DMARCbis explicado: la actualización del estándar DMARC

La autenticación de correo electrónico es un pilar fundamental para proteger a las organizaciones contra la suplantación de identidad (spoofing) y el phishing. Desde su publicación en 2015, el protocolo DMARC (Domain-based Message Authentication, Reporting & Conformance – RFC 7489) se ha convertido en un estándar global.

Hoy, casi una década después, la IETF (Internet Engineering Task Force) trabaja en una actualización fundamental: DMARCbis, un borrador que busca reforzar, modernizar y aclarar el protocolo.

¿Por qué surge DMARCbis?

El correo electrónico sigue siendo el principal vector de ataque en el mundo. El phishing representa más del 90 % de los incidentes de ciberseguridad globales, según múltiples estudios. Aunque DMARC fue diseñado para frenar este tipo de amenazas, con el tiempo aparecieron desafíos y limitaciones:

• Definiciones poco claras en el RFC 7489.
• Diferencias en la forma en que los proveedores interpretaban los reportes.
• Falta de lineamientos claros sobre subdominios y herencia de políticas.
• Ambigüedades en conceptos clave como alineamiento, SPF y DKIM.

Para resolver estos puntos, la IETF inició el trabajo de actualización que hoy conocemos como DMARCbis.

¿Qué es DMARCbis?

DMARCbis es un borrador normativo que busca reemplazar al RFC 7489, mejorando el lenguaje, eliminando ambigüedades y alineando el estándar con las prácticas modernas de autenticación de correo electrónico. En otras palabras:

• No cambia la esencia de DMARC, sino que lo refuerza.
• Aclara cómo debe aplicarse, evitando interpretaciones distintas.
• Fomenta políticas más estrictas para una protección real contra ataques.

Principales cambios introducidos por DMARCbis

1. Definiciones más claras

Se actualiza la terminología técnica: conceptos como alignment, policy y domain owner se definen de forma más precisa para evitar confusiones.

2. Subdominios y herencia de políticas

El borrador especifica cómo se aplican las políticas de un dominio raíz a sus subdominios. Esto era un punto débil en el RFC 7489, donde quedaba espacio a interpretaciones.

3. Reportería más consistente

Se refuerzan los lineamientos para los reportes agregados (RUA) y los reportes forenses (RUF): formato más uniforme, mayor claridad en la información que los receptores deben entregar y enfoque en la utilidad real para los administradores de seguridad.

4. Lenguaje técnico actualizado

Muchas frases ambiguas del RFC original son eliminadas o reemplazadas por definiciones más directas, reduciendo discrepancias en las implementaciones.

5. Políticas de protección más estrictas

El documento es enfático: p=none no es una política de seguridad.

• p=none solo recopila reportes, pero no bloquea ataques.
• Se recomienda migrar a p=quarantine o p=reject para garantizar la protección.

Impacto de DMARCbis en las organizaciones

1. Revisión de implementaciones existentes. Las empresas deberán validar si su configuración actual cumple con las nuevas recomendaciones.
2. Mayor presión para abandonar p=none. Las organizaciones que aún usan esta política quedarán en desventaja, ya que no estarán alineadas con el estándar actualizado.
3. Fortalecimiento de normativas locales. En Latinoamérica, leyes de ciberseguridad y protección de datos ya exigen medidas de autenticación de correo. DMARCbis servirá como respaldo técnico para dichas regulaciones.
4. Preparación para el ecosistema de email del futuro. DMARCbis se convierte en la base sobre la cual se seguirán construyendo protocolos complementarios como BIMI, MTA-STS y TLS-RPT.

Conclusiones

DMARCbis es un paso clave en la evolución de la seguridad del correo electrónico. Más que un cambio radical, representa una maduración del estándar, cerrando vacíos técnicos y estableciendo prácticas más sólidas para el futuro. En Digital Corp ayudamos a empresas de Chile y Latinoamérica a implementar y gestionar DMARC de forma completa, ajustar SPF y DKIM según las recomendaciones de DMARCbis, e incorporar protocolos complementarios como BIMI, MTA-STS y TLS-RPT.