Business Email Compromise o BEC es una forma de violación de la seguridad del correo electrónico o ataque de suplantación de identidad que afecta a organizaciones comerciales, gubernamentales, sin ánimo de lucro, pequeñas empresas y startups, así como a multinacionales y empresas, para extraer datos confidenciales que pueden influir negativamente en la marca u organización. Los ataques de spear phishing, las estafas de facturas y los ataques de suplantación de identidad son ejemplos de BEC.
Los ciberdelincuentes son expertos en maquinar y dirigirse intencionadamente a personas concretas dentro de una organización, especialmente a las que ocupan puestos de autoridad como el director general o alguien similar, o incluso a un cliente de confianza. El impacto financiero mundial debido a BEC es enorme, especialmente en los Estados Unidos, que se ha convertido en el principal centro. Lea más sobre el volumen mundial de estafas BEC. ¿La solución? Cambiar a DMARC.
¿Qué es DMARC?
Domain-based Message Authentication, Reporting and Conformance (DMARC) es un estándar del sector para la autenticación del correo electrónico. Este mecanismo de autenticación especifica a los servidores receptores cómo responder a los correos electrónicos que no superan las comprobaciones de autenticación SPF y DKIM. DMARC puede minimizar las posibilidades de que su marca caiga presa de ataques BEC en un porcentaje sustancial, y ayudar a proteger la reputación, la información confidencial y los activos financieros de su marca.
Tenga en cuenta que antes de publicar un registro DMARC, debe implementar SPF y DKIM para su dominio, ya que la autenticación DMARC hace uso de estos dos protocolos de autenticación estándar para validar los mensajes enviados en nombre de su dominio.
Puede utilizar nuestro generador de registros SPF y nuestro generador de registros DKIM gratuitos para generar registros que se publicarán en las DNS de su dominio.
¿Cómo optimizar su registro DMARC para protegerse contra BEC?
Para proteger su dominio contra el Business Email Compromise, así como para habilitar un amplio mecanismo de informes para supervisar los resultados de la autenticación y obtener una visibilidad completa de su ecosistema de correo electrónico, le recomendamos que publique la siguiente sintaxis de registro DMARC en el DNS de su dominio:
v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
Comprender las etiquetas utilizadas al generar un registro DMARC:
v (obligatorio) | Este mecanismo especifica la versión del protocolo. |
p (obligatorio) | Este mecanismo especifica el Política DMARC en uso. Puede configurar su política DMARC para:
p=none (DMARC sólo en supervisión, por lo que los correos electrónicos que no superen las comprobaciones de autenticación seguirán llegando a las bandejas de entrada de los destinatarios). p=quarantine (DMARC en aplicación, por lo que los correos electrónicos que no superen las comprobaciones de autenticación se pondrán en cuarentena o se enviarán a la carpeta de correo no deseado). p=reject (DMARC al máximo, en el que los correos electrónicos que no superen las comprobaciones de autenticación se descartarán o no se entregarán). Para los principiantes en la autenticación, se recomienda comenzar con su política en la supervisión solamente (p=none) y luego cambiar lentamente a la aplicación.Sin embargo, para el propósito de este blog si usted quiere salvaguardar su dominio contra BEC, p=reject es la política recomendada para usted para asegurar la máxima protección. |
sp (opcional) | Esta etiqueta especifica la política de subdominios que puede establecerse como sp=none/quarantine/reject solicitando una política para todos los subdominios en los que los correos electrónicos están fallando la autenticación DMARC.
Esta etiqueta sólo es útil si desea establecer una política diferente para su dominio principal y sus subdominios. Si no se especifica, se aplicará la misma política a todos los subdominios por defecto. |
adkim (opcional) | Este mecanismo especifica el modo de alineación del identificador DKIM, que puede establecerse como s (estricto) o r (relajado).
La alineación estricta especifica que el campo d= de la firma DKIM de la cabecera del correo electrónico debe alinearse y coincidir exactamente con el dominio que se encuentra en la cabecera del remitente. Sin embargo, para la alineación relajada, los dos dominios deben compartir únicamente el mismo dominio organizativo. |
aspf (opcional) | Este mecanismo especifica el modo de alineación del identificador SPF, que puede establecerse como s (estricto) o r (relajado).
La alineación estricta especifica que el dominio en la cabecera "Return-path" debe alinearse y coincidir exactamente con el dominio que se encuentra en la cabecera from. Sin embargo, para la alineación relajada, los dos dominios deben compartir únicamente el mismo dominio organizativo. |
rua (opcional pero recomendada) | Esta etiqueta especifica los informes agregados de DMARC que se envían a la dirección especificada después del campo mailto:, proporcionando información sobre los correos electrónicos que pasan y no pasan el DMARC. |
ruf (opcional pero recomendado) | Esta etiqueta especifica los informes forenses DMARC que se enviarán a la dirección especificada después del campo mailto:. Los informes forenses son informes a nivel de mensaje que proporcionan información más detallada sobre los fallos de autenticación. Dado que estos informes pueden contener contenido de correo electrónico, cifrarlos es la mejor práctica. |
pct (opcional) | Esta etiqueta especifica el porcentaje de correos electrónicos a los que se aplica la política DMARC. El valor predeterminado es 100. |
fo (opcional pero recomendado) | Las opciones forenses para su registro DMARC se pueden configurar:
->DKIM y SPF no pasan o se alinean (0) ->DKIM o SPF no pasan o se alinean (1) ->DKIM no pasa ni se alinea (d) ->SPF no pasa o se alinea (s) El modo recomendado es fo=1, que especifica que los informes forenses deben generarse y enviarse a su dominio siempre que los correos electrónicos no superen las comprobaciones de autenticación DKIM o SPF. |
Puede generar su registro DMARC con el generador de registros DMARC gratuito de PowerDMARC, en el que puede seleccionar los campos según el nivel de cumplimiento que desee.
Tenga en cuenta que sólo una política de aplicación de rechazo puede minimizar el BEC, y proteger su dominio de los ataques de spoofing y phishing.
Aunque DMARC puede ser un estándar eficaz para proteger su empresa contra BEC, implementarlo correctamente requiere esfuerzo y recursos. Tanto si es un principiante como un aficionado a la autenticación, como pioneros en autenticación de correo electrónico, PowerDMARC es una plataforma SaaS de autenticación de correo electrónico que combina todas las mejores prácticas de autenticación de correo electrónico, como DMARC, SPF, DKIM, BIMI, MTA-STS y TLS-RPT, bajo el mismo techo para usted. Le ayudamos:
- Pasar de la vigilancia a la aplicación de la ley en un abrir y cerrar de ojos para mantener a raya a la BEC
- Nuestros informes agregados se generan en forma de gráficos y tablas simplificadas para ayudarle a entenderlos fácilmente sin tener que leer complejos archivos XML
- Ciframos sus informes forenses para salvaguardar la privacidad de su información
- Vea los resultados de la autenticación en 7 formatos diferentes (por resultado, por fuente de envío, por organización, por host, estadísticas detalladas, informes de geolocalización, por país) en nuestro panel de control de fácil uso para una experiencia óptima del usuario
- Obtenga el 100% de cumplimiento de DMARC alineando sus correos electrónicos con SPF y DKIM para que los correos electrónicos que no cumplan con cualquiera de los puntos de verificación de autenticación no lleguen a las bandejas de entrada de sus receptores
¿Cómo protege DMARC contra BEC?
En cuanto configure su política DMARC al máximo nivel de aplicación (p=reject), DMARC protegerá su marca del fraude por correo electrónico reduciendo la posibilidad de ataques de suplantación de identidad y abuso de dominio. Todos los mensajes entrantes se validan con comprobaciones de autenticación de correo electrónico SPF y DKIM para garantizar que proceden de fuentes válidas.
El SPF está presente en su DNS como un registro TXT, mostrando todas las fuentes válidas que están autorizadas a enviar correos electrónicos desde su dominio. El servidor de correo del receptor valida el correo electrónico contra su registro SPF para autenticarlo. DKIM asigna una firma criptográfica, creada mediante una clave privada, para validar los correos electrónicos en el servidor receptor, en el que el receptor puede recuperar la clave pública del DNS del remitente para autenticar los mensajes.
Con su política de rechazo, los correos electrónicos no se entregan al buzón de su destinatario en absoluto cuando las comprobaciones de autenticación fallan, lo que indica que su marca está siendo suplantada. En última instancia, esto mantiene a raya los ataques de BEC, como la suplantación de identidad y el phishing.
Plan básico de PowerDMARC para pequeñas empresas
Nuestro plan básico parte de sólo 8 USD al mes, por lo que las pequeñas empresas y las startups que intentan adoptar protocolos seguros como DMARC pueden disponer de él fácilmente. Las ventajas que tendrás a tu disposición con este plan son las siguientes:
- Ahorre un 20% en su plan anual
- Hasta 2.000.000 de correos electrónicos compatibles con DMARC
- Hasta 5 dominios
- Historial de datos de 1 año
- 2 Usuarios de la plataforma
- BIMI alojado
- MTA-STS alojado
- TLS-RPT
Regístreseen PowerDMARC hoy mismo y proteja el dominio de su marca minimizando las posibilidades de que el correo electrónico de las empresas se vea comprometido y el fraude por correo electrónico.
- El auge de las estafas de pretexto en los ataques de phishing mejorados - 15 de enero de 2025
- DMARC será obligatorio para el sector de las tarjetas de pago a partir de 2025 - 12 de enero de 2025
- Cambios de NCSC Mail Check y su impacto en la seguridad del correo electrónico del sector público británico - 11 de enero de 2025