Alerta importante: Google y Yahoo exigirán DMARC a partir de febrero de 2024.

Fecha de análisis: 03/02/2023

Adopción de DMARC en Arabia Saudí: Informe 2023

DMARC es una norma útil que ha sido aclamada en todo el mundo por sus ventajas de autenticación y seguridad del correo electrónico. Mejorar la adopción de DMARC en Arabia Saudí ayudará a las organizaciones del país a reforzar aún más su postura de seguridad actual y a estar mejor preparadas para luchar contra los ataques basados en el correo electrónico: un fenómeno que está causando estragos en todo el mundo en esta era de la comunicación digital. A través de este exhaustivo informe, pretendemos analizar el estado actual de la adopción de DMARC en Arabia Saudí, y sugerir formas en las que la tasa puede incrementarse considerablemente sin impactar negativamente en las tasas de entregabilidad. 

Evaluación del panorama de las amenazas

Adopción de DMARC en Arabia Saudí

En 2022, Arabia Saudí experimentó un enorme aumento de los fraudes digitales y los ataques de phishing. Según un análisis publicado por Kaspersky, en el segundo trimestre de 2022, el phishing, las estafas y la ingeniería social se dispararon en Arabia Saudí, con un enorme aumento del 168% en los ataques. El análisis realizado por la organización arrojó luz sobre 5.808.946 ataques de phishing que fueron detectados por sus sistemas de seguridad en Arabia Saudí solo en el segundo trimestre.

Los analistas de seguridad han estimado además que se espera que el coste de una violación de datos resultante de un único incidente de ataque aumente exponencialmente en Arabia Saudí en el año 2023. Según estudios recientes, se sabe que el phishing sigue siendo un problema generalizado y creciente en todo el mundo, incluida la región de Oriente Próximo, y que evoluciona constantemente para eludir la detección y aumentar su eficacia. Es importante que los particulares y las organizaciones se mantengan informados y tomen medidas proactivas para protegerse contra los ataques de phishing.

Las estadísticas mencionadas sobre la falta de seguridad del correo electrónico en Arabia Saudí suscitan serias preocupaciones:

  • ¿Cuál es la situación actual de la adopción y aplicación de DMARC en las organizaciones de Arabia Saudí?

  • ¿Cómo mejorar la infraestructura de ciberseguridad y autenticación del correo electrónico en Arabia Saudí para mitigar los ataques de suplantación de identidad? 

Para conocer mejor el panorama actual, analizamos 1049 dominios pertenecientes a las principales empresas y organizaciones de Arabia Saudí, de los siguientes sectores:

  • Banca 
  • Gobierno 
  • Sanidad
  • Energía
  • Telecomunicaciones
  • Educación
  • Transporte
  • Medios de comunicación y entretenimiento

¿Qué dicen las cifras?

Se llevó a cabo un análisis en profundidad de la adopción de SPF y DMARC al examinar los 1049 dominios de Arabia Saudí, que dio lugar a las siguientes revelaciones: 
Arabia Saudí Adopción de SPF
Arabia Saudí Adopción de DMARC

Análisis gráfico: Entre los 1049 dominios examinados que pertenecen a varias organizaciones de Arabia Saudí, 438 dominios (41,8%) tenían registros SPF correctos, 49 dominios (4,7%) tenían registros SPF incorrectos, mientras que la mayoría de los 562 dominios (53,6%) no tenían ningún registro SPF. 307 dominios (29,3%) tenían registros DMARC correctos, mientras que 2 de los dominios (0,2%) tenían registros DMARC que contenían errores. La gran mayoría de los dominios (740, lo que supone el 70,5%) no tenían ningún registro DMARC. 114 dominios tenían su política DMARC configurada en ninguno (10,9%), permitiendo sólo la monitorización, mientras que 54 dominios (5,1%) tenían su política DMARC configurada en cuarentena, y 139 dominios (13,3%) tenían su política DMARC configurada en máxima aplicación (es decir, p=rechazar).

Análisis sectorial de los dominios saudíes

Sector de las telecomunicaciones

Análisis de la adopción del PPS: Sector de las telecomunicaciones
Análisis de la adopción del PPS. Sector de las telecomunicaciones
Análisis de la adopción de DMARC: Sector de las telecomunicaciones
Análisis de la adopción de DMARC. Sector de las telecomunicaciones
Índices de aplicación de DMARC: Sector de las telecomunicaciones
Índices de aplicación de DMARC. Sector de las telecomunicaciones

Principales resultados

  • El 33,3% de los dominios del sector de las telecomunicaciones de Arabia Saudí no tenían registro SPF. 
  • El 38,5% de los dominios con DMARC implementado tenían una política DMARC establecida en p=none
  • No se encontró ningún registro DMARC en el 60,7% de los dominios.

Sector sanitario

Análisis de la adopción del PPS: Sector sanitario
Análisis de la adopción del PPS. Sector sanitario
Análisis de la adopción de DMARC: Sector sanitario
Análisis de la adopción de DMARC. Sector sanitario 1 1
Tarifas de aplicación de DMARC: Sector sanitario
Análisis de la adopción de DMARC. Sector sanitario

Principales resultados

  • El 73,5% de los dominios no tenían ningún registro SPF publicado en sus DNS
  • El 84,3% de los dominios no tenían ningún registro DMARC publicado en sus DNS
  • El 36,3% de los dominios con DMARC implantado tenían una política de "ninguno".

Sector del transporte

Análisis de la adopción del PPS: Sector del transporte
Análisis de la adopción del PPS. Sector del transporte
Análisis de la adopción de DMARC: Transporte Sector
Análisis de la adopción de DMARC. Sector del transporte
Tarifas de aplicación de DMARC: Sector del transporte
Índices de aplicación de DMARC. Sector del transporte

Principales resultados

  • El 28,2% de los dominios no tenían ningún registro SPF publicado en sus DNS
  • El 52,6% de los dominios no tenían ningún registro DMARC publicado en sus DNS.
  • El 43,2% de los dominios con DMARC implantado tenían una política de "ninguno".

Sector de la energía

Análisis de la adopción del PPS: Sector energético
Análisis de la adopción del PPS. Sector de la energía
Análisis de la adopción de DMARC: Sector energético
Análisis de la adopción de DMARC. Sector de la energía
Tarifas de aplicación de DMARC: Sector energético
Índices de aplicación de DMARC. Sector de la energía

Principales resultados

  • El 32,4% de los dominios no tenían ningún registro SPF publicado en sus DNS
  • El 54,1% de los dominios no tenían ningún registro DMARC publicado en sus DNS.
  • El 35,3% de los dominios con DMARC implantado tenían una política de "ninguno".

Sector de medios de comunicación y entretenimiento

Análisis de la adopción del SPF: Sector de medios de comunicación y entretenimiento
Análisis de la adopción del PPS. Sector de medios de comunicación y entretenimiento
Análisis de la adopción de DMARC: Sector de medios de comunicación y entretenimiento
Análisis de la adopción de DMARC. Sector de medios de comunicación y entretenimiento
Tarifas de aplicación de DMARC: Sector demedios de comunicación y entretenimiento
Índices de cumplimiento de DMARC. Sector de medios de comunicación y entretenimiento

Principales resultados

  • El 58,1% de los dominios no tenían ningún registro SPF publicado en sus DNS
  • El 77,4% de los dominios no tenían ningún registro DMARC publicado en sus DNS.
  • El 42,7% de los dominios con DMARC implantado tenían una política de "ninguno".

Sector de la educación

Análisis de la adopción del PPS: Sector educativo
Análisis de la adopción del PPS. Sector de la educación
Análisis de la adopción de DMARC: Sector educativo
Análisis de la adopción de DMARC. Sector educativo
Tarifas de aplicación de DMARC: Sector educativo
Índices de cumplimiento de DMARC. Sector educativo

Principales resultados

  • El 23,5% de los dominios no tenían ningún registro SPF publicado en sus DNS
  • El 50,6% de los dominios no tenían ningún registro DMARC publicado en sus DNS.
  • El 48,8% de los dominios con DMARC implantado tenían una política de "ninguno".

Sector bancario

Análisis de la adopción del PPS: Sector bancario
Análisis de la adopción del PPS. Sector bancario
Análisis de la adopción de DMARC: Sector bancario
Análisis de la adopción del PPS. Sector bancario
Tarifas de aplicación de DMARC: Sector bancario
Índices de aplicación de DMARC. Sector bancario

Principales resultados

  • El 69,3% de los dominios no tenían ningún registro SPF publicado en sus DNS
  • El 77,6% de los dominios no tenían ningún registro DMARC publicado en sus DNS.
  • El 15,2% de los dominios con DMARC implantado tenían una política de "ninguno".

Sector público

Análisis de la adopción del PPS: Sector público
Análisis de la adopción del PPS. Sector público
Análisis de la adopción de DMARC: Sector público
Análisis de la adopción de DMARC. Sector público
Tarifas de aplicación de DMARC: Sector público
Índices de aplicación de DMARC. Sector público

Principales resultados

  • El 55% de los dominios no tenían ningún registro SPF publicado en sus DNS
  • El 67,9% de los dominios no tenían ningún registro DMARC publicado en sus DNS.
  • El 36,3% de los dominios con DMARC implantado tenían una política de "ninguno".

Análisis comparativo de la adopción del PPS en distintos sectores de Arabia Saudí

Arabia Saudí Adopción de SPF

El índice de adopción del SPF fue el más más bajo en el sector sanitario sector sanitarioseguido de cerca por los sectores bancario y de medios de comunicación y entretenimiento. El mayor adopción del PPS se observó en el sector de la sector educativo.

Análisis comparativo de la adopción de DMARC entre distintos sectores en Arabia Saudí

Arabia Saudí Adopción de DMARC

El sector sanitario sector sanitario también registró la índice más bajo de adopción de DMARC, seguido de cerca por los sectores bancario y de medios de comunicación y entretenimiento. El mayor índice de adopción de DMARC se observó entre instituciones educativas en Arabia Saudí. Un gran porcentaje de organizaciones de todos los sectores tenían sus políticas DMARC en sólo supervisión.

Errores críticos que cometen las organizaciones en Arabia Saudí

Al analizar 1049 dominios saudíes de diversos sectores e industrias, resulta evidente que las organizaciones de Arabia Saudí cometen algunos errores críticos que pueden poner en peligro su reputación en línea y la seguridad de sus clientes:

  • Registros SPF incorrectos

    Los registros SPF incorrectos pueden provocar que los correos electrónicos sean marcados como spam o rechazados por los servidores de correo de los destinatarios, causando problemas de entrega. Si un gran número de correos electrónicos se marcan como spam o se rechazan, el dominio del remitente puede considerarse poco fiable, lo que repercute negativamente en su reputación de correo electrónico. Los registros SPF incorrectos pueden impedir la autenticación adecuada de los correos electrónicos, haciéndolos vulnerables a ataques de phishing y otras formas de fraude por correo electrónico. Si los correos electrónicos de un remitente con un registro SPF incorrecto se marcan como spam, los destinatarios pueden confundirse sobre la identidad del remitente, lo que perjudica su credibilidad.

    Es importante tener un registro SPF bien configurado y actualizado para garantizar que los correos electrónicos enviados desde su dominio se autentiquen correctamente y se entreguen a sus destinatarios.

  • Bajos índices de adopción de SPF y DMARC

    Un alto porcentaje de dominios carecía por completo de la presencia de registros SPF y DMARC. SPF y DMARC son estándares de la industria cuando se trata de proteger su dominio contra el uso no autorizado, minimizando la suplantación de identidad, phishing, BEC y también sirven como la primera línea de defensa contra los ataques de ransomware.

  • Falta de aplicación del MTA-STS

    MTA-STS es un protocolo de autenticación de correo electrónico que aplica el cifrado TLS a los correos SMTP en tránsito. Esto ayuda a evitar ataques de intermediario, como la suplantación de DNS, y ayuda a los propietarios de dominios a reforzar la seguridad de sus sistemas de correo electrónico. La falta de MTA-STS es una vulnerabilidad existente en la mayoría de los dominios de Arabia Saudí.

  • Demasiadas búsquedas de DNS para SPF

    Tal y como se especifica en la RFC, SPF tiene un límite de 10 búsquedas en el DNS, y si se sobrepasa, SPF puede fallar y dar lugar a falsos negativos durante la autenticación. Los dominios de Arabia Saudí mostraron un porcentaje considerable de registros SPF no válidos debido a demasiadas búsquedas DNS.

  • Múltiples registros SPF para el mismo dominio

    Más de un registro SPF para un mismo dominio también da lugar a SPF no válidos. El análisis de dominios reveló la presencia de varios registros SPF para el mismo dominio en algunos casos. Para que se considere válido, lo correcto es un único registro SPF por dominio.

Medidas para mejorar la seguridad del correo electrónico en Arabia Saudí

Las organizaciones de Arabia Saudí pueden adoptar las siguientes medidas para mejorar la seguridad general de su correo electrónico: 

  • No superar el límite de 10 consultas DNS para SPF

  • Disponer de registros SPF y DMARC sin errores

  • Tener un único registro SPF/DMARC por dominio

  • Implementación de capas adicionales de seguridad como BIMI, MTA-STS y TLS-RPT

  • Activación de informes DMARC RUA y RUF para supervisar dominios y fuentes de envío

  • Cambio de la política DMARC p=none a p=reject para la protección contra ataques basados en el correo electrónico

¿Cómo puede ayudarle PowerDMARC en este proceso?

Para conseguir un ecosistema de correo electrónico seguro, DMARC/DKIM/SPF debe estar habilitado en todas las puertas de enlace de la empresa. Todo dentro de la empresa debe utilizar un único conjunto de normas de seguridad para detectar y prevenir fuentes de envío de correo electrónico accidentales y maliciosas. PowerDMARC ofrece un conjunto completo de servicios de seguridad del correo electrónico y soluciones alojadas que le permiten proteger la reputación de su marca y a sus clientes frente a una amplia gama de amenazas procedentes del correo electrónico.

  • Configuración: Le ayudamos a configurar sus registros SPF, DKIM y DMARC, para garantizar que sean válidos y no contengan errores a través de los servicios alojados.

  • Configuración: En cuanto te registres en nuestra prueba DMARC te ayudamos a configurar tu panel DMARC, y obtienes visibilidad en 72 horas.

  • Supervisión: Supervisamos los incidentes de seguridad en el tráfico de correo electrónico 24X7 y controlamos las fuentes de envío legítimas con alertas, informes y acciones de respuesta.

  • Informes: Los informes diarios agregados (RUA) y forenses (RUF) le ayudan a realizar un seguimiento de todos los correos electrónicos que están pasando y fallando DMARC desde sus dominios.

  • Cumplimiento: Le ayudamos a pasar a la aplicación de DMARC (p=rechazar/cuarentena) de forma segura y en un tiempo récord.

  • PowerSPF: Le permitimos mantenerse siempre por debajo del límite de 10 búsquedas DNS y actualizado sobre cualquier cambio realizado por sus ESPs en tiempo real.

  • Últimos protocolos de autenticación: Utilizamos las últimas técnicas de autenticación de correo electrónico, como MTA-STS, TLS-RPT y BIMI, junto con los protocolos estándar, para mitigar eficazmente todos los desafíos inminentes en la seguridad y autenticación del correo electrónico.

  • Servicios de seguridad gestionados: Plataforma preparada para MSP/MSSP con un servicio de asistencia dedicado para respaldar los esfuerzos de implantación de DMARC de su empresa y supervisar la salud de la autenticación del correo electrónico de su dominio y la seguridad de sus usuarios.

Unamos nuestras fuerzas para aumentar el índice de adopción de DMARC y reforzar la infraestructura de seguridad del correo electrónico en las empresas de Arabia Saudí. Póngase en contacto con nosotros en [email protected] para saber cómo podemos ayudarle a proteger su dominio y su empresa hoy mismo.

correo electrónico seguro powerdmarc¿Está preparado para evitar el abuso de la marca, las estafas y obtener una visión completa de su canal de correo electrónico?