SPF/DKIM. El 89,4% de los dominios —9 de cada 10— está en este estado a 2026-06-29.
Publico SPF, ¿todavía puede suplantarse mi dominio? Si nada lo hace cumplir, sí. SPF demuestra qué correo es legítimo; no indica a los receptores que rechacen el resto. El mecanismo y la solución se explican en SPF sin DMARC.
¿DMARC p=quarantine hace que mi dominio sea seguro?
Te saca de este índice: el correo que falla se marca como spam en lugar de entregarse en la bandeja de entrada. p=reject va más allá y lo rechaza de plano —el ajuste más fuerte y el destino recomendado.
¿Cómo hago que mi dominio no pueda falsificarse?
Instala los tres cerrojos —SPF, DKIM y DMARC en p=reject—, cada uno un cambio gratuito de DNS. Arregla tu política DMARC es el paso de aplicación que te saca del índice.
Comprueba si el tuyo es uno de los 9
Tu dominio está en este índice o fuera de él, y la respuesta es gratuita de obtener y gratuita de cambiar.
Comprueba tu dominio → · Arregla DMARC → · Arregla SPF → · Los países más suplantables → · Los pocos protegidos → · Solo datos agregados. Datos almacenados y procesados en la UE.