Cold Email· 4 min de lectura

La autenticación de tu cold email vive en el DNS, y NIST acaba de reescribir sus reglas de seguridad

La autenticación de tu cold email vive en el DNS, y NIST acaba de reescribir sus reglas de seguridad

Resumen rápido

SPF, DKIM y DMARC viven en el DNS. La nueva guía NIST SP 800-81r3 recuerda que, si tu DNS no es seguro, tu autenticación de correo se apoya en terreno inestable: un registro DNS abandonado puede usarse para enviar correo falsificado que supera tus propios controles.

SPF, DKIM y DMARC, los tres protocolos que deciden si tu cold email entra en la bandeja, no son archivos que vivan en tu plataforma de envío: son registros que viven en el DNS de tu dominio. NIST, el organismo de estándares de Estados Unidos, acaba de publicar la primera revisión de su guía de seguridad DNS en más de una década, y el mensaje de fondo afecta directamente a cualquiera que haga outbound: tu autenticación de correo solo es tan fiable como el DNS que la sostiene.

Qué ha pasado

El NIST (National Institute of Standards and Technology) ha publicado la versión definitiva de la SP 800-81r3, su Secure Domain Name System (DNS) Deployment Guide. Es la primera actualización de esta guía desde 2013, más de doce años de configuraciones de seguridad DNS que apenas se habían tocado a nivel federal. La revisión recoge cómo ha cambiado el panorama: DNS cifrado (DoT, DoH y DoQ), el concepto de Protective DNS como capa activa de seguridad, algoritmos DNSSEC modernos y una mirada mucho más estricta a la higiene de la zona DNS.

Para DNSSEC, la guía empuja a abandonar los algoritmos RSA antiguos en favor de ECDSA (curvas P-256 y P-384) y de curvas Edwards como Ed25519 y Ed448. También aprieta la operativa: ventanas de validez de firma de cinco a siete días en lugar de semanas, rotación de claves cada uno a tres años y almacenamiento de las claves privadas en módulos de hardware seguro (HSM).

Por qué importa para el cold email

Aquí está la conexión que mucha gente que envía outbound pasa por alto. El análisis de la guía lo resume sin rodeos: cada uno de esos protocolos depende de la integridad del DNS para funcionar. SPF declara qué servidores pueden enviar en tu nombre, DKIM publica la clave con la que firmas, DMARC indica qué hacer cuando algo no cuadra. Los tres son registros DNS. Si la base sobre la que se publican no es segura, toda tu autenticación se construye sobre terreno inestable.

El ejemplo más claro es el ataque conocido como SubdoMailing, de febrero de 2024. Atacantes localizaron subdominios abandonados de marcas conocidas, reclamaron los servicios a los que esos subdominios todavía apuntaban y enviaron correo fraudulento desde ellos. Lo inquietante es que ese correo superaba las comprobaciones de SPF y DMARC, incluso con una política p=reject publicada, porque el ataque operaba en la capa del DNS, por debajo de la autenticación. La guía de NIST señala precisamente esto: los registros colgantes (esos CNAME que apuntan a servicios que ya no controlas) y las delegaciones mal configuradas son un riesgo real para cualquier organización.

Para quien hace cold email, la lección es directa. Llevas meses cuidando la reputación de tus dominios de envío, calentando bandejas, vigilando rebotes. Un subdominio olvidado que apunta a una herramienta que dejaste de usar puede convertirse en la grieta por la que alguien envíe spam en tu nombre y arrastre la reputación de todo tu dominio hacia abajo.

Qué significa para tu agencia o equipo de ventas

Nada de esto exige reconstruir tu infraestructura. La SP 800-81r3 es una referencia federal estadounidense, no una obligación legal en España, pero marca por dónde va el sector, igual que las reglas de remitente de Google y Microsoft marcaron el listón de la autenticación. Lo sensato es tratar la guía como un recordatorio para hacer limpieza de DNS antes de tu próxima tanda de envíos.

Tres revisiones concretas valen la pena:

  • Audita tus registros SPF, DKIM y DMARC en cada dominio de envío y confirma que están publicados, alineados y firmando de verdad. Esto es la base de la entregabilidad, y lo explicamos en detalle en nuestro artículo sobre los nuevos requisitos de autenticación de Outlook.
  • Busca y elimina registros DNS que ya no uses, sobre todo CNAME que apunten a herramientas o servicios que diste de baja. Cada uno es una puerta potencial para un secuestro de subdominio.
  • Revisa quién tiene acceso a tu zona DNS y cómo se protege. El acceso a la configuración DNS es, en la práctica, el acceso a tu identidad de remitente.

Esta higiene se suma al trabajo de fondo que ya da resultado en outbound: dominios secundarios dedicados, separados de tu dominio principal, y un calentamiento progresivo de cada bandeja antes de escalar volumen, como contamos en la guía de calentamiento de IP para 2026.

Con el DNS cifrado, según resume Cricket Liu (Infoblox), el servidor de DNS deja de ser una pieza pasiva y se convierte en el punto donde se detecta y se aplica la seguridad.

En resumen

NIST no ha cambiado las reglas del cold email, pero ha vuelto a poner el foco en algo fácil de olvidar: la autenticación que protege tu entregabilidad vive en el DNS, y el DNS también se descuida. La primera actualización de su guía de seguridad DNS en más de una década deja un aviso incómodo: los registros abandonados y las zonas mal protegidas pueden tirar por tierra meses de trabajo de reputación.

Si no tienes claro cómo está configurada la autenticación de tus dominios de envío, o quieres que alguien audite tu infraestructura de cold email antes de la próxima campaña, en RevProcess lo revisamos contigo. Agenda una llamada y le echamos un vistazo.

Preguntas frecuentes

¿Qué tiene que ver el DNS con la entregabilidad del cold email?
SPF, DKIM y DMARC son registros que viven en el DNS de tu dominio. Si el DNS está mal configurado o tiene registros abandonados, esos protocolos de autenticación pierden fiabilidad y un atacante puede aprovecharlos para enviar correo en tu nombre, lo que daña la reputación de envío de la que depende tu cold email.
¿Qué es un registro DNS colgante y por qué es un riesgo?
Un registro colgante (dangling) es una entrada DNS, normalmente un CNAME, que apunta a un servicio que ya no controlas. Un atacante puede reclamar ese servicio y enviar correo desde tu subdominio. El ataque SubdoMailing de 2024 demostró que esos correos pueden superar SPF y DMARC pese a una política p=reject, porque el problema está por debajo de la capa de autenticación.
¿Tengo que cambiar algo en mi infraestructura de cold email por la guía NIST?
La guía es una referencia federal de EE. UU., no una norma obligatoria en España, pero marca la dirección del sector. Lo práctico es auditar tus registros SPF, DKIM y DMARC, eliminar registros DNS que ya no uses y revisar quién tiene acceso a tu zona DNS. Son revisiones de higiene que protegen la entregabilidad de tus campañas.

¿Tu outbound no llega al buzón o no llena la agenda? Lo revisamos contigo.

Agenda una llamada

Sigue leyendo