El sector sanitario es el más vulnerable de Ecuador, ya que solo el 4,4 % de los dominios aplican DMARC con el valor «p=reject» y el 47,8 % carece por completo de un registro DMARC. Dada la ausencia total de adopción de MTA-STS, los datos confidenciales de los pacientes y las comunicaciones internas están muy expuestos a ataques de suplantación de identidad, phishing e interceptación.
El sector financiero lidera en Ecuador la aplicación del protocolo DMARC, con un 43,7 % de mensajes rechazados, pero esta fortaleza se ve contrarrestada por una brecha del 97,2 % en MTA-STS, lo que deja el tráfico de correo electrónico en gran parte sin cifrar. Esto supone un riesgo crítico para las transferencias bancarias, las comunicaciones SWIFT y las transacciones de los clientes, en las que los ataques de interceptación pueden eludir la autenticación.
Los dominios gubernamentales muestran una elevada adopción del SPF (100 %), pero solo el 14,3 % aplica DMARC con el valor p=reject, mientras que muchos permanecen en modo de supervisión o cuarentena. Si a esto le sumamos la escasa adopción de MTA-STS, los atacantes pueden suplantar comunicaciones oficiales y aprovecharse de la confianza del público.
Las instituciones educativas mantienen un nivel relativamente alto de adopción de SPF, con un 93,9 %, pero solo el 22,5 % aplica DMARC, y una gran parte de ellas sigue en modo de supervisión. Dado que la adopción de MTA-STS es del 0 %, las credenciales de los estudiantes, los datos de investigación y las comunicaciones internas siguen siendo vulnerables al phishing y a la filtración de datos.
El sector de los medios de comunicación es uno de los más vulnerables, ya que solo el 6,5 % de los dominios aplican DMARC y el 46,8 % carece de cualquier registro DMARC. Sin esta aplicación, los atacantes pueden suplantar fácilmente la identidad de fuentes de noticias fiables para difundir desinformación o llevar a cabo campañas de phishing a gran escala.
Los proveedores de telecomunicaciones se enfrentan a riesgos constantes derivados del fraude en la facturación y los intentos de apropiación de cuentas. Aunque el 26,1 % de los dominios aplican DMARC, una parte significativa sigue en modo de supervisión, y la ausencia total de adopción de MTA-STS deja las comunicaciones con los clientes expuestas a la interceptación y la suplantación de identidad.