Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance Governance

    Implantación del DMARC: Se acaba el tiempo

    Por qué las organizaciones del sector público británico deben actuar ya

    by Micah Daley

    Key Points

    • El NCSC va a retirar Mail Check y Web Check antes del 31 de marzo de 2026, trasladando toda la responsabilidad de la implantación de DMARC a las organizaciones del sector público del Reino Unido.
    • DMARC es esencial para prevenir la suplantación de dominios y la suplantación de identidad basada en el correo electrónico, que son amenazas críticas para la seguridad gubernamental y la confianza pública.
    • Las organizaciones no deben esperar hasta la fecha límite, ya que la implantación de DMARC puede ser compleja y requerir mucho tiempo, especialmente en entornos grandes o con múltiples proveedores.
    • El DMARC Analyzer de Mimecast ofrece visibilidad avanzada, servicios gestionados y experiencia probada para ayudar a los equipos del sector público a lograr una aplicación eficaz de DMARC antes de la fecha límite.

    El fin del Mail Check y una nueva era de responsabilidad

    Con la retirada de Mail Check y Web Check por parte del NCSC, las organizaciones del sector público del Reino Unido deben implantar y aplicar urgentemente DMARC (autenticación, notificación y conformidad de mensajes basados en dominios) para protegerse contra la suplantación de dominios y el phishing. Si se retrasa la adopción de medidas, se corre el riesgo de que se produzcan fallos en el cumplimiento de la normativa, violaciones de la seguridad y la pérdida de la confianza del público.

    Todas las organizaciones del sector público del Reino Unido deberían disponer de alternativas sólidas a Mail Check y Web Check, con DMARC debidamente implantado y aplicado. Esto marca un cambio significativo, ya que el NCSC pasa de proporcionar una supervisión centralizada de la seguridad del correo electrónico a depositar toda la responsabilidad en las organizaciones individuales.

    La retirada de Mail Check no es sólo un cambio técnico; es una llamada a la acción. Como afirma el NCSC, "para el 31 de marzo de 2026, las organizaciones deberán disponer de alternativas al Mail Check y al Web Check". El momento de actuar es ahora, no cuando se acerque la fecha límite.

    Por qué DMARC es fundamental para la protección de los dominios gubernamentales

    DMARC es la norma de oro para proteger los dominios contra la suplantación de identidad y el phishing. Para las organizaciones gubernamentales, lo que está en juego es especialmente importante:

    • Suplantación de dominios: Los atacantes pueden suplantar dominios gubernamentales para engañar a los ciudadanos, robar datos o difundir información errónea.
    • Phishing y BEC: Los ataques de Business Email Compromise (BEC) y phishing son responsables de una parte importante de los incidentes cibernéticos, ya que sólo los BEC representan entre el 17 y el 22% de todos los ataques de ingeniería social de los últimos años.
    • Confianza pública: Un solo ataque de suplantación de identidad con éxito puede erosionar la confianza del público en los servicios gubernamentales digitales.

    El NCSC es inequívoco: "DMARC es un control clave para evitar la suplantación de dominios y la suplantación de identidad basada en el correo electrónico". Sin la aplicación de DMARC, los dominios gubernamentales siguen siendo vulnerables a la explotación, poniendo en riesgo tanto la integridad operativa como la confianza pública.

    ¿Qué deben hacer las organizaciones?

    • Evalúe las dependencias actuales de Mail Check/Web Check
    • Revise la guía del comprador del NCSC para la gestión de la superficie de ataque externa (EASM) y las soluciones DMARC
    • Seleccionar y aplicar alternativas comerciales
    • Probar y validar nuevas soluciones mucho antes de la fecha límite de marzo de 2026

    "Planifique su migración. Dese el tiempo suficiente para implantar y configurar la solución elegida antes de la fecha límite de marzo de 2026. " - NCSC

    Los riesgos de retrasar la implantación de DMARC

    Implantar DMARC no es una solución rápida, especialmente para organizaciones grandes o complejas. El proceso suele implicar:

    1. Descubrimiento y evaluación (1-3 meses): Mapeo de todas las fuentes legítimas de correo electrónico, incluidos los sistemas internos y los proveedores externos.
    2. Modo monitor (1-6 meses): Despliegue de DMARC en modo "p=none" para recopilar datos e identificar problemas sin afectar a la entrega.
    3. Aplicación gradual (1-6 meses): Endurecimiento gradual de la política para "poner en cuarentena" y luego "rechazar", garantizando que no se bloqueen los correos electrónicos legítimos.
    4. Aplicación plena (3-12+ meses): Conseguir "p=rechazar" para una protección máxima. 

    Retrasar la acción aumenta los riesgos, como la exposición continuada a la suplantación de identidad y al phishing, ya que el modo de supervisión (p=ninguno) no bloquea los correos electrónicos maliciosos. Los fallos en el cumplimiento también son un riesgo, ya que incumplir el plazo puede acarrear sanciones reglamentarias y daños a la reputación. También pueden producirse trastornos operativos debido a implementaciones apresuradas, que a menudo conducen a configuraciones erróneas y al bloqueo del correo electrónico legítimo.

    La implementación de DMARC puede llevar meses, y la pérdida de los informes de Mail Check significa que las organizaciones deben actuar ahora para mantener la visibilidad y el cumplimiento.

    Pasar de la supervisión a la aplicación: Un enfoque paso a paso

    • Paso 1. Descubrimiento exhaustivo: Realice un inventario de todos los sistemas y proveedores que envían correo electrónico en su nombre, incluidos los sistemas informáticos en la sombra y los sistemas heredados.
    • Paso 2. Configuración de la autenticación: Asegúrese de que todos los remitentes legítimos están correctamente configurados con SPF y DKIM.
    • Paso 3. Comience con la supervisión (p=ninguno): Recopile informes DMARC para identificar remitentes no autorizados y configuraciones erróneas.
    • Paso 4. Aplicación gradual: Pase a "p=cuarentena" (opcionalmente utilizando la etiqueta 'pct' para introducir progresivamente la aplicación), y después a "p=rechazo" una vez seguro.
    • Paso 5. Supervisión continua: Revise regularmente los informes DMARC, actualice los registros de los nuevos remitentes y supervise los subdominios.

    La experiencia DMARC de Mimecast: Guía práctica para los equipos del sector público

    Con la expiración de Mail Check, muchas organizaciones del sector público del Reino Unido buscan alternativas sólidas y fáciles de utilizar. Mimecast’s DMARC Analyzer, tal y como se mostró en un reciente seminario web de Mimecast, ofrece:

    • Visibilidad avanzada: Informes y análisis de nivel forense que van más allá de la supervisión básica de DMARC, proporcionando perspectivas procesables.
    • Servicios gestionados: Reduce la carga de trabajo interna y acelera la implantación, lo que permite a los equipos informáticos centrarse en otras prioridades.
    • Gestión de la complejidad SPF: Gestiona los límites de los registros SPF, garantizando una autenticación eficaz de los dominios.
    • Éxito probado en el sector público: Los estudios de casos reales demuestran la mejora de la visibilidad, los informes y la aplicación de DMARC para los clientes gubernamentales.

    El lanzamiento de Mimecast DMARC Analyzer 2.0 está previsto para el 28 de enero de 2026. DMARC Analyzer no sólo sustituye las capacidades de Mail Check, sino que las mejora, apoyando a las organizaciones del sector público en cada etapa de la implantación de DMARC. Vea el seminario web a la carta.

    Actúe ahora para asegurar el futuro de su organización

    La retirada de Mail Check y Web Check por parte del NCSC es un momento decisivo para la ciberseguridad del sector público británico. DMARC ya no es opcional; es un control crítico y muy recomendado para proteger los dominios gubernamentales y la confianza pública.

    No espere hasta el último momento. Comience hoy mismo su andadura en DMARC, aproveche a socios expertos como Mimecast y asegúrese de que su organización está preparada para la fecha límite del 31 de marzo de 2026. La seguridad de su dominio y la confianza de los ciudadanos a los que sirve dependen de ello. Actuando ahora para implantar y hacer cumplir DMARC en el sector público del Reino Unido.

    Explorar el analizador DMARC de Mimecast
    18BLOG_1.jpg
    Up Next
    Data Compliance Governance |
    Privacidad de los datos: La paradoja de la minimización

    Related Articles

    Data Compliance Governance
    Data privacy: From reactive to proactive
    Data Compliance Governance
    Data privacy: The DSAR crisis
    Data Compliance Governance
    Privacidad de los datos: La paradoja de la minimización

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top