SPF, DKIM y DMARC: qué son y por qué tu correo los necesita

Francisco Deza — Sat, 02 May 2026 03:56:52 +0000

¿Alguna vez un cliente te dijo que tu correo llegó a spam? ¿O peor, alguien envió correos haciéndose pasar por tu empresa? El problema probablemente es que no tienes SPF, DKIM y DMARC configurados.

¿Qué son?
SPF (Sender Policy Framework)
Le dice al mundo qué servidores pueden enviar correos a nombre de tu dominio.

Sin SPF: Cualquier servidor del mundo puede enviar un correo como "ventas@tuempresa.pe". Con SPF: Solo los servidores autorizados pueden hacerlo.

DKIM (DomainKeys Identified Mail)
Agrega una firma digital a cada correo que envías, como un sello de autenticidad.

Sin DKIM: No hay forma de verificar que el correo realmente salió de tu servidor. Con DKIM: El receptor puede verificar que el correo no fue alterado.

DMARC (Domain-based Message Authentication)
Define qué hacer con los correos que no pasen SPF o DKIM.

Sin DMARC: Los correos falsos se entregan normalmente. Con DMARC: Los correos falsos se rechazan o van a spam.

¿Cómo verificar si los tienes?
La forma más fácil: escanea tu dominio en cybershield.fdevpe.com. En 30 segundos sabrás si tienes SPF, DKIM y DMARC configurados.

¿Qué pasa si no los configuras?
Tus correos llegan a spam — Gmail y Outlook penalizan dominios sin autenticación
Suplantación de identidad — Cualquiera puede enviar correos como tu empresa
Pérdida de confianza — Tus clientes reciben correos falsos a tu nombre
Multas — La Ley 29733 de Protección de Datos puede aplicar sanciones
¿Cuánto cuesta configurarlos?
S/0. SPF, DKIM y DMARC son registros DNS gratuitos. Solo necesitas acceso a tu panel de DNS (Cloudflare, GoDaddy, etc.) y 15-20 minutos.

Si no sabes cómo hacerlo, contáctame y te ayudo: Escríbeme por WhatsApp

Francisco Deza — FDev | Desarrollo Web & Ciberseguridad

📝 Artículo original: https://fdevpe.com/blog/5-errores-seguridad-pymes

🔒 Escanea tu empresa gratis: https://cybershield.fdevpe.com

🌐 Más artículos en: https://fdevpe.com/blog

5 errores de seguridad que cometen las PyMEs peruanas (y cómo evitarlos)

Francisco Deza — Sat, 02 May 2026 03:55:36 +0000

"Somos muy pequeños para que nos ataquen." Si alguna vez pensaste esto, estás cometiendo el error más peligroso en ciberseguridad.

El 43% de los ciberataques a nivel mundial se dirigen a pequeñas y medianas empresas. No porque sean un objetivo específico, sino porque son el objetivo más fácil.

Error 1: Contraseñas débiles o compartidas
El problema: "empresa123", "admin2026", la misma contraseña para todo, compartida por WhatsApp entre empleados.

El impacto: Un atacante que obtiene una contraseña filtrada puede acceder a todos tus sistemas si usas la misma clave.

La solución:

Usa contraseñas largas (frases, no palabras): "MiPerroComéArroz2026!" es mejor que "P@ssw0rd"
Una contraseña diferente para cada servicio
Usa un gestor de contraseñas (Bitwarden es gratis)
Activa 2FA (autenticación de dos factores) en TODO
Tiempo: 30 minutos | Costo: S/0

Error 2: No hacer backups (o hacerlos mal)
El problema: "El disco externo está conectado al servidor" o "Google Drive se sincroniza automáticamente" (si el ransomware cifra tu PC, también cifra lo sincronizado).

El impacto: Un ransomware cifra todo y no tienes cómo recuperarte. Pagar el rescate no garantiza nada.

La solución — Regla 3-2-1:

3 copias de tus datos
2 tipos diferentes de almacenamiento
1 copia fuera del sitio (nube o ubicación física diferente)
Y lo más importante: prueba restaurar tus backups. Un backup que nunca probaste no es un backup.

Tiempo: 1 hora de configuración | Costo: S/0 - S/50/mes

Error 3: Software desactualizado
El problema: "No actualizo porque puede romper algo" o "después lo hago".

El impacto: El 32% de las brechas de seguridad se deben a vulnerabilidades en software sin parchear. Los atacantes explotan fallos conocidos — fallos que ya tienen solución, pero que tú no aplicaste.

La solución:

Activa actualizaciones automáticas en todo
Si algo se conecta a internet y no se actualiza, es un riesgo
Incluye: Windows, navegadores, plugins, router, WordPress (si usas)
Tiempo: 15 minutos | Costo: S/0

Error 4: Correo sin protección (SPF/DKIM/DMARC)
El problema: Tu dominio no tiene SPF, DKIM ni DMARC configurados. Cualquier persona en el mundo puede enviar correos haciéndose pasar por tu empresa.

El impacto:

Tus correos llegan a spam
Alguien envía facturas falsas a tus clientes "desde tu correo"
Pérdida de confianza y posibles fraudes
La solución: Configura estos 3 registros DNS. Son gratuitos y toman 15-20 minutos.

¿No sabes si los tienes? Escanea tu dominio gratis: cybershield.fdevpe.com

Tiempo: 20 minutos | Costo: S/0

Error 5: Pensar que "a nosotros no nos va a pasar"
El problema: La falsa sensación de seguridad. "Somos pequeños", "no tenemos nada importante", "nunca nos ha pasado".

El impacto: Los ataques a PyMEs son automáticos. Los bots recorren internet buscando webs sin actualizar, contraseñas débiles y configuraciones básicas mal hechas. No atacan a tu empresa específicamente — atacan cualquier objetivo fácil.

La solución: Acepta que eres un objetivo. Implementa las medidas básicas de este artículo. Y si quieres saber exactamente qué tan vulnerable eres, usa CyberShield.

Resumen: 5 correcciones en 2 horas
Error Solución Tiempo Costo
Contraseñas débiles Gestor + 2FA 30 min S/0
Sin backups Regla 3-2-1 1 hora S/0-50/mes
Software viejo Actualizaciones auto 15 min S/0
Correo sin SPF/DKIM Configurar DNS 20 min S/0
"No nos va a pasar" Aceptar + actuar 5 min S/0
Total: 2 horas y S/0 para proteger tu empresa.

¿Quieres un diagnóstico completo? cybershield.fdevpe.com — gratis, en 30 segundos.

📝 Artículo original: https://fdevpe.com/blog/5-errores-seguridad-pymes

🔒 Escanea tu empresa gratis: https://cybershield.fdevpe.com

🌐 Más artículos en: https://fdevpe.com/blog

DEV Community: Francisco Deza

SPF, DKIM y DMARC: qué son y por qué tu correo los necesita

5 errores de seguridad que cometen las PyMEs peruanas (y cómo evitarlos)