Por qué tus correos de email marketing no llegan a la bandeja

Imagina esto: llevas semanas preparando una campaña de email marketing. Defines el segmento, ajustas el asunto hasta que suena perfecto, diseñas la plantilla, programas el envío para el martes a las 10 de la mañana – que según todos los estudios es el mejor momento. Haces clic en «enviar» y… nada. Las aperturas no llegan. El CTR es prácticamente cero. Los clientes no responden.

¿Qué salió mal?

Lo más probable es que tus correos ni siquiera hayan llegado a la bandeja de entrada. Están en spam. O peor: fueron rechazados directamente por el servidor y desaparecieron sin dejar rastro.

Esto no es un problema de contenido ni de diseño. Es un problema técnico que la mayoría de los equipos de marketing en México no saben que tienen – hasta que ya es demasiado tarde.

El canal más rentable del marketing digital… cuando funciona

Antes de hablar de soluciones, vale la pena recordar por qué esto importa tanto.

El email marketing sigue siendo, con diferencia, el canal de mayor retorno de inversión en el marketing digital. Según cifras de la industria, genera entre 36 y 45 dólares por cada dólar invertido – una cifra que ningún otro canal puede igualar de manera consistente. En México y Latinoamérica, el uso de campañas automatizadas y segmentadas va en aumento, especialmente entre PyMEs que buscan alternativas más rentables a la publicidad de pago.

Pero ese ROI depende de una condición que muchas veces se da por sentada: que el correo llegue.

Y aquí está el problema: según datos del sector, el 14.3% de los correos enviados en 2023 desaparecieron o fueron bloqueados por filtros de spam antes de llegar al destinatario. Eso es aproximadamente 1 de cada 7 correos que simplemente nunca llegan. Si estás enviando 100,000 correos en una campaña, estás perdiendo 14,000 contactos sin saberlo – y sin ninguna notificación de error.

La razón principal no es que tu contenido sea spam. Es que tu dominio no está correctamente autenticado.

El problema que nadie te explica: la autenticación de correo

Cuando envías un correo desde tu plataforma de email marketing – sea Mailchimp, HubSpot, ActiveCampaign, Klaviyo o cualquier otra – ese correo llega al servidor de destino con una pregunta implícita: ¿realmente viene este mensaje de quien dice ser?

El servidor de Gmail, Outlook o Hotmail no te conoce. No sabe si tu empresa es legítima o si alguien está suplantando tu dominio para enviar phishing. Por eso, antes de entregar el correo, hace una serie de verificaciones técnicas en el DNS de tu dominio.

Si esas verificaciones fallan – o si no existen – el correo va a spam. O no llega.

Estas verificaciones son tres protocolos que trabajan juntos: SPF, DKIM y DMARC. Y la realidad es que la mayoría de las empresas mexicanas que hacen email marketing tienen uno o más de estos protocolos mal configurados, desactualizados, o directamente inexistentes.

¿Cómo puedes comprobarlo? Una forma rápida es usar la herramienta de búsqueda WHOIS de PowerDMARC, que te da información pública sobre tu dominio y te ayuda a identificar inconsistencias básicas en tu configuración antes de profundizar en el análisis técnico.

SPF: quién tiene permiso de hablar en nombre de tu empresa

Piensa en SPF (Sender Policy Framework) como una lista de empleados autorizados a firmar documentos en nombre de tu empresa. Es un registro de texto que publicas en el DNS de tu dominio, y que simplemente indica: «estos son los servidores que están autorizados a enviar correos desde @tuempresa.com».

Cuando alguien recibe un correo tuyo, el servidor receptor consulta ese registro y verifica si el correo proviene de uno de los servidores autorizados. Si la respuesta es sí, pasa la verificación. Si no, falla.

El problema más común que vemos en empresas mexicanas es que usan múltiples herramientas para enviar correos – su ESP principal, su CRM, su plataforma de automatización, sus notificaciones de e-commerce – y ninguna de ellas aparece en el registro SPF. El resultado: correos legítimos que fallan la autenticación y van a spam.

Otro error frecuente es tener un registro SPF desactualizado. Cambiaste de proveedor de email hace dos años pero el registro DNS sigue apuntando al proveedor anterior. Todo falla en silencio.

DKIM: la firma digital que nadie falsifica

DKIM (DomainKeys Identified Mail) añade una capa adicional de seguridad: una firma digital cifrada que va incrustada en cada correo que envías.

Cuando el servidor receptor recibe tu correo, busca en el DNS de tu dominio la clave pública que corresponde a esa firma y verifica que coincidan. Si lo hacen, confirma que el correo no fue alterado en tránsito y que efectivamente proviene de tu dominio.

La gran ventaja de DKIM sobre SPF es que verifica la integridad del mensaje, no solo el origen. Si alguien intercepta tu correo y modifica el contenido, la firma DKIM falla – lo que alerta al servidor receptor de que algo no cuadra.

Para los equipos de marketing, el punto práctico es este: cada herramienta que uses para enviar correos necesita tener su propia clave DKIM configurada. Mailchimp tiene la suya, HubSpot la suya, tu servidor de correo corporativo la suya. Si usas tres herramientas y solo una tiene DKIM activo, los correos de las otras dos llegarán sin firma – lo que reduce significativamente su reputación ante los filtros de spam.

DMARC: la política que une todo y te da visibilidad real

SPF y DKIM son verificaciones. DMARC (Domain-based Message Authentication, Reporting & Conformance) es la política que determina qué pasa cuando esas verificaciones fallan – y, crucialmente, quién te informa de ello.

Un registro DMARC tiene tres partes esenciales:

La política (p=): Le dice al servidor receptor qué hacer con los correos que fallan SPF y DKIM. Las opciones son:

• p=none – solo monitorea, no hace nada con los correos que fallan
• p=quarantine – envía a spam los correos que fallan
• p=reject – rechaza completamente los correos que fallan

La dirección de reportes (rua=): Una dirección de correo a la que se envían informes agregados sobre todos los correos que se envían desde tu dominio – incluyendo los que no reconoces.

El porcentaje (pct=): Qué porcentaje de correos aplica la política (útil para hacer una transición gradual).

Lo que hace DMARC especialmente valioso para los equipos de marketing no es solo la protección – es la visibilidad. Los reportes DMARC te muestran exactamente qué herramientas están enviando correos desde tu dominio, desde qué servidores, y si están pasando o fallando las verificaciones. Es la única forma de saber si alguien está suplantando tu dominio para enviar phishing a tus clientes.

Para configurar DMARC correctamente desde cero, la guía de configuración de DMARC de PowerDMARC cubre el proceso completo: desde la creación del registro DNS hasta la interpretación de los reportes agregados y el proceso de escalada de política.

México en el ojo del huracán del phishing por email

Para entender por qué esto es urgente en el contexto mexicano, hace falta ver los números.

Según datos de la Secretaría de Hacienda, en 2024 se registraron 6 millones de fraudes cibernéticos en México – un 40% más que en 2018 – y 7 de cada 10 ocurrieron en línea. El correo electrónico sigue siendo el principal vector de ataque. El monto total reclamado superó los 20,000 millones de pesos.

México es el segundo país más atacado de América Latina en ciberataques, solo detrás de Brasil. Kaspersky registró más de 43 millones de ataques de phishing dirigidos a México en 2023. Y según el reporte de Google Cloud sobre amenazas en México, actores maliciosos suplantan sistemáticamente dominios de marcas conocidas – bancos, instituciones del SAT, empresas de telecomunicaciones – para engañar a usuarios mexicanos.

Esto no es solo un problema de seguridad. Es un problema de reputación de marca con consecuencias directas para tu email marketing.

Cuando los atacantes utilizan un dominio que imita al tuyo – o incluso tu dominio real si no está protegido – para enviar phishing, los proveedores de correo lo registran. Gmail, Outlook y Yahoo actualizan continuamente sus filtros en función de las quejas de spam y los patrones de comportamiento. Si tu dominio aparece asociado a actividad sospechosa, tu reputación como remitente cae – y tus campañas legítimas empiezan a irse a spam aunque todo lo demás esté perfecto.

México está avanzando en ciberseguridad, pero todavía necesita marcos más robustos para la adopción de DMARC, según Red Sift. La oportunidad – y la urgencia – están ahí para las empresas que se adelanten.

El requisito de Google y Yahoo que cambió las reglas del juego

En febrero de 2024, Google y Yahoo implementaron nuevos requisitos obligatorios para remitentes de correo masivo. Si envías más de 5,000 correos diarios a usuarios de Gmail o Yahoo, ahora necesitas obligatoriamente:

1. Tener SPF o DKIM configurado (preferiblemente ambos)
2. Tener un registro DMARC publicado (al menos con p=none)
3. Mantener tu tasa de spam por debajo del 0.3%
4. Permitir darse de baja con un solo clic

El efecto fue inmediato. En 2024, los usuarios de Gmail vieron 265,000 millones menos de correos no autenticados – una reducción del 65%. Para las marcas que tenían su autenticación bien configurada, esto fue una excelente noticia: menos ruido en la bandeja de entrada de sus clientes. Para las que no lo tenían… comenzaron a notar caídas inexplicables en sus tasas de apertura.

La adopción de DMARC entre los dominios más importantes aumentó del 27.2% al 47.7% entre 2023 y 2025 – un incremento del 75% en dominios protegidos. Pero eso significa que más de la mitad de los dominios todavía no tienen DMARC. Y de los que sí lo tienen, muchos están solo en p=none – lo que cumple el mínimo requerido por Google y Yahoo pero no protege activamente el dominio.

Dada la penetración de Gmail en México – una de las más altas de América Latina – este requisito tiene un impacto directo en cualquier campaña de email marketing dirigida al mercado mexicano.

La normativa en México: lo que tu empresa debe saber

A diferencia de Europa con el GDPR o Canadá con el CASL, México no tiene una ley anti-spam específica. Pero eso no significa que el email marketing esté sin regulación.

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) es el marco principal. Considera el email marketing como procesamiento de datos personales, lo que significa que necesitas consentimiento explícito para enviar comunicaciones comerciales, cumplir con los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), incluir un aviso de privacidad en español, y nombrar un responsable de datos personales en tu organización. El incumplimiento puede derivar en multas de hasta 320,000 veces el salario mínimo – una cifra que ninguna PyME puede ignorar.

La Ley Federal de Protección al Consumidor (LFPC), a través de la PROFECO, prohíbe estrategias de marketing engañosas y exige que los mensajes comerciales identifiquen claramente al remitente, incluyan dirección física y ofrecan una vía de baja sencilla y funcional.

Lo que ninguna de estas leyes regula de manera específica es la suplantación de dominio – el caso en que un atacante envía correos haciéndose pasar por tu empresa. Ahí es donde los protocolos técnicos son tu única defensa real.

Entregabilidad y autenticación: cómo se conectan en la práctica

Aquí está la conexión que muchos equipos de marketing no ven claramente: la autenticación de correo no es solo un asunto de seguridad. Es un factor directo de entregabilidad.

Los proveedores de correo como Gmail no solo verifican si un correo pasa SPF y DKIM. Construyen un historial de reputación para cada dominio remitente. Ese historial incluye: tasas de apertura, tasas de spam, tasas de baja, quejas, y – cada vez más – si el dominio tiene DMARC configurado con una política efectiva.

Un dominio con DMARC en p=reject es, para los filtros de Gmail, una señal clara de que el remitente tiene sus correos bajo control. Un dominio sin DMARC es una señal de alerta – aunque los correos en sí no sean spam.

Esto tiene una consecuencia práctica muy concreta: dos empresas con exactamente el mismo contenido de email, la misma lista de suscriptores y el mismo ESP pueden tener tasas de entrega completamente diferentes simplemente porque una tiene DMARC bien configurado y la otra no.

No es justo. Pero es la realidad del ecosistema de correo electrónico en 2025.

BIMI: cuando la autenticación se convierte en ventaja de marca

Una vez que tienes DMARC configurado con política p=quarantine o p=reject, se abre una oportunidad adicional que va más allá de la seguridad: BIMI (Brand Indicators for Message Identification).

BIMI es un estándar que permite que el logotipo de tu marca aparezca directamente en la bandeja de entrada del destinatario, junto al nombre del remitente, antes de que abra el correo. En Gmail – que lo soporta desde 2021 – esto se muestra como un avatar verificado con un checkmark azul, similar a la verificación de redes sociales.

El impacto en métricas es real. Varios estudios del sector reportan incrementos de entre el 10% y el 21% en tasas de apertura para correos con BIMI implementado, simplemente porque el logotipo verificado genera más confianza y reconocimiento de marca.

Para implementar BIMI en Gmail necesitas tres cosas: DMARC en p=reject o p=quarantine, tu logotipo en formato SVG con fondo circular, y un Verified Mark Certificate (VMC) emitido por una autoridad certificadora. Es un proceso que requiere inversión, pero el retorno en reconocimiento de marca y tasas de apertura puede ser significativo, especialmente para marcas con bases de datos grandes.

Puedes conocer el proceso completo en la guía de BIMI de PowerDMARC, que incluye los requisitos técnicos y el paso a paso de implementación.

El marco legal de Google y Yahoo como oportunidad estratégica

Hay una manera de ver los nuevos requisitos de Google y Yahoo que muchos equipos de marketing están pasando por alto: no como una carga de compliance, sino como una ventaja competitiva.

En México, donde la adopción de DMARC todavía está por debajo de los mercados más maduros, las empresas que configuren correctamente SPF, DKIM y DMARC hoy tienen una ventaja real frente a competidores que no lo hayan hecho. Mientras los correos de esos competidores van a spam o son rechazados, los tuyos llegan. Cuando sus bases de datos empiezan a llenarse de rebotes y quejas, tu reputación de dominio sigue intacta.

No es exagerado decir que la autenticación de correo es, en 2025, un factor diferencial en email marketing – comparable a lo que fue el diseño responsivo hace diez años. Las empresas que lo adoptaron temprano tuvieron ventaja. Las que lo ignoraron tuvieron que correr para alcanzar a todos los demás.

Cómo empezar: una hoja de ruta práctica

Si nunca has revisado la autenticación de tu dominio, o sospechas que algo no está bien configurado, este es el proceso recomendado:

Paso 1: Audita tu situación actual. Antes de tocar nada, verifica qué registros SPF, DKIM y DMARC tienes publicados. Herramientas gratuitas como las de PowerDMARC te permiten hacer esta verificación en segundos. Anota qué tienes y qué falta.

Paso 2: Inventario de herramientas de envío. Haz una lista de todas las aplicaciones y servicios que envían correos desde tu dominio – tu ESP, tu CRM, tu plataforma de e-commerce, tus notificaciones transaccionales, tus alertas internas. Cada una necesita estar autorizada en SPF y tener DKIM configurado.

Paso 3: Configura o actualiza SPF. Crea o actualiza el registro SPF de tu dominio incluyendo todos los servicios del paso anterior. Asegúrate de no superar el límite de 10 consultas DNS (un error técnico muy común que invalida el registro).

Paso 4: Activa DKIM en cada herramienta. La mayoría de los ESPs tienen documentación específica para activar DKIM. Es un proceso que generalmente requiere añadir un registro TXT o CNAME a tu DNS. Hazlo para cada herramienta de envío.

Paso 5: Publica DMARC en modo monitoreo. Empieza con p=none y una dirección rua= para recibir reportes. Esto no interrumpe ningún envío y empieza a darte visibilidad inmediata sobre quién está enviando correos desde tu dominio.

Paso 6: Analiza los reportes durante 2-4 semanas. Los reportes DMARC agregan datos de todos los servidores de correo del mundo. Verás tus herramientas legítimas, posibles fuentes no autorizadas, y correos que están fallando la autenticación. Usa esa información para corregir configuraciones.

Paso 7: Escala la política. Una vez que tienes confianza en que todos tus envíos legítimos pasan la autenticación, pasa a p=quarantine. Espera otras 2-4 semanas. Si todo funciona bien, pasa a p=reject. Este es el nivel de protección real.

Paso 8 (opcional pero recomendado): Implementa BIMI. Con p=reject activo, estás en condiciones de solicitar un VMC e implementar BIMI para que tu logotipo aparezca en la bandeja de entrada de tus suscriptores.

Qué rol juega una plataforma de gestión DMARC

El proceso anterior es técnicamente posible hacerlo de forma manual, pero tiene sus complicaciones. Los reportes DMARC llegan en formato XML – un archivo técnico que no está diseñado para ser leído por humanos. Sin una herramienta que los procese y visualice, extraer insights útiles de esos reportes es una tarea que puede llevar horas.

Plataformas como PowerDMARC automatizan todo el proceso: reciben y procesan los reportes XML, los convierten en dashboards visuales que cualquier persona del equipo puede entender, alertan cuando detectan fuentes de envío no autorizadas, y guían el proceso de escalada de política de forma segura. También incluyen herramientas de verificación para SPF, DKIM y otros registros de autenticación.

Para equipos de marketing que no quieren depender del equipo de IT para gestionar su seguridad de correo, este tipo de plataformas resuelve exactamente ese problema.

Conclusión: la entregabilidad empieza antes del envío

El email marketing es una de las apuestas más inteligentes que puede hacer una empresa mexicana en su estrategia digital. El ROI está probado, la audiencia sigue ahí, y la plataforma – a diferencia de las redes sociales – es tuya. Pero todo eso solo funciona si tus correos llegan.

Y en 2025, llegar depende cada vez más de la autenticación de tu dominio.

México enfrenta un contexto de ciberseguridad complejo, con millones de intentos de phishing al año, una regulación de datos personales que exige responsabilidad sobre cómo usas la información de tus contactos, y nuevos requisitos técnicos de los principales proveedores de correo que no van a desaparecer.

La buena noticia es que la solución está al alcance de cualquier empresa que quiera tomarla en serio. SPF, DKIM y DMARC no son tecnologías nuevas ni especialmente complejas – son configuraciones de DNS que cualquier proveedor de hosting puede gestionar. Lo que hace falta es decidir que la entregabilidad es una prioridad, y dar los primeros pasos.

Antes de optimizar el próximo asunto o hacer A/B testing de tu llamada a la acción, asegúrate de que tus correos están llegando a donde deben llegar. El trabajo técnico que nadie ve es, con frecuencia, el que hace posible el marketing que todos admiran.