La ciberseguridad sigue siendo una preocupación creciente en Perú, y el recién publicado Informe de Adopción de DMARC y MTA-STS en Perú 2025 de PowerDMARC arroja luz sobre el panorama de seguridad del correo electrónico en el país. El informe revela que, aunque muchas organizaciones han adoptado autenticación básica de correo electrónico, la mayoría aún no aplica políticas que protejan plenamente contra el phishing y el spoofing, destacando una brecha crítica entre la conciencia y la acción.
Principales hallazgos de un vistazo:
- SPF: Un sólido 86,1% de los dominios ha implementado SPF correctamente, aunque esto aún deja cerca de 1 de cada 7 organizaciones con configuraciones incorrectas que podrían interrumpir la entrega legítima de correos electrónicos.
- DMARC: Si bien el 66% de los dominios tiene un registro DMARC, solo el 17,9% aplica protección al nivel más estricto (p=reject). Esto significa que más del 82% está en modo solo de monitoreo, dejándolos vulnerables al spoofing.
- MTA-STS: La adopción es críticamente baja, con apenas un 0,6%, lo que indica que la gran mayoría de las organizaciones no protegen el correo en tránsito frente a la interceptación y ataques man-in-the-middle.
- DNSSEC: Activado en solo el 4,6% de los dominios, dejando a la mayoría de las organizaciones vulnerables a secuestro y falsificación de DNS.
El informe revela disparidades significativas entre sectores. La industria de telecomunicaciones presenta el mayor porcentaje de dominios sin registro DMARC (43,3%) y la tasa de aplicación más baja (9,0%). Incluso en el sector financiero, donde la seguridad es crucial, una de cada cuatro organizaciones carece de un registro DMARC, y ninguna cuenta con una política MTA-STS implementada.
¿Qué está en juego?
Las consecuencias de las brechas en la seguridad del correo electrónico son tangibles. El informe destaca incidentes recientes, incluyendo una campaña de phishing en 2023 que apuntó a un hospital importante en Lima y un esquema de fraude de transferencias bancarias donde los atacantes suplantaron el dominio de un banco comercial para robar fondos de clientes. Estos ataques erosionan la confianza pública, generan pérdidas financieras graves y amenazan la estabilidad nacional.
El camino a seguir
El informe recomienda que las organizaciones peruanas pasen de políticas de seguridad pasivas a una aplicación activa. Publicar registros de autenticación de correo electrónico es un primer paso importante, pero sin una política estricta (p=rechazo), no se previene que los ciberdelincuentes suplanten dominios. La adopción de la aplicación de DMARC, junto con MTA-STS y DNSSEC, es crítica para reducir el riesgo de fraude por correo electrónico y la interceptación de datos.
Cómo PowerDMARC apoya a las organizaciones peruanas
PowerDMARC ofrece una plataforma integral que proporciona un camino claro y guiado hacia la aplicación de seguridad del correo electrónico para empresas, agencias gubernamentales e infraestructura crítica en Perú:
- Aplicación de DMARC: Implementar políticas estrictas (p=reject) de manera rápida y sin interrumpir las comunicaciones legítimas.
- Implementación de MTA-STS: Asegurar el tráfico de correo cifrado para prevenir escuchas y la interceptación.
- Validación DNSSEC: Garantizar la integridad del dominio y proteger contra secuestros de DNS.
- Detección y Reporte de Fraudes: Obtener visibilidad de intentos de spoofing mediante inteligencia de amenazas potenciada por IA y reportes accionables.
- Implementación de BIMI: Aumentar la confianza en la marca y la interacción de los correos mostrando el logo verificado directamente en la bandeja de entrada de los destinatarios.
«Perú tiene una sólida base de conciencia en seguridad, pero los datos muestran unadesconexión crítica entre la conciencia y la aplicación», dijo Maitham Al Lawati, CEO de PowerDMARC. «La clave ahora es pasar de monitorear amenazas a bloquearlas activamente. Implementar y aplicar DMARC y MTA-STS es una manera efectiva de convertir el cumplimiento en protección real contra ataques sofisticados basados en correo electrónico.»
Las organizaciones peruanas pueden contactar a PowerDMARC para simplificar la implementación, gestión y monitoreo de protocolos complejos de autenticación de correo electrónico.
Acerca de PowerDMARC
PowerDMARC es una plataforma líder en autenticación de correo electrónico y protección de dominios, ofreciendo soluciones integrales que incluyen DMARC, SPF, DKIM, BIMI, MTA-STS, TLS-RPT y reportes alojados con inteligencia de amenazas potenciada por IA. La plataforma asegura ecosistemas de correo electrónico para más de 10.000 organizaciones en más de 100 países, incluyendo empresas Fortune 100, gobiernos y grandes corporaciones. PowerDMARC está listo para MSP/MSSP con soporte completo de marca blanca y cuenta con certificaciones de cumplimiento SOC 2 Tipo 2, ISO 27001 y GDPR.
