← Blog

Rotación de claves DKIM: por qué, cuándo y cómo (sin romper nada)

Por Thomas · CISO virtual · 2026-07-11

Una clave DKIM que no cambia nunca es una clave que envejece. Como todo secreto criptográfico, una clave privada DKIM gana con ser renovada regularmente: cuanto más vive, mayor es la ventana de exposición en caso de fuga, y más riesgo corre de tener un tamaño insuficiente con el paso de los años. Sin embargo, la rotación asusta: mal hecha, rompe las firmas y manda tu correo legítimo al fracaso. Esta guía explica por qué rotar tus claves, con qué frecuencia, y sobre todo cómo hacerlo con limpieza gracias al método del doble selector.

Por qué rotar tus claves DKIM

Tres razones justifican la rotación:

  • Limitar la ventana de exposición. Si una clave privada se filtra (servidor comprometido, archivo de configuración mal protegido), un atacante puede firmar correo en tu nombre hasta que cambies la clave. Una rotación regular acota ese riesgo en el tiempo.
  • Seguir el estado del arte criptográfico. Una clave de 1024 bits puesta hace años se considera hoy débil. La rotación es la ocasión de pasar a 2048 bits (ver 1024 o 2048 bits).
  • Buena higiene y cumplimiento. Numerosos marcos de seguridad esperan una rotación periódica de los secretos. DKIM no es una excepción.

Con qué frecuencia

No hay una cifra grabada en piedra, pero sí referencias razonables: una rotación cada seis meses o un año es una buena cadencia para la mayoría de las organizaciones. Más corta si manejas secretos muy sensibles o si una política interna lo exige; más larga es arriesgado, porque la clave envejece. El buen reflejo no es tanto la frecuencia perfecta como el carácter sistemático: una rotación planificada, y no un gesto que se pospone indefinidamente.

El método del doble selector (sin interrupción)

Aquí está el corazón del asunto. La rotación segura se apoya en el hecho de que un dominio puede tener varios selectores activos al mismo tiempo (ver el selector). La secuencia:

  1. Genera una nueva clave bajo un nuevo selector (por ejemplo s2), y publica su clave pública en DNS —sin tocar el antiguo selector (s1).
  2. Deja propagar y verifica que la nueva clave pública es bien visible en todas partes.
  3. Cambia la firma del lado de la plataforma para que firme en adelante con s2.
  4. Vigila unos días: confirma que las nuevas firmas (s2) pasan y se alinean en tus informes agregados.
  5. Retira el antiguo selector (s1) —pero solo tras un plazo suficiente.

Durante toda la transición, los dos selectores coexisten: el correo firmado con la clave antigua sigue siendo verificable, y el nuevo también. Es ese solapamiento lo que hace la rotación sin interrupción.

La trampa que hay que evitar a toda costa

El error clásico es retirar el antiguo selector demasiado pronto. El correo firmado con la clave antigua puede estar aún en tránsito, en cola de espera, o almacenado para un envío diferido. Si eliminas su selector antes de que esté todo entregado, su firma falla en la verificación —aunque sea perfectamente legítimo. La regla: deja el antiguo selector en su sitio varios días tras haber cambiado la firma, el tiempo de que todo el correo antiguo haya sido procesado. Mejor un selector de más unos días que una firma rota.

El otro extremo: los selectores fantasma

La retirada prematura rompe firmas; la ausencia de retirada crea otro problema. Un antiguo selector dejado publicado indefinidamente sigue siendo una clave válida a ojos de los destinatarios: quienquiera que posea la clave privada correspondiente —una copia de seguridad olvidada, un antiguo servidor, un proveedor que se fue— puede aún firmar correo verificable en tu nombre, años después. Cada rotación debe, por tanto, concluir con la retirada efectiva del antiguo registro DNS, una vez transcurrido el plazo de solapamiento. Buena práctica complementaria: lleva un inventario de los selectores realmente publicados en tu dominio y repásalo de vez en cuando. Los selectores fantasma se acumulan en silencio a lo largo de las plataformas probadas y luego abandonadas, y cada uno es una puerta trasera potencial que ningún informe te señalará espontáneamente.

Rotación manual o automatizada

Dos enfoques, según tu configuración:

  • Automatizada. Si firmas a través de una plataforma que propone el CNAME (Microsoft 365, muchos SaaS), la rotación suele gestionarse por ti: el proveedor rota la clave detrás del CNAME que publicaste una vez. Es lo ideal —no tienes que hacer nada.
  • Manual. Si operas tu propia infraestructura o publicas TXT en duro, pilotas la rotación tú mismo, según la secuencia del doble selector de más arriba. Es más trabajo, pero perfectamente factible con un procedimiento escrito y un calendario.

Dónde almacenar tus claves privadas DKIM

La rotación no sirve de nada si tus claves privadas andan por un archivo de configuración accesible o un correo. La clave privada DKIM es un secreto crítico: quienquiera que la obtenga puede firmar correo en tu nombre. Merece, por tanto, el mismo cuidado que cualquier secreto de producción —almacenamiento cifrado, acceso trazado, rotación con herramientas.

DMARC.com está editado por Hucency, especialista en ciberseguridad; para centralizar y cifrar este tipo de secretos —claves privadas DKIM, credenciales DNS, tokens de API— y orquestar su rotación, echa un vistazo a Hucency Vault. Una buena política de rotación DKIM presupone un lugar seguro donde vivan las claves; el cofre es ese eslabón a menudo descuidado.

Construir un calendario de rotación

La mejor rotación es la que no hay que acordarse de hacer. En lugar de fiarte de tu memoria, inscribe la rotación DKIM en un calendario de seguridad, al mismo nivel que la renovación de los certificados TLS. Una cadencia semestral o anual, anotada por adelantado, transforma un gesto que genera ansiedad en una rutina previsible. Documenta el procedimiento una vez —qué selector, qué plataforma, qué tamaño de clave, cuántos días de solapamiento— y cada rotación siguiente ya no es más que una ejecución, no una reinvención. Para los dominios con varias plataformas, escalona las rotaciones en lugar de hacerlo todo el mismo día: limitas la superficie de riesgo si un cambio sale mal, y mantienes la atención disponible para vigilar cada transición una por una.

Caso de urgencia: una clave comprometida

La rotación planificada es una cosa; la rotación de urgencia es otra. Si tienes la menor razón para pensar que una clave privada se ha filtrado —servidor comprometido, copia de seguridad expuesta, salida de un proveedor con accesos— no esperes al vencimiento planificado: rota de inmediato. La secuencia sigue siendo la misma (nuevo selector, nueva clave, cambio de la firma), pero acortas el solapamiento y revocas la clave antigua lo antes posible publicando un p= vacío en su selector, lo que invalida cualquier firma que la reclame. Una clave comprometida que se deja viva es una puerta abierta a la suplantación firmada: el atacante puede producir mensajes que pasan DKIM en tu nombre, el peor escenario posible. Trátala como una fuga de contraseña —rotación y revocación sin demora— y documenta el incidente para tu trazabilidad.

Verificar que una rotación ha ido bien

Tras una rotación, dos controles bastan:

  1. El nuevo selector firma y se alinea: tus informes deben mostrar las firmas s2 que pasan. Ver cómo verificar una firma de correo.
  2. Ninguna firma legítima se rompe durante la transición: vigila la ausencia de fallos DKIM repentinos en tus fuentes reales.

Nuestro analizador gratuito confirma la presencia y la validez de tus claves públicas en el selector actual, un vistazo útil justo después de un cambio.

Preguntas frecuentes

¿Con qué frecuencia renovar? Cada seis meses o un año para la mayoría de los casos. Lo importante es que sea planificado y sistemático, no la frecuencia perfecta.

¿La rotación interrumpe el envío? No, si sigues el método del doble selector: las dos claves coexisten durante la transición, así que ninguna interrupción.

¿Cuándo puedo retirar el antiguo selector? Varios días después de haber cambiado la firma, el tiempo de que todo el correo antiguo haya sido entregado. Retirar demasiado pronto rompe firmas legítimas.

¿Mi plataforma gestiona la rotación? Si has publicado un CNAME proporcionado por el proveedor, probablemente sí. Si publicas TXT en duro, te toca a ti pilotarla.

¿Hay que cambiar de selector en cada rotación? Sí, en eso reside todo el interés: una nueva clave bajo un nuevo selector permite el solapamiento sin interrupción. Reutilizar el mismo selector para una nueva clave crea una ventana en la que las firmas fallan.

DKIM y cumplimiento: lo que los marcos esperan

Si operas en un entorno regulado —finanzas, salud, administraciones públicas— la rotación de las claves DKIM puede dejar de ser una simple elección de buena práctica para convertirse en una exigencia documentada. Marcos como ISO 27001 (controles criptográficos §A.10) o NIS2 esperan una política de gestión de secretos que incluya su renovación periódica. Una clave DKIM puesta hace cinco años y nunca renovada es difícilmente defendible en una auditoría. La trazabilidad cuenta también: quién generó la clave, cuándo, qué tamaño, cuál es la fecha de la próxima rotación —otros tantos elementos que los auditores pueden pedir. Llevar un registro de rotaciones DKIM sencillo (fecha, selector, plataforma, tamaño) te saca de estas situaciones sin esfuerzo, y muestra que la seguridad del correo se pilota, no se sufre. No es mucho trabajo, pero es exactamente lo que marca la diferencia entre «lo gestionamos» y «documentamos que lo gestionamos».

Deja que Thomas marque el ritmo de tus rotaciones

Una rotación olvidada deja envejecer una clave; una rotación chapucera rompe firmas. Thomas, tu CISO virtual, sigue la edad de tus claves DKIM, te recuerda cuándo es hora de rotar, te guía en la secuencia del doble selector, y verifica en tus informes que el cambio se ha hecho sin roturas.

Analiza tu dominio gratis → o crea una cuenta para tener claves DKIM siempre frescas y bien guardadas.

¿Listo para aplicar DMARC?

Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.

Alcanzar p=reject — gratis

Guías relacionadas

  • Cómo verificar la firma DKIM de un email

    Verificar una firma DKIM consiste en leer la cabecera DKIM-Signature y el resultado Authentication-Results, y después confirmar la alineación. Los métodos, las etiquetas clave y por qué una firma falla.

  • DKIM 1024 o 2048 bits: qué tamaño de clave elegir

    El de 2048 bits es el estándar DKIM recomendado, más robusto que el envejecido 1024. Pero el 2048 plantea una trampa DNS (el límite de 255 caracteres). Cómo elegir y publicar sin error.

  • Cómo generar una clave DKIM (y publicar la correcta)

    Generar una clave DKIM es crear un par clave privada / clave pública, mantener una en secreto y publicar la otra en DNS. Los pasos, la elección del tamaño y la trampa de la alineación.

Sobre el autor

ThomasThomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.