PCI DSS 4.0 Obliga a DMARC a partir del 31 de Marzo de 2025

Las reglas del juego en la seguridad de pagos están cambiando, y las empresas que manejan datos de tarjetas deben tomar nota. A partir del 31 de marzo de 2025, la implementación de DMARC será obligatoria bajo el estándar PCI DSS 4.0. No es una recomendación ni una sugerencia: el incumplimiento podría costar entre $5,000 y $100,000 en sanciones.

Este requisito busca frenar el fraude por correo electrónico, la suplantación de identidad y los ataques de phishing, amenazas que han golpeado al 94 % de las organizaciones solo en 2024. Para muchas empresas, este es el momento de reforzar la seguridad del correo electrónico antes de que ocurra un ataque serio. 

Puntos clave que debes tener en cuenta

1. PCI DSS 4.0 hará obligatorio DMARC a partir del 31 de marzo de 2025.
   
   
2. La regla aplica a todas las empresas que procesen, manejen o almacenen datos de tarjetas, incluyendo sistemas, procesos y personas involucradas.
   
   
3. La exigencia llega en un momento crítico: el phishing es el principal vector de ataque, responsable del 39 % de los incidentes de seguridad.
   
   
4. No cumplir con DMARC no solo puede traducirse en multas, sino también en mayor riesgo de fraude y problemas con la entrega de correos legítimos.

Phishing y suplantación de identidad en aumento: ¿estás protegido?

El phishing y la suplantación de identidad están creciendo a un ritmo alarmante, y las cifras lo dejan claro:

1. En solo tres meses de 2023, los ataques de phishing aumentaron un 70 %.
   
   
2. Redes sociales y correos web fueron los sectores más atacados en 2024.
   
   
3. Estados Unidos lidera como el principal origen de ataques de phishing a nivel global.
   
   
4. La inteligencia artificial ha hecho que lanzar campañas de phishing sea más fácil y efectivo que nunca.
   
   
5. Los ataques de phishing impulsados por IA han aumentado más del 51 % en los últimos años.
   
   
6. Grandes marcas han sido suplantadas con éxito en intentos de fraude con dominios falsos.
   
   

Con estas cifras, queda claro que protegerse contra el phishing y la suplantación de identidad ya no es opcional. Sin embargo, muchas empresas siguen sin adoptar soluciones como DMARC, dejando la puerta abierta a ataques que pueden costarles dinero y reputación.

Conoce más sobre: Seguridad y Cumplimiento en el Espacio de Pagos: PCI DSS

¿A quiénes afecta el mandato de DMARC en PCI DSS 4.0?

Los ciberdelincuentes han perfeccionado sus tácticas para explotar vulnerabilidades, y el correo electrónico sigue siendo su arma favorita. Al hacer que DMARC sea un requisito obligatorio, PCI DSS 4.0 busca reducir el riesgo de phishing y la suplantación de dominios en las transacciones con tarjeta.

Pero esto no solo afecta a grandes bancos o procesadores de pagos. Si tu empresa maneja datos de tarjetas de alguna forma, tienes que cumplir con este mandato antes del 31 de marzo de 2025. Aquí te explicamos quiénes deben prestar especial atención:

1. Empresas que manejan datos de tarjetas

Si procesas, almacenas o transmites información de tarjetas de pago, este requisito te aplica.

 Ejemplos: tiendas en línea, minoristas, bancos e instituciones financieras.

2. Proveedores de servicios

Cualquier empresa que gestione pagos o datos de tarjetas en nombre de otros.

Ejemplos: pasarelas de pago, procesadores de transacciones y proveedores de servicios de TI.

3. Entidades que almacenan o transmiten datos de tarjetas

Incluso si no procesas pagos directamente, pero manejas información de tarjetas, debes cumplir.

Ejemplos: proveedores de almacenamiento en la nube y centros de datos.

4. Sistemas y personas conectadas a datos de tarjetas

No solo se trata de empresas, sino también de los sistemas y personas que interactúan con estos datos.

Ejemplos: administradores de TI, desarrolladores y equipos de seguridad.

5. Sistemas indirectamente conectados

Si tu plataforma interactúa con sistemas de pago, aunque no maneje pagos directamente, también entra en la norma.

Ejemplos: herramientas de marketing y atención al cliente que procesan datos de transacciones.

6. Negocios de todos los tamaños

Desde startups hasta grandes corporaciones, el tamaño de tu empresa no importa. Si manejas datos de tarjetas, el cumplimiento con DMARC es obligatorio.

Ejemplo: pequeñas tiendas en línea hasta grandes procesadores de pagos.

¿Qué pasa si no cumples con PCI DSS 4.0 y DMARC?

No importa si tu empresa es grande o pequeña, si manejas datos de tarjetas, tienes que configurar DMARC antes del 31 de marzo de 2025. No hacerlo puede traerte problemas serios, como:

1. Multas importantes: No cumplir con los requisitos puede costarte entre $5,000 y $100,000 en sanciones.
   
   
2. Mayor riesgo de fraude: Sin DMARC, los ciberdelincuentes pueden suplantar tu dominio y engañar a tus clientes con correos falsos.
   
   
3. Daño a tu reputación: Si tu dominio se usa para enviar spam o correos fraudulentos, la confianza en tu marca se verá afectada.
   
   
4. Correos que no llegan: Una mala reputación puede hacer que tus correos terminen en la carpeta de spam o sean bloqueados por completo.

Podría interesarte leer: Advanced Email Security de Acronis: Seguridad de Correo Electrónico

¿Por qué DMARC es clave para tu negocio?

Más allá de ser un requisito de PCI DSS 4.0, DMARC es una herramienta poderosa para proteger tu correo electrónico y evitar ataques cibernéticos. Así es como ayuda:

1. Evita el fraude por correo electrónico: Bloquea el phishing y la suplantación de identidad, reduciendo los riesgos de ataques.
   
   
2. Mejora la entrega de correos: Asegura que tus correos legítimos lleguen a las bandejas de entrada de tus clientes, sin ser filtrados como spam.
   
   
3. Refuerza la seguridad del dominio: Te da visibilidad sobre quién está enviando correos en tu nombre y bloquea a los remitentes no autorizados.
   
   
4. Protege tu marca: Evita que los estafadores usen tu dominio para engañar a clientes y socios.
   
   
5. Cumples con las normativas: No solo con PCI DSS 4.0, sino también con otros estándares de seguridad de correo electrónico a nivel global.
   
   
6. Te da información útil: Recibes reportes detallados sobre el tráfico de correo electrónico para mejorar tu seguridad y autenticación.

Conclusión

La fecha límite para cumplir con PCI DSS 4.0 se acerca rápido, y si tu empresa aún no ha implementado DMARC, es momento de actuar. No solo es un requisito obligatorio, sino una medida clave para proteger tu correo electrónico y evitar fraudes. Adoptar esta tecnología no solo te ayuda a cumplir con las normativas, sino que también refuerza la seguridad de tu negocio y la confianza de tus clientes.

Si quieres llevar la seguridad de tu correo electrónico al siguiente nivel, herramientas como TecnetProtect pueden ser un gran aliado. Esta solución integral de ciberseguridad y backups protege datos críticos y previene ataques avanzados. En el ámbito del correo electrónico, detecta y bloquea amenazas sin carga útil, utilizando algoritmos de aprendizaje automático, análisis de reputación de IP y verificación de registros SPF, DKIM y DMARC. Además, previene ataques de Business Email Compromise (BEC), evitando que ciberdelincuentes manipulen cuentas de correo para cometer fraudes.