Imaginá recibir un email de pagos@tu-empresa.com con instrucciones
para transferir dinero a una cuenta nueva. El remitente parece legítimo.
El dominio es el tuyo. Pero vos no lo enviaste.
Esto no es ciencia ficción — es email spoofing, y es posible cuando un dominio no tiene DMARC configurado. Lo encontramos en la mayoría de las organizaciones que analizamos en el NOA. La corrección tarda menos de 10 minutos.
01 / El problema: tres registros DNS que la mayoría ignora
La autenticación de email descansa en tres registros DNS: SPF, DKIM y DMARC. Los tres trabajan juntos. Si uno falla o no existe, la cadena se rompe.
| Registro | Qué hace | Sin él |
|---|---|---|
| SPF | Define qué servidores pueden enviar email por tu dominio | Cualquier servidor puede enviar en tu nombre |
| DKIM | Firma criptográfica que verifica que el email no fue alterado | Los emails pueden ser modificados en tránsito |
| DMARC | Le dice a los servidores receptores qué hacer si SPF/DKIM fallan | Los emails falsos llegan igual aunque SPF falle |
DMARC es el más crítico de los tres porque es la política. Sin él, incluso si tenés SPF configurado, un atacante puede enviar un email que falle la verificación SPF y de todas formas llegue a destino porque no hay instrucción de qué hacer con ese fallo.
02 / Cómo se ve un ataque real
Sin DMARC, un atacante puede enviar esto desde cualquier servidor del mundo:
— Área de Pagos
El receptor ve el dominio legítimo. Sin DMARC, el servidor de correo no tiene instrucción de rechazarlo. El email llega. El daño está hecho.
El Business Email Compromise (BEC) — fraude via email corporativo — generó pérdidas globales superiores a USD 2.900 millones en 2023 según el FBI. La mayoría de los casos se basan en spoofing de dominio con DMARC ausente o configurado en modo permisivo.
03 / Cómo verificar tu dominio
Podés verificar el estado de tu dominio con un comando DNS simple o con herramientas online:
# Verificar SPF $ nslookup -type=TXT tu-dominio.com # Buscar una línea que empiece con "v=spf1" [+] "v=spf1 include:_spf.google.com ~all" ← SPF presente [✗] Sin resultado ← SPF ausente # Verificar DMARC $ nslookup -type=TXT _dmarc.tu-dominio.com [+] "v=DMARC1; p=reject; rua=mailto:..." ← DMARC presente y estricto [!] "v=DMARC1; p=none" ← DMARC presente pero inactivo [✗] Sin resultado ← DMARC ausente
Si preferís una herramienta online, MXToolbox (mxtoolbox.com/dmarc) te da el diagnóstico completo en segundos — solo ingresás tu dominio.
Los tres estados posibles de DMARC
| Política | Qué hace | Recomendado |
|---|---|---|
| p=none | Solo monitorea, no rechaza nada. Los emails falsos siguen llegando. | Solo para empezar |
| p=quarantine | Envía los emails sospechosos a spam. | Intermedio |
| p=reject | Rechaza completamente los emails que no pasan la verificación. | Objetivo final |
Lo que encontramos en el NOA con más frecuencia es DMARC ausente o p=none — que es equivalente a no tener nada porque no bloquea nada. Alicia Argentina y Melius Finanzas, por ejemplo, tenían exactamente este problema.
04 / Cómo implementarlo en 10 minutos
La implementación es un registro TXT en tu DNS. Lo hacés desde el panel de tu proveedor de dominio (Squarespace, GoDaddy, Namecheap, Cloudflare, etc.)
Paso 1 — Verificar o crear SPF
# Si usás Google Workspace: Nombre: @ (o tu dominio) Tipo: TXT Valor: v=spf1 include:_spf.google.com ~all # Si usás Microsoft 365: Valor: v=spf1 include:spf.protection.outlook.com ~all # Si usás otro proveedor de email, consultá su documentación. # El ~all al final significa "softfail" — más permisivo para empezar. # Cuando estés seguro, cambialo a -all (fail estricto).
Paso 2 — Agregar DMARC
Nombre: _dmarc Tipo: TXT Valor: v=DMARC1; p=none; rua=mailto:dmarc@tu-dominio.com # p=none para empezar — solo monitorea sin rechazar. # rua= es la dirección donde recibís los reportes de DMARC. # Después de 2 semanas sin problemas, cambiá a p=quarantine. # Después de otras 2 semanas, cambiá a p=reject.
Paso 3 — Verificar que funcionó
$ nslookup -type=TXT _dmarc.tu-dominio.com [+] "v=DMARC1; p=none; rua=mailto:dmarc@tu-dominio.com" [✓] DMARC configurado correctamente # Si no aparece nada, el registro todavía está propagando. # La propagación DNS puede tardar hasta 48hs, aunque # generalmente es visible en minutos.
Arrancá con p=none para monitorear sin romper nada. Revisá los reportes que llegan al email configurado en rua= durante 2 semanas. Si no hay falsos positivos, pasá a p=quarantine y después a p=reject. Este proceso tarda 4-6 semanas en total.
05 / Lo que encontramos en la región
Durante nuestros análisis de infraestructura en organizaciones del NOA,
el patrón fue consistente: DMARC ausente o configurado en p=none
en la gran mayoría de los dominios analizados.
En algunos casos el SPF estaba configurado con ~all (softfail)
en lugar de -all (fail estricto) — lo que significa que
los emails que fallan la verificación son marcados como sospechosos
pero no rechazados. Sin DMARC encima, esa marca no genera ninguna acción.
$ nslookup -type=TXT _dmarc.empresa-regional.com.ar [✗] No se encontró registro DMARC [!] SPF presente: v=spf1 include:... ~all (softfail) [✗] Sin política de rechazo activa [✗] Email spoofing desde este dominio: posible
Notificamos a cada organización con los hallazgos y los pasos concretos para resolverlo. Este artículo es la versión pública de esa misma información.
06 / Conclusión
DMARC no es una medida de seguridad avanzada. Es configuración básica de DNS que lleva menos de 10 minutos implementar y protege a tu empresa y a tus clientes de que alguien se haga pasar por vos via email.
Si tu dominio no tiene DMARC — o tiene p=none —
cualquier persona con acceso a un servidor de email puede enviar mensajes
que parecen venir de tu organización. Hoy mismo.
El comando de verificación tarda 10 segundos. Si el resultado no muestra
p=quarantine o p=reject,
seguí los pasos de implementación de arriba.
¿Querés que revisemos la configuración de email de tu dominio?
SPF, DKIM, DMARC y más — revisión completa sin costo. Sin compromiso.
Solicitar evaluación gratuita →