Mail Transfer Agent-Strict Transport Security (MTA-STS) es un nuevo estándar que permite a los proveedores de servicios de correo la capacidad de imponer la Seguridad de la Capa de Transporte (TLS ) para asegurar las conexiones SMTP, y especificar si los servidores SMTP remitentes deben rechazar la entrega de correos electrónicos a hosts MX que no ofrezcan TLS con un certificado de servidor fiable. Se ha demostrado que mitiga con éxito los ataques de degradación de TLS y los ataques Man-In-The-Middle (MITM).

En términos más sencillos, MTA-STS es un estándar de Internet que asegura las conexiones entre servidores de correo SMTP. El problema más destacado de SMTP es que el cifrado es completamente opcional y no se aplica durante la transferencia de correo. Por ello, SMTP adoptó el comando STARTTLS para pasar del texto plano al cifrado. Este fue un paso valioso para mitigar los ataques pasivos, sin embargo, la lucha contra los ataques a través de redes activas y los ataques MITM seguía sin resolverse.

Por lo tanto, el problema que resuelve el MTA-STS es que el SMTP utiliza un cifrado oportunista, es decir, si no se puede establecer un canal de comunicación cifrado, la conexión vuelve a ser de texto plano, manteniendo así a raya los ataques MITM y de degradación.

¿Qué es un ataque de degradación de TLS?

Como ya sabemos, SMTP no venía con un protocolo de encriptación y ésta tuvo que ser adaptada posteriormente para mejorar la seguridad del protocolo existente añadiendo el comando STARTTLS. Si el cliente soporta el cifrado (TLS), entenderá el verbo STARTTLS e iniciará un intercambio TLS antes de enviar el correo electrónico para asegurarse de que está cifrado. Si el cliente no conoce TLS, simplemente ignorará el comando STARTTLS y enviará el correo electrónico en texto plano.

Por lo tanto, dado que el cifrado tuvo que ser adaptado al protocolo SMTP, la actualización para la entrega cifrada tiene que depender de un comando STARTTLS que se envía en texto claro. Un atacante MITM puede explotar fácilmente esta característica realizando un ataque de downgrade en la conexión SMTP manipulando el comando de actualización. El atacante simplemente sustituye el STARTTLS por una cadena basura que el cliente no identifica. Por lo tanto, el cliente vuelve a enviar fácilmente el correo electrónico en texto plano.

El atacante suele sustituir el comando por la cadena basura que contiene el mismo número de caracteres, en lugar de desecharlo, porque así se conserva el tamaño del paquete y, por tanto, resulta más fácil. Las ocho letras de la cadena basura del comando option nos permiten detectar e identificar que un ataque de downgrade TLS ha sido ejecutado por un ciberdelincuente, y podemos medir su prevalencia.

En resumen, un ataque de downgrade se lanza a menudo como parte de un ataque MITM, con el fin de crear una vía para permitir un ataque criptográfico que no sería posible en caso de una conexión cifrada sobre la última versión del protocolo TLS, sustituyendo o borrando el comando STARTTLS y haciendo retroceder la comunicación a texto claro.

Aunque es posible imponer TLS para las comunicaciones cliente-servidor, ya que para esas conexiones sabemos que las aplicaciones y el servidor lo soportan. Sin embargo, para las comunicaciones de servidor a servidor, debemos fallar en la apertura para permitir que los servidores heredados envíen correos electrónicos. El quid del problema es que no tenemos ni idea de si el servidor del otro lado soporta TLS o no. El MTA-STS permite a los servidores indicar que soportan TLS, lo que les permitirá fallar en el cierre (es decir, no enviar el correo electrónico) si la negociación de actualización no tiene lugar, haciendo así imposible que se produzca un ataque de downgrade de TLS.

informes tls

¿Cómo viene el MTA-STS al rescate?

MTA-STS funciona aumentando la seguridad del correo electrónico EXO o Exchange Online y es la solución definitiva a una amplia gama de inconvenientes y problemas de seguridad SMTP. Resuelve los problemas de seguridad de SMTP, como la falta de compatibilidad con los protocolos seguros, los certificados TLS caducados y los certificados no emitidos por terceros fiables.

A medida que los servidores de correo proceden a enviar correos electrónicos, la conexión SMTP es vulnerable a ataques criptográficos como los ataques de downgrade y MITM. Los ataques de downgrade pueden ser lanzados borrando la respuesta STARTTLS, entregando así el mensaje en texto claro. Del mismo modo, los ataques MITM también pueden lanzarse redirigiendo el mensaje a un intruso del servidor a través de una conexión insegura. El MTA-STS permite que su dominio publique una política que haga obligatorio el envío de un correo electrónico con TLS cifrado. Si por alguna razón se descubre que el servidor receptor no soporta STARTTLS, el correo electrónico no se enviará en absoluto. Esto hace imposible instigar un ataque de degradación de TLS.

En los últimos tiempos, la mayoría de los proveedores de servicios de correo han adoptado el MTA-STS, con lo que las conexiones entre servidores son más seguras y están cifradas mediante el protocolo TLS de una versión actualizada, lo que permite mitigar con éxito los ataques de degradación de TLS y anular las lagunas en la comunicación con los servidores.

PowerDMARC le ofrece servicios de MTA-STS alojados, rápidos y sencillos, que le hacen la vida mucho más fácil, ya que nos encargamos de todas las especificaciones requeridas por MTA-STS durante y después de la implementación, como un servidor web habilitado para HTTPS con un certificado válido, registros DNS y mantenimiento constante. PowerDMARC gestiona todo eso completamente en segundo plano para que, después de que le ayudemos a configurarlo, no tenga que volver a pensar en ello.

Con la ayuda de PowerDMARC, puede desplegar el MTA-STS alojado en su organización sin complicaciones y a un ritmo muy rápido, con la ayuda del cual puede hacer que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, haciendo así que su conexión sea segura y manteniendo a raya los ataques de degradación TLS.

 

Un estándar de Internet ampliamente conocido que facilita mejorando la seguridad de las conexiones entre servidores SMTP (Simple Mail Transfer Protocol) es el SMTP Mail Transfer Agent-Strict Transport Security (MTA-STS).

En el año 1982, se especificó por primera vez SMTP y no contenía ningún mecanismo para proporcionar seguridad a nivel de transporte para asegurar las comunicaciones entre los agentes de transferencia de correo. Sin embargo, en 1999, se añadió el comando STARTTLS a SMTP que a su vez soportaba la encriptación de los correos electrónicos entre los servidores, proporcionando la capacidad de convertir una conexión no segura en una segura que se encripta utilizando el protocolo TLS.

En ese caso, debes estar preguntándote que si SMTP adoptó STARTTLS para asegurar las conexiones entre servidores, ¿por qué fue necesario el cambio a MTA-STS? Vamos a entrar en eso en la siguiente sección de este blog!

La necesidad de pasar al MTA-STS

STARTTLS no era perfecto, y no conseguía solucionar dos problemas importantes: el primero es que se trata de una medida opcional, por lo que STARTTLS no consigue evitar los ataques man-in-the-middle (MITM). Esto se debe a que un atacante MITM puede modificar fácilmente una conexión e impedir que se produzca la actualización del cifrado. El segundo problema es que, aunque se implemente STARTTLS, no hay forma de autenticar la identidad del servidor emisor, ya que los servidores de correo SMTP no validan los certificados.

Aunque la mayoría de los correos electrónicos salientes hoy en día están protegidos con el cifrado Transport Layer Security (TLS), un estándar de la industria adoptado incluso por el correo electrónico de los consumidores, los atacantes todavía pueden obstruir y manipular su correo electrónico incluso antes de que se cifre. Si el correo electrónico se transporta a través de una conexión segura, sus datos podrían verse comprometidos o incluso modificados y manipulados por un ciberatacante. Aquí es donde MTA-STS interviene y soluciona este problema, garantizando el tránsito seguro de sus correos electrónicos, así como mitigando con éxito los ataques MITM. Además, los MTA almacenan archivos de políticas MTA-STS, lo que dificulta a los atacantes el lanzamiento de un ataque de suplantación de DNS.

El MTA-STS ofrece protección contra el :

  • Ataques a la baja
  • Ataques Man-In-The-Middle (MITM)
  • Resuelve múltiples problemas de seguridad de SMTP, como los certificados TLS caducados y la falta de compatibilidad con protocolos seguros.

¿Cómo funciona el MTA-STS?

El protocolo MTA-STS se despliega mediante un registro DNS que especifica que un servidor de correo puede obtener un archivo de políticas de un subdominio específico. Este archivo de políticas se obtiene a través de HTTPS y se autentifica con certificados, junto con la lista de nombres de los servidores de correo de los destinatarios. La implementación de MTA-STS es más fácil en el lado del destinatario en comparación con el lado del remitente, ya que requiere ser soportado por el software del servidor de correo. Aunque algunos servidores de correo soportan MTA-STS, como PostFix, no todos lo hacen.

alojado MTA STS

Los principales proveedores de servicios de correo, como Microsoft, Oath y Google, admiten MTA-STS. Gmail de Google ya ha adoptado las políticas de MTA-STS en los últimos tiempos. MTA-STS ha eliminado los inconvenientes en la seguridad de las conexiones de correo electrónico haciendo que el proceso de asegurar las conexiones sea fácil y accesible para los servidores de correo soportados.

Las conexiones de los usuarios a los servidores de correo suelen estar protegidas y encriptadas con el protocolo TLS, pero a pesar de ello existía una falta de seguridad en las conexiones entre servidores de correo antes de la implantación del MTA-STS. Con el aumento de la concienciación sobre la seguridad del correo electrónico en los últimos tiempos y el apoyo de los principales proveedores de correo de todo el mundo, se espera que la mayoría de las conexiones entre servidores estén cifradas en un futuro reciente. Además, el MTA-STS garantiza eficazmente que los ciberdelincuentes de las redes no puedan leer el contenido del correo electrónico.

Implantación fácil y rápida de servicios MTA-STS alojados por PowerDMARC

MTA-STS requiere un servidor web habilitado para HTTPS con un certificado válido, registros DNS y un mantenimiento constante. PowerDMARC le hace la vida mucho más fácil al gestionar todo eso por usted, completamente en segundo plano. Una vez que le ayudamos a configurarlo, no tendrá que volver a pensar en ello.

Con la ayuda de PowerDMARC, puede desplegar el MTA-STS alojado en su organización sin complicaciones y a un ritmo muy rápido, con la ayuda del cual puede hacer que los correos electrónicos se envíen a su dominio a través de una conexión cifrada TLS, haciendo así que su conexión sea segura y manteniendo a raya los ataques MITM.

 

 

Con el continuo aumento de los ataques de phishing, los ataques de suplantación de correo electrónico y de dominio, los BEC y otras actividades fraudulentas de los ciberdelincuentes, una capa adicional de seguridad y protección del correo electrónico es siempre una buena idea. Los destinatarios de los correos electrónicos desconfían cada vez más de los mensajes que llegan a sus bandejas de entrada debido al aumento de los ciberataques. ¿La solución? Una suite de seguridad para el correo electrónico completa que incluya la implementación de BIMI.

Una reciente encuesta realizada por profesionales de la seguridad en Estados Unidos reveló que el 60% de los ciudadanos estadounidenses afirma haber sido víctima de una ciberestafa o conoce a alguien que se ha visto afectado por la misma, en su círculo cercano, tras la pandemia. Por lo tanto, para dotar a sus correos electrónicos de una capa adicional de protección, las empresas necesitan implementar una nueva norma como los Indicadores de Marca para la Identificación de Mensajes (BIMI), ya que promete llevar la confianza del consumidor al siguiente nivel.

¿Qué es el BIMI?

BIMI son las siglas de Brand Indicators for Message Identification (Indicadores de Marca para la Identificación de Mensajes), que es un estándar de autenticación de correo electrónico de reciente creación que coloca el logotipo de su marca en todos los correos electrónicos autorizados por usted. Esto puede parecer un paso muy pequeño, pero la verificación visual puede, de hecho, aumentar la credibilidad de su marca al permitir que los receptores reconozcan y confíen en los correos electrónicos que envía desde su dominio de correo electrónico empresarial.

Puede que se pregunte, si ya tiene DMARC implementado en su organización, que hace uso de los estándares de autenticación SPF y DKIM, ¿necesita siquiera BIMI? Analicemos brevemente cómo funciona cada uno de estos estándares para autenticar los correos electrónicos entrantes:

  • El SPF autentifica sus correos electrónicos para identificar los servidores de correo que están autorizados a enviar correos electrónicos desde su dominio de correo electrónico, alistado en el registro SPF.
  • DKIM autentifica los correos electrónicos añadiéndoles una firma digital, lo que permite al receptor comprobar si un correo electrónico que dice proceder de un dominio específico ha sido realmente autorizado por el propietario de ese dominio.
  • DMARC especifica a los proveedores de bandejas de entrada cómo responder a los correos electrónicos que no superan la autenticación SPF y DKIM.
  •  BIMI coloca el logotipo de tu marca en los correos electrónicos que envías a tus empleados, socios y clientes para que puedan identificar rápidamente que proviene de una fuente autorizada.

Por lo tanto, de lo expuesto anteriormente se desprende que, entre todos los protocolos de autenticación de correo electrónico, BIMI es la única norma que ofrece una posibilidad de identificación visual, ofreciendo a los receptores de correo electrónico una pista visual para identificar el origen del correo y reconocer su autenticidad.

Logotipo de PowerDMARC para móviles

Implementación de BIMI - Una breve guía

Aunque BIMI es un estándar de autenticación emergente y aún en evolución, todavía es relativamente nuevo. Por el momento, sólo Yahoo! Mail ha adoptado oficialmente la tecnología. Por este motivo, BIMI no garantiza la visualización del logotipo de su marca, ya que sólo funciona con los clientes de correo electrónico compatibles. Hay algunos pasos esenciales que hay que seguir, antes de la implementación de BIMI, que son:

  • Para implementar BIMI en su organización, su dominio requiere estar autenticado por DMARC en un nivel de aplicación de políticas, es decir, rechazar o poner en cuarentena.
  • Debe crear y cargar un archivo SVG archivo del logotipo de su marca según los requisitos de la BIMI a un servidor para que sea accesible desde cualquier lugar.
  • Tiene que crear un registro BIMI, que, al igual que un registro DMARC, es esencialmente una cadena que consta de varias etiquetas, separadas por punto y coma.
  • Es necesario tener acceso a las DNS de su dominio para publicar este nuevo registro BIMI.
  • Es una práctica bastante útil comprobar la validez de su registro BIMI después de publicarlo en sus DNS.

¿Cómo puede resultar ventajosa para su empresa la implantación de BIMI?

BIMI es un protocolo de autenticación de correo electrónico que ejerce la identificación visual para ayudar a los receptores de correo electrónico a reconocer y confiar en su marca en la bandeja de entrada. Esta confianza evita que los clientes y socios se den de baja de tus servicios y mantiene a raya las quejas por spam, lo que posteriormente puede suponer un aumento de la entregabilidad del correo electrónico.

Sin la BIMI, los clientes de correo electrónico muestran un logotipo genérico con las iniciales de la marca. Por este motivo, el destinatario puede tener dificultades para reconocer su marca sin recurrir al nombre de la misma. Sin embargo, con la aplicación de BIMI, el logotipo de la marca se muestra junto a su mensaje de correo electrónico, lo que aumenta el conocimiento de la marca.

Además de eso, es una capa adicional de seguridad del correo electrónico contra los ataques de suplantación de dominio, ataques de phishing y otros intentos de suplantación de identidad, ya que los receptores serían más cautelosos con los ciberdelincuentes que se hacen pasar por usted.

Además, BIMI te permite comercializar tu marca. Sí, ¡has oído bien! A veces los destinatarios no disponen de mucho tiempo y es posible que tu línea de asunto no sea lo suficientemente convincente como para hacer clic en ese momento. Independientemente de ello, los destinatarios relacionarán la dirección del remitente, la línea de asunto y el texto del preencabezado con su logotipo, lo que contribuirá a reforzar su marca.

Por último, la implementación de BIMI también tiene un impacto muy positivo en la tasa de entrega de su correo electrónico. Para los proveedores de buzones de correo que soportan BIMI, añadirá otra capa de autenticación de correo electrónico a sus mensajes, aumentando así la posibilidad de que entreguen su correo electrónico más rápidamente. Además, los receptores de su correo electrónico pueden identificar y reconocer visualmente su marca, a través del logotipo mostrado, lo que disminuye las posibilidades de que lo marquen como spam.

Facilite su proceso de implantación de BIMI con PowerBIMI

Con PowerBIMI hacemos que la publicación de registros BIMI sea muy rápida y sencilla para ti. Lo único que tienes que hacer es subir tu imagen SVG, la alojaremos de forma segura y te proporcionaremos un registro DNS al instante, para que puedas publicarla en tus DNS. Le quitamos de encima la molestia de alojar la imagen y asegurarla.

Con PowerBIMI puede actualizar, eliminar o hacer cualquier cambio en su imagen, en cualquier momento, sin necesidad de actualizar sus registros DNS de nuevo. PowerBIMI le proporciona un procedimiento de implementación muy rápido y fácil de un solo clic para cargar su logotipo y cambiar a la autenticación BIMI con éxito, añadiéndolo como parte de su suite de seguridad de correo electrónico después de registrarse en el registro BIMI gratuito.

Los compradores de todo el mundo esperan atentamente los días siguientes al Día de Acción de Gracias, especialmente en Estados Unidos, para hacerse con las mejores ofertas del Black Friday. Las principales tiendas y plataformas de comercio electrónico de todo el mundo, que ofrecen una amplia gama de productos, lanzan sus codiciadas rebajas del Black Friday, ofreciendo productos con grandes descuentos a su amplia base de clientes.

Sin embargo, aunque es un momento en el que estas organizaciones ganan mucho dinero, también es un momento en el que los ciberdelincuentes están más activos. Investigadores de todo el mundo han llegado a la conclusión de que se produce un fuerte aumento del número de ataques de suplantación de identidad y de phishing en vísperas del Black Friday. Para proteger a sus compradores en línea de estos intentos de suplantación de identidad, es imprescindible implementar DMARC como parte integral de la política de seguridad de su lugar de trabajo.

Ataques de suplantación de identidad - Explorando el panorama de las amenazas en el Black Friday

Elspoofing es esencialmente un ataque de suplantación de identidad que es un intento más sofisticado de implicar a una marca u organización de renombre. Los ataques de suplantación de identidad pueden ser lanzados mediante el despliegue de varios métodos. Los ciberdelincuentes pueden dirigirse a elementos más técnicos de la red de una organización, como una dirección IP, un servidor de sistema de nombres de dominio (DNS) o un servicio de protocolo de resolución de direcciones (ARP), como parte de un ataque de suplantación.

Las investigaciones revelan que todos los años se produce un fuerte aumento de los intentos de suplantación de identidad en los días previos al Black Friday y, sin embargo, el 65% de las principales tiendas y plataformas de comercio electrónico en línea no tienen ningún registro DMARC publicado.

¿Se pregunta cuál puede ser la consecuencia?

El objetivo principal de los ciberdelincuentes al suplantar su nombre de dominio es enviar correos electrónicos fraudulentos con enlaces de phishing. El atacante trata de atraer a la estimada base de clientes de su marca con promesas vacías de ofrecer ofertas increíbles y cupones de descuento en el Black Friday mientras se hace pasar por su servicio de atención al cliente. Los clientes vulnerables que llevan años comprando en su plataforma y confían en su empresa, no se lo pensarían dos veces antes de abrir el correo electrónico e intentar aprovechar las ofertas.

Mediante esta táctica, los atacantes propagan ransomware y malware, instigan transferencias de dinero o intentan robar información confidencial de los consumidores.

En última instancia, su empresa podría acabar enfrentándose a repercusiones legales, sufrir un golpe en su reputación y perder la confianza de sus clientes. Por estas razones, es aconsejable informarse sobre cómo puede proteger su marca de la oleada de ataques de suplantación de identidad este Black Friday.

Proteja su empresa de los ataques de suplantación de identidad con DMARC

No es natural esperar que sus consumidores estén al tanto de las tendencias y tácticas cambiantes de los ciberdelincuentes, por lo que debe ser proactivo y tomar las medidas necesarias para evitar que los atacantes utilicen su nombre de dominio para llevar a cabo actividades maliciosas este Black Friday.

¿La mejor y más fácil manera de garantizarlo? Implantar de inmediato en su organización una herramienta de autenticación de correo electrónico basada en DMARC de última generación. Hagamos un recuento de sus ventajas:

Autenticación de correo electrónico basada en la IA

Puede evitar que los atacantes falsifiquen el encabezado de su correo electrónico y envíen correos electrónicos de suplantación de identidad a sus clientes con la herramienta de análisis DMARC que hace uso de las tecnologías de autenticación de correo electrónico SPF y DKIM para bloquear los correos electrónicos falsificados antes de que consigan llegar a la bandeja de entrada del receptor.

La publicación de un registro DMARC le permite tener un control total de sus canales de correo electrónico verificando todas y cada una de las fuentes de envío y disfrutando de la libertad de optimizar su política DMARC (ninguna, cuarentena o rechazo) según sus necesidades.

Informes y supervisión de DMARC

Una herramienta de autenticación e informes basada en DMARC como PowerDMARC amplía las facilidades proporcionadas por DMARC al incluir disposiciones para informar y supervisar las actividades de suplantación de identidad y phishing en tiempo real, sin afectar a la tasa de entrega de su correo electrónico. A través del mapeo de amenazas, puede averiguar la geolocalización de los que abusan de su dirección IP, incluyendo informes sobre su historial de abuso de dominio, y ponerlos en la lista negra con sólo un clic.

Esto no sólo le proporciona una visibilidad adecuada del dominio de correo electrónico de su marca, sino que también le permite supervisar cualquier intento de suplantación de identidad y mantenerse actualizado sobre las tácticas cambiantes de los ciberdelincuentes. Al supervisar sus informes de correo electrónico, puede ver cuáles han sido aprobados, fallados o no se han alineado con DMARC y en qué fase, para llegar a la raíz del problema y poder tomar medidas contra él. Los informes completos y legibles sobre el mismo le llevan a través de cada detalle, desde la verificación SPF hasta los registros DKIM, destacando todas las IP que fallaron la autenticación DMARC.

Mantener el límite de búsqueda del DNS

Es posible que su empresa tenga varios proveedores externos que le dificulten mantenerse por debajo del límite de 10 búsquedas de DNS que proporciona el SPF. Si excede el límite, su SPF fallará, haciendo que la implementación sea inútil. Sin embargo, la actualización a PowerSPF mantiene su límite de búsqueda bajo control, dándole la posibilidad de añadir/eliminar remitentes de su registro SPF sin superar nunca el límite de 10 búsquedas DNS.

Mejore el recuerdo de su marca con BIMI

Para dotar a su dominio de correo electrónico de una segunda capa de autenticación y credibilidad, debe confiar en un registro BIMI alojado. Los indicadores de marca para la identificación de mensajes (BIMI) son exactamente lo que necesita en tiempos como estos, para aplacar el aumento de los ataques de suplantación de identidad antes del Black Friday. Esta norma coloca el logotipo exclusivo de su marca en cada correo electrónico que envía a su base de clientes, haciéndoles saber que es usted y no un suplantador.

  • La BIMI mejora el recuerdo de la marca y refuerza la imagen de marca entre sus clientes, permitiéndoles confirmar visualmente que el correo electrónico es auténtico.
  • Aumenta la credibilidad y la fiabilidad de la marca
  • Mejora la entregabilidad del correo electrónico

Actualice el traje de seguridad de su organización y proteja su marca contra el abuso de dominios este Black Friday con PowerDMARC. Reserve una demostración o regístrese para una prueba gratuita de DMARC hoy mismo.

Muy bien, acabas de pasar por todo el proceso de configuración de DMARC para tu dominio. Has publicado tus registros SPF, DKIM y DMARC, has analizado todos tus informes, has solucionado los problemas de entrega, has aumentado tu nivel de cumplimiento de p=none a cuarentena y finalmente a rechazo. Ya está oficialmente reforzado al 100% con DMARC. Enhorabuena. Ahora sólo tus correos electrónicos llegan a las bandejas de entrada de la gente. Nadie va a suplantar tu marca si puedes evitarlo.

Así que eso es todo, ¿verdad? Tu dominio está asegurado y todos podemos irnos a casa contentos, sabiendo que tus correos electrónicos van a estar seguros. ¿Verdad...?

Bueno, no exactamente. El DMARC es como el ejercicio y la dieta: lo haces durante un tiempo y pierdes un montón de peso y consigues unos abdominales de infarto, y todo va de maravilla. Pero si dejas de hacerlo, todos esos logros que acabas de conseguir van a ir disminuyendo poco a poco, y el riesgo de suplantación de identidad empieza a aparecer de nuevo. Pero no te asustes. Al igual que con la dieta y el ejercicio, ponerse en forma (es decir, llegar al 100% de cumplimiento) es la parte más difícil. Una vez que lo hayas hecho, sólo tienes que mantenerte en ese mismo nivel, lo cual es mucho más fácil.

Bien, basta de analogías, vayamos al grano. Si acabas de implementar y aplicar DMARC en tu dominio, ¿cuál es el siguiente paso? ¿Cómo puede seguir manteniendo su dominio y sus canales de correo electrónico seguros?

Qué hacer después de lograr el cumplimiento de DMARC

La razón número 1 por la que la seguridad del correo electrónico no termina simplemente después de alcanzar el 100% de cumplimiento es que los patrones de ataque, las estafas de phishing y las fuentes de envío están siempre cambiando. Una tendencia popular en las estafas de correo electrónico a menudo ni siquiera dura más de un par de meses. Piensa en los ataques de ransomware WannaCry en 2018, o incluso en algo tan reciente como las estafas de phishing del Coronavirus de la OMS a principios de 2020. No se ven muchos de esos en la naturaleza ahora mismo, ¿verdad?

Los ciberdelincuentes cambian constantemente sus tácticas, y las fuentes de envío malicioso siempre cambian y se multiplican, y no hay mucho que puedas hacer al respecto. Lo que sí puede hacer es preparar a su marca para cualquier posible ciberataque que se le pueda presentar. Y la forma de hacerlo es a través de la monitorización y visibilidad de DMARC .

Incluso después de la aplicación de la ley, debe tener un control total de sus canales de correo electrónico. Eso significa que tienes que saber qué direcciones IP están enviando correos electrónicos a través de tu dominio, dónde estás teniendo problemas con la entrega de correos electrónicos o la autenticación, e identificar y responder a cualquier intento potencial de suplantación de identidad o servidor malicioso que lleve a cabo una campaña de phishing en tu nombre. Cuanto más controle su dominio, mejor lo entenderá. Y, en consecuencia, mejor podrá proteger sus correos electrónicos, sus datos y su marca.

Por qué es tan importante la supervisión de DMARC

Identificar nuevas fuentes de correo
Cuando supervisas tus canales de correo electrónico, no sólo estás comprobando si todo va bien. También vas a buscar nuevas IP que envíen correos electrónicos desde tu dominio. Es posible que tu organización cambie de socios o de proveedores externos cada cierto tiempo, lo que significa que sus IPs pueden llegar a estar autorizadas para enviar correos electrónicos en tu nombre. ¿Es esa nueva fuente de envío uno de sus nuevos proveedores, o es alguien que intenta hacerse pasar por su marca? Si analizas tus informes con regularidad, tendrás una respuesta definitiva a eso.

PowerDMARC le permite ver sus informes DMARC según cada fuente de envío de su dominio.

Entender las nuevas tendencias de abuso de dominios
Como he mencionado antes, los atacantes siempre encuentran nuevas formas de suplantar marcas y engañar a la gente para que les dé datos y dinero. Pero si sólo miras tus informes DMARC una vez cada dos meses, no vas a notar ningún signo revelador de suplantación de identidad. A menos que supervise regularmente el tráfico de correo electrónico en su dominio, no notará tendencias o patrones en la actividad sospechosa, y cuando se vea afectado por un ataque de suplantación de identidad, estará tan despistado como las personas a las que va dirigido el correo electrónico. Y créeme, eso nunca es una buena imagen para tu marca.

Encuentre y ponga en la lista negra las IPs maliciosas
No basta con saber quién está intentando abusar de tu dominio, sino que tienes que acabar con él lo antes posible. Cuando conoces las fuentes de envío, es mucho más fácil localizar una IP infractora y, una vez que la has encontrado, puedes denunciarla a su proveedor de alojamiento y ponerla en la lista negra. De este modo, eliminarás permanentemente esa amenaza específica y evitarás un ataque de spoofing.

Con Power Take Down, puedes encontrar la ubicación de una IP maliciosa, su historial de abusos, y hacer que la retiren.

Control de la capacidadde entrega
Incluso si ha tenido la precaución de hacer que el DMARC se aplique al 100% sin afectar a sus índices de entrega de correo electrónico, es importante garantizar continuamente una alta capacidad de entrega. Después de todo, ¿de qué sirve toda esa seguridad del correo electrónico si ninguno de los mensajes llega a su destino? Al supervisar sus informes de correo electrónico, puede ver cuáles han sido aprobados, fallados o no alineados con DMARC, y descubrir el origen del problema. Sin la supervisión, sería imposible saber si sus correos electrónicos se están entregando, y mucho menos solucionar el problema.

PowerDMARC le da la opción de ver los informes en función de su estado DMARC para que pueda identificar al instante los que no lo han conseguido.

 

Nuestra plataforma de vanguardia ofrece una supervisión de dominios 24×7 e incluso le ofrece un equipo de respuesta de seguridad dedicado que puede gestionar un fallo de seguridad por usted. Más información sobre la asistencia ampliada de PowerDMARC.

¿Por qué necesito DKIM? ¿No es suficiente con el SPF?

El trabajo a distancia ha introducido específicamente a las personas en un mayor número de phishing y ciberataques. La mayoría de los ataques de phishing son los que uno no puede ignorar. Independientemente de la cantidad de correos electrónicos de trabajo que se reciben y envían, y a pesar del aumento de las aplicaciones de chat y mensajería instantánea en el lugar de trabajo, para la mayoría de las personas que trabajan en oficinas, el correo electrónico sigue dominando la comunicación empresarial tanto interna como externa.

Sin embargo, no es un secreto que los correos electrónicos suelen ser el punto de entrada más común para los ciberataques, que implica colar malware y exploits en la red y las credenciales, y revelar los datos sensibles. Según datos de SophosLabs de septiembre de 2020, alrededor del 97% del spam malicioso capturado por las trampas de spam eran correos electrónicos de phishing, a la caza de credenciales o cualquier otra información.

El 3% restante llevaba una mezcla de mensajes con enlaces a sitios web maliciosos o con archivos adjuntos con trampas. La mayoría de ellos pretendían instalar puertas traseras, troyanos de acceso remoto (RAT), robos de información, exploits o quizás descargar otros archivos maliciosos.

Sea cual sea la fuente, el phishing sigue siendo una táctica bastante eficaz para los atacantes, sea cual sea su objetivo final. Hay algunas medidas sólidas que todas las organizaciones podrían utilizar para verificar si un correo electrónico proviene o no de la persona y la fuente que dice provenir.

¿Cómo llega el DKIM al rescate?

Debe garantizarse que la seguridad del correo electrónico de una organización sea capaz de mantener un control sobre cada correo electrónico entrante, lo que iría en contra de las reglas de autenticación establecidas por el dominio del que parece proceder el correo electrónico. El Correo Identificado por Clave de Dominio (DKIM) es uno de los que ayuda a revisar un correo electrónico entrante, con el fin de comprobar si nada ha sido alterado. En el caso de aquellos correos electrónicos que son legítimos, DKIM definitivamente estaría encontrando una firma digital que estaría vinculada a un nombre de dominio específico.

Este nombre de dominio se adjuntará a la cabecera del correo electrónico, y habrá una clave de cifrado correspondiente en el dominio de origen. La mayor ventaja de DKIM es que proporciona una firma digital en las cabeceras de su correo electrónico para que los servidores que lo reciben puedan autenticar criptográficamente esas cabeceras, considerándolas válidas y originales.

Estas cabeceras suelen ir firmadas como "De", "Para", "Asunto" y "Fecha".

¿Por qué necesita DKIM?

Los expertos en el campo de la ciberseguridad afirman que DKIM es muy necesario en el día a día para asegurar los correos electrónicos oficiales. En DKIM, la firma es generada por el MTA (Agente de Transferencia de Correo), que crea una cadena de caracteres única llamada Valor Hash.

Además, el valor hash se almacena en el dominio listado, y después de recibir el correo electrónico, el receptor puede verificar la firma DKIM utilizando la clave pública que se registra en el Sistema de Nombres de Dominio (DNS). A continuación, esta clave se utiliza para descifrar el valor hash en el encabezado, y también para recalcular el valor hash del correo electrónico que ha recibido.

Después de esto, los expertos descubrirán que si estas dos firmas DKIM coinciden, el MTA sabrá que el correo electrónico no ha sido alterado. Además, el usuario recibe una confirmación adicional de que el correo electrónico se ha enviado realmente desde el dominio indicado.

DKIM, que se formó originalmente mediante la fusión de dos claves de estación, Claves de dominio (la creada por Yahoo) y Correo de Internet Identificado (por Cisco) en 2004, y se ha ido desarrollando hasta convertirse en una nueva técnica de autenticación ampliamente adoptada que hace que el procedimiento de correo electrónico de una organización sea bastante fiable, y que es específicamente la razón por la que las principales empresas tecnológicas como Google, Microsoft y Yahoo siempre comprueban el correo entrante en busca de firmas DKIM.

DKIM vs. SPF

El Marco de Políticas del Remitente (SPF) es una forma de autenticación del correo electrónico que define un proceso para validar un mensaje de correo electrónico que ha sido enviado desde un servidor de correo autorizado con el fin de detectar falsificaciones y evitar estafas.

Aunque la mayoría de la gente opina que tanto el SPF como el DKIM deben utilizarse en las organizaciones, sin duda el DKIM tiene una ventaja añadida sobre los demás. Las razones son las siguientes:

  • En DKIM, el propietario del dominio publica una clave criptográfica, que se formatea específicamente como un registro TXT en el registro DNS general
  • La firma única DKIM que se adjunta a la cabecera del mensaje lo hace más auténtico
  • El uso de DKIM resulta ser más fructífero porque la clave DKIM utilizada por los servidores de correo entrante para detectar y descifrar la firma del mensaje demuestra que el mensaje es más auténtico y no está alterado.

En conclusión

Para la mayoría de las organizaciones empresariales, DKIM no sólo protegería sus negocios de los ataques de phishing y spoofing, sino que también ayudaría a proteger las relaciones con los clientes y la reputación de la marca.

Esto es especialmente importante, ya que DKIM proporciona una clave de cifrado y una firma digital que demuestra doblemente que un correo electrónico no ha sido falsificado o alterado. Estas prácticas ayudarán a las organizaciones y a las empresas a dar un paso más en la mejora de su capacidad de entrega de correo electrónico y a enviar un correo electrónico seguro, lo que ayudará a generar ingresos. Sobre todo, depende de las organizaciones en cuanto a la forma de utilizarlo e implementarlo. Esto es lo más importante y lo que se puede relacionar, ya que la mayoría de las organizaciones quieren librarse de los ciberataques y las amenazas.