Mientras las organizaciones crean fondos benéficos en todo el mundo para luchar contra el Covid-19, se libra otro tipo de batalla en los conductos electrónicos de Internet. Durante la pandemia de coronavirus, miles de personas de todo el mundo han sido víctimas de la suplantación de identidad y las estafas por correo electrónico del Covid-19. Cada vez es más frecuente ver cómo los ciberdelincuentes utilizan nombres de dominio reales de estas organizaciones en sus correos electrónicos para aparentar legitimidad.
En la estafa más reciente relacionada con el coronavirus, se envió a todo el mundo un correo electrónico supuestamente de la Organización Mundial de la Salud (OMS) en el que se solicitaban donativos para el Fondo de Respuesta Solidaria. La dirección del remitente era "donate@who.int", donde "who.int" es el nombre de dominio real de la OMS. Se confirmó que el correo electrónico era una estafa de phishing, pero a primera vista todos los indicios apuntaban a que el remitente era auténtico. Al fin y al cabo, el dominio pertenecía a la verdadera OMS.
Puntos clave
- La suplantación de identidad por correo electrónico y las estafas de phishing han aumentado considerablemente durante la pandemia de Covid-19, dirigiéndose tanto a particulares como a organizaciones.
- El Sender Policy Framework (SPF) y el Domain Keys Identified Mail (DKIM) son esenciales para verificar la autenticidad de los correos electrónicos, pero tienen limitaciones.
- DMARC mejora la seguridad del correo electrónico mediante el uso conjunto de SPF y DKIM y permite a los propietarios de dominios controlar el uso no autorizado del correo electrónico.
- A pesar de la eficacia de DMARC, muchas organizaciones siguen sin implantarlo adecuadamente debido a la preocupación por las dificultades de despliegue y las limitaciones de recursos.
- Se puede fomentar la adopción de DMARC reduciendo las fricciones de implantación, mejorando la utilidad percibida y ofreciendo procesos de implantación simplificados.
Sin embargo, ésta ha sido sólo una de una creciente serie de estafas de phishing que utilizan correos electrónicos relacionados con el coronavirus para robar dinero e información sensible a la gente. Pero si el remitente utiliza un nombre de dominio real, ¿cómo podemos distinguir un correo electrónico legítimo de uno falso? ¿Por qué los ciberdelincuentes pueden emplear con tanta facilidad la suplantación de dominios de correo electrónico en una organización tan grande?
¿Y cómo descubren entidades como la OMS cuándo alguien está utilizando su dominio para lanzar un ataque de phishing?
El correo electrónico es la herramienta de comunicación empresarial más utilizada en el mundo y, sin embargo, es un protocolo completamente abierto. Por sí solo, apenas permite controlar quién envía qué mensajes y desde qué dirección de correo electrónico. Esto se convierte en un gran problema cuando los atacantes se hacen pasar por una marca de confianza o una figura pública, pidiendo a la gente que les dé su dinero e información personal. De hecho, más del 90% de todas las violaciones de datos de empresas en los últimos años han implicado phishing por correo electrónico de una forma u otra. Y la suplantación de dominios de correo electrónico es una de las principales causas.
En un esfuerzo por proteger el correo electrónico, se desarrollaron protocolos como Sender Policy Framework (SPF) y Domain Keys Identified Mail (DKIM). SPF coteja la dirección IP del remitente con una lista aprobada de direcciones IP, y DKIM utiliza una firma digital cifrada para proteger los correos electrónicos. Aunque ambos son eficaces por separado, tienen sus propios defectos. DMARC, desarrollado en 2012, es un protocolo que utiliza la autenticación SPF y DKIM para proteger el correo electrónico, y cuenta con un mecanismo que envía al propietario del dominio un informe cada vez que un correo electrónico no supera la validación DMARC.
Esto significa que el propietario del dominio recibe una notificación cada vez que un tercero no autorizado envía un correo electrónico. Y, lo que es más importante, el propietario del dominio puede indicar al receptor del correo electrónico cómo gestionar el correo no autenticado: enviarlo a la bandeja de entrada, ponerlo en cuarentena o rechazarlo directamente. En teoría, esto debería impedir que el correo basura inunde las bandejas de entrada y reducir el número de ataques de phishing a los que nos enfrentamos. ¿Por qué no lo hace?
¡Simplifique la seguridad con PowerDMARC!
¿Puede DMARC evitar la suplantación de dominios y las estafas por correo electrónico Covid-19?
La autenticación del correo electrónico requiere que los dominios remitentes publiquen sus registros SPF, DKIM y DMARC en DNS. Según un estudio, solo el 44,9 % de los dominios del top 1 de Alexa tenía un registro SPF válido publicado en 2018, y tan solo el 5,1 % tenía un registro DMARC válido. Y esto a pesar de que los dominios sin autenticación DMARC sufren de spoofing casi cuatro veces más que los dominios que están asegurados. Hay una falta de implementación seria de DMARC en todo el panorama empresarial, y no ha mejorado mucho con los años. Incluso organizaciones como UNICEF aún no han implementado DMARC en sus dominios, y tanto la Casa Blanca como el Departamento de Defensa de EE.UU. tienen una política DMARC de p = ninguno, lo que significa que no se están aplicando.
Una encuesta realizada por expertos de Virginia Tech ha sacado a la luz algunas de las preocupaciones más graves citadas por las grandes empresas y negocios que aún no han utilizado la autenticación DMARC:
- Dificultades de despliegue: La aplicación estricta de los protocolos de seguridad suele implicar un alto nivel de coordinación en las grandes instituciones, para el que a menudo no disponen de recursos. Además, muchas organizaciones no tienen mucho control sobre sus DNS, por lo que la publicación de registros DMARC se convierte en un reto aún mayor.
- Los beneficios no compensan los costes: La autenticación DMARC suele tener beneficios directos para el destinatario del correo electrónico y no para el propietario del dominio. La falta de una motivación seria para adoptar el nuevo protocolo ha impedido a muchas empresas incorporar DMARC a sus sistemas.
- Riesgo de romper el sistema existente: La relativa novedad de DMARC hace que sea más propenso a una implementación incorrecta, lo que conlleva el riesgo muy real de que los correos electrónicos legítimos no pasen. Las empresas que dependen de la circulación del correo electrónico no pueden permitirse que esto ocurra, por lo que no se molestan en adoptar DMARC.
¿Por qué necesitamos DMARC?
Aunque las preocupaciones expresadas por las empresas en la encuesta tienen un fundamento obvio, esto no hace que la implantación de DMARC sea menos imperativa para la seguridad del correo electrónico. Cuanto más tiempo sigan funcionando las empresas sin un dominio autenticado por DMARC, más nos expondremos al peligro real de los ataques de phishing por correo electrónico. Como nos han enseñado las estafas de suplantación de identidad por correo electrónico del coronavirus, nadie está a salvo de ser objeto de un ataque o de una suplantación de identidad. Piense en DMARC como en una vacuna: a medida que aumenta el número de personas que lo utilizan, disminuyen drásticamente las posibilidades de contraer una infección.
Existen soluciones reales y viables a este problema que podrían superar las preocupaciones de la gente sobre la adopción de DMARC. Estas son algunas de ellas que podrían impulsar su implantación con creces:
- Reducción de las fricciones en la implantación: El mayor obstáculo para que una empresa adopte DMARC son los costes de implantación asociados. La economía está de capa caída y los recursos son escasos. Por este motivo, PowerDMARC, junto con nuestros socios industriales Global Cyber Alliance (GCA), se enorgullece de anunciar una oferta por tiempo limitado durante la pandemia Covid-19: 3 meses de nuestro paquete completo de aplicaciones, implementación de DMARC y servicios anti-spoofing, completamente gratis. Obtenga su solución DMARC configurada en minutos y comience a supervisar sus correos electrónicos utilizando PowerDMARC ahora.
- Mejora de la utilidad percibida: Para que DMARC tenga un impacto importante en la seguridad del correo electrónico, necesita una masa crítica de usuarios que publiquen sus registros SPF, DKIM y DMARC. Si se recompensa a los dominios autenticados con DMARC con un icono de "confianza" o "verificado" (como ocurre con la promoción de HTTPS entre los sitios web), se puede incentivar a los propietarios de dominios para que consigan una reputación positiva para su dominio. Una vez que esta alcance un determinado umbral, los dominios protegidos por DMARC serán vistos con mejores ojos que los que no lo están.
- Despliegue simplificado: Al facilitar el despliegue y la configuración de los protocolos anti-spoofing, más dominios estarán de acuerdo con la autenticación DMARC. Una forma de conseguirlo es permitir que el protocolo se ejecute en un "modo de supervisión" que permita a los administradores de correo electrónico evaluar el impacto que tiene en sus sistemas antes de proceder a una implantación completa.
Cada nuevo invento trae consigo nuevos retos. Cada nuevo reto nos obliga a encontrar una nueva forma de superarlo. DMARC existe desde hace algunos años, pero el phishing existe desde hace mucho más tiempo. En las últimas semanas, la pandemia Covid-19 no ha hecho sino darle un nuevo rostro. En PowerDMARC, estamos aquí para ayudarle a afrontar este nuevo reto. Regístrese aquí para obtener su analizador DMARC gratuito, para que mientras usted permanece en casa a salvo del coronavirus, su dominio esté a salvo de la suplantación de identidad del correo electrónico.
- Microsoft refuerza las reglas de remitentes de correo electrónico: Actualizaciones clave que no debe perderse - 3 de abril de 2025
- Configuración de DKIM: Guía paso a paso para configurar DKIM para la seguridad del correo electrónico (2025) - 31 de marzo de 2025
- PowerDMARC reconocido como líder de red para DMARC en G2 Spring Reports 2025 - 26 de marzo de 2025