Fecha de análisis: 20/05/2024

Adopción de DMARC y MTA-STS en Suiza: Informe 2024

La autenticación del correo electrónico ha surgido como un actor de vanguardia en la seguridad del correo electrónico en 2024. Los principales proveedores de servicios de correo electrónico y buzones de entrada, como Google y Yahoo, han actualizado recientemente sus requisitos obligatorios para los remitentes, haciendo obligatoria la implementación de la autenticación del correo electrónico tanto para los correos electrónicos promocionales como para los no promocionales. Pero, ¿a qué se debe esta repentina revolución? 

El fraude por correo electrónico va en aumento. Los ataques de suplantación de identidad (phishing) y falsificación de identidad (spoofing) son más frecuentes que nunca. 3.400 millones de correos electrónicos fraudulentos que los ciberdelincuentes envían cada día. Para protegerse a sí mismo y a sus clientes de los correos electrónicos maliciosos, la autenticación es imprescindible.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un protocolo de autenticación de correo electrónico diseñado para ofrecer a los propietarios de dominios de correo electrónico la posibilidad de proteger su dominio frente al uso no autorizado, la suplantación de identidad y los ataques de phishing. Puede configurar su política DMARC para rechazar correos electrónicos no autorizados e incluso activar la generación de informes para obtener visibilidad sobre los canales de correo electrónico, las fuentes de envío y los resultados de autenticación. 

El protocolo MTA-STS (Mail Transfer Agent Strict Transport Security) está diseñado para mejorar la seguridad de las comunicaciones por correo electrónico al imponer el uso de Transport Layer Security (TLS) durante la transmisión del correo electrónico. Ayuda a proteger el tráfico de correo electrónico de escuchas pasivas y ataques activos de intermediario.

Reserve una demostración Descargar PDF

Evaluación del panorama de las amenazas

Suiza dmarc

Con el aumento global de las amenazas basadas en el correo electrónico, Suiza está cada vez más amenazada. El rápido avance de la tecnología, especialmente con la introducción de la IA, ha aumentado el potencial de la ciberdelincuencia en todo el mundo. Estas innovaciones tecnológicas, aunque beneficiosas en muchos aspectos, también han creado nuevas vulnerabilidades que los ciberdelincuentes se apresuran a explotar. 

Suiza, al igual que otros países, está experimentando un aumento significativo de las amenazas cibernéticas, por lo que es importante que las organizaciones y los gobiernos refuercen su postura de ciberseguridad. Las organizaciones deben adoptar un enfoque proactivo para salvaguardar la información confidencial y mantener la autenticidad de las comunicaciones por correo electrónico.

Según un artículo publicado en Swissinfo.ch, en 2023 la oficina federal gestionó 187.000 denuncias a través del sitio web antiphishing.ch y desmontó 8.223 sitios web de phishing en Suiza.

Además, el Centro Nacional Suizo de Ciberseguridad (NCSC) Informe antiphishing 2023 analizó más de 10.000 sitios web de phishing que suplantan nombres de marca, de los cuales más del 60% resultaron ser marcas suizas. El NCSC evidenció cómo la ciberdelincuencia casi se duplicó en Suiza entre 2022 y 2023, lo que supone un importante motivo de alarma.

En nuestro Informe sobre la adopción de DMARC y la autenticación del correo electrónico en Suiza para 2024, abordaremos las siguientes preocupaciones principales:

  • ¿Cuál es la situación actual de la adopción y aplicación de SPF y DMARC en las organizaciones de Suiza?

  • ¿Cuál es la situación actual de la adopción del MTA-STS entre las organizaciones de Suiza?

  • ¿Cuál es el índice de habilitación de DNSSEC entre las organizaciones suizas?

  • ¿Cómo podemos mejorar la infraestructura de ciberseguridad y autenticación del correo electrónico en Suiza para prevenir los ataques de suplantación de identidad?

  • ¿Qué sectores industriales de Suiza son los más vulnerables a la suplantación de identidad por correo electrónico y otros ciberataques?

  • ¿Cómo pueden las organizaciones mitigar las amenazas basadas en el correo electrónico?

Para conocer mejor el escenario actual, analizamos 1103 dominios pertenecientes a las principales empresas y organizaciones de Suiza, de los siguientes sectores:

  • Fitness

  • Salud

  • Medios de comunicación

  • Gobierno

  • Telecomunicaciones

  • Bolsa de trabajo

  • Transporte

  • Empresas varias

  • Educación

¿Qué dicen las cifras?

Se llevó a cabo un análisis en profundidad de la adopción de SPF, DMARC, MTA-STS y DNSSEC al examinar los 1103 dominios suizos, que condujo a las siguientes revelaciones:

Análisis de la adopción del SPF en los dominios suizos

Logotipo BIMI

Análisis de la adopción de DMARC en los dominios suizos

Logotipo BIMI

Análisis de la adopción del MTA-STS en los dominios suizos

Logotipo BIMI

Análisis de la adopción de DNSSEC en los dominios suizos

Logotipo BIMI

Análisis gráfico: De los 1103 dominios examinados que pertenecen a diversas organizaciones en Suiza, 730 dominios (66,2%) poseían registros SPF correctos, mientras que 351 dominios (31,8%) lamentablemente no tenían ningún registro SPF. 487 dominios (44,2%) tenían registros DMARC correctos, mientras que 6 de los dominios (0,5%) tenían registros DMARC que contenían errores. En la gran mayoría de los dominios (610 dominios, es decir, el 55,3%) no se encontró ningún registro DMARC. En 264 dominios la política DMARC estaba configurada como ninguna (23,9%), lo que sólo permitía la supervisión, mientras que en 117 dominios (10,7%) la política DMARC estaba configurada como cuarentena y en 106 dominios (9,6%) la política DMARC estaba configurada como máxima aplicación (es decir, p=rechazar).

Análisis sectorial de los dominios en Suiza

Sector del fitness

Análisis de la adopción del SPF en el sector del fitness suizo

Logotipo BIMI

Análisis de la adopción de DMARC en el sector del fitness suizo

Logotipo BIMI

Análisis de la adopción del MTA-STS en el sector del fitness suizo

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector del fitness suizo

Logotipo BIMI

Principales resultados

  • Todos los dominios examinados (100%) tenían registros SPF correctos
  • Todos los dominios tenían su política DMARC configurada en p=none, lo que no ofrecía ninguna protección.
  • MTA-STS y DNSSEC no se implantaron en ninguno de los dominios del sector del fitness.

Sector sanitario

Análisis de la adopción del PPS en el sector sanitario suizo

Logotipo BIMI

Análisis de la adopción de DMARC en el sector sanitario suizo

Logotipo BIMI

Análisis de la adopción de MTA-STS en el sector sanitario suizo

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector sanitario suizo

Logotipo BIMI

Principales resultados

  • El 34,8% de los dominios no tenían registro SPF 
  • El 23,8% de los dominios tenían su política DMARC establecida en p=none
  • No se encontró ningún registro DMARC en el 59,7% de los dominios.
  • Ninguno de los ámbitos del sector sanitario suizo tenía implantado el MTA-STS
  • DNSSEC estaba desactivado en el 81,2% de los dominios

Sector de los medios de comunicación

Análisis de la adopción del PPS en el sector suizo de los medios de comunicación

Logotipo BIMI

Análisis de la adopción de DMARC en el sector suizo de los medios de comunicación

Logotipo BIMI

Análisis de la adopción de MTA-STS en el sector suizo de los medios de comunicación

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector suizo de los medios de comunicación

Logotipo BIMI

Principales resultados

  • El 48,6% de los dominios no tenían registro SPF 
  • El 27,0% de los dominios tenían su política DMARC establecida en p=none
  • No se ha encontrado ningún registro DMARC en el 65,0% de los dominios. 
  • MTA-STS no estaba habilitado para ninguno de los dominios examinados. 
  • DNSSEC estaba desactivado para el 91,9% de los dominios

Sector público

Análisis de la adopción del PPS en el sector público suizo

Logotipo BIMI

Análisis de la adopción de DMARC en el sector público suizo

Logotipo BIMI

Análisis de la adopción de MTA-STS en el sector público suizo

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector público suizo

Logotipo BIMI

Principales resultados

  • El 10% de los dominios no tenían registro SPF 
  • El 27,1% de los dominios tenían su política DMARC establecida en p=none
  • No se ha encontrado ningún registro DMARC en el 51,4% de los dominios. 
  • El 97,1% de los dominios no tenían MTA-STS implementado. 
  • DNSSEC también estaba desactivado en el 87,1% de los dominios de este sector.

Sector de las telecomunicaciones

Análisis de la adopción del PPS en el sector suizo de las telecomunicaciones

Logotipo BIMI

Análisis de la adopción de DMARC en el sector suizo de las telecomunicaciones

Logotipo BIMI

Análisis de la adopción del MTA-STS en el sector suizo de las telecomunicaciones

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector suizo de las telecomunicaciones

Logotipo BIMI

Principales resultados

  • 35,9% de los dominios no tienen registro SPF 
  • El 16,6% de los dominios tenían su política DMARC establecida en p=none
  • No se encontró ningún registro DMARC en el 60,8% de los dominios. 
  • El 99,5% de los dominios no tenían implantado el MTA-STS
  • El 80,6% de los dominios tenían DNSSEC desactivado

Bolsas de trabajo

Análisis de la adopción del PPS en el sector suizo de los portales de empleo

Logotipo BIMI

Análisis de la adopción de DMARC en el sector suizo de los portales de empleo

Logotipo BIMI

Análisis de la adopción de MTA-STS en el sector suizo de los portales de empleo

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector suizo de los portales de empleo

Logotipo BIMI

Principales resultados

  • Todos los dominios examinados en el sector de las bolsas de empleo suizas tenían habilitado el SPF
  • El 33,3% de los dominios tenían su política DMARC establecida en p=none
  • No se encontró ningún registro DMARC en el 33,3% de los dominios. 
  • MTA-STS no estaba habilitado para ninguno de los dominios de este sector
  • DNSSEC estaba desactivado en el 33,3% de los dominios

Sector del transporte

Análisis de la adopción del PPS en el sector del transporte suizo

Logotipo BIMI

Análisis de la adopción de DMARC en el sector del transporte suizo

Logotipo BIMI

Análisis de la adopción del MTA-STS en el sector del transporte suizo

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector del transporte suizo

Logotipo BIMI

Principales resultados

  • El 33,1% de los dominios no tenían registro SPF 
  • El 17,7% de los dominios tenían su política DMARC establecida en p=none
  • No se ha encontrado ningún registro DMARC en el 62,9% de los dominios. 
  • El 96% de los dominios no tenían MTA-STS activado 
  • DNSSEC estaba desactivado para el 78,9% de los dominios

Empresas varias

Análisis de la adopción del PPS en el sector suizo de la miscelánea

Logotipo BIMI

Análisis de la adopción de DMARC en el sector suizo de misceláneos

Logotipo BIMI

Análisis de la adopción de MTA-STS en el sector suizo de misceláneos

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector diverso suizo

Logotipo BIMI

Principales resultados

  • El 18,3% de los dominios no tenían registro SPF 
  • El 21,1% de los dominios tenían su política DMARC establecida en p=none
  • No se encontró ningún registro DMARC en el 37,3% de los dominios. 
  • El 97,2% de los dominios no tenían MTA-STS activado, y el 0,7% seguían en modo de prueba.
  • El 90,1% de los dominios tenían DNSSEC desactivado

Sector bancario

Análisis de la adopción del PPS en el sector bancario suizo

Logotipo BIMI

Análisis de la adopción de DMARC en el sector bancario suizo

Logotipo BIMI

Análisis de la adopción de MTA-STS en el sector bancario suizo

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector bancario suizo

Logotipo BIMI

Principales resultados

  • El 11% de los dominios no tenían registro SPF 
  • El 54,9% de los dominios tenían su política DMARC establecida en p=none
  • No se encontró ningún registro DMARC en el 27,5% de los dominios. 
  • El 98,9% del dominio no tenía MTA-STS activado 
  • DNSSEC estaba desactivado en el 82,4% de los dominios de este sector.

Sector de la educación

Análisis de la adopción del PPS en el sector educativo suizo

Logotipo BIMI

Análisis de la adopción de DMARC en el sector educativo suizo

Logotipo BIMI

Análisis de la adopción de MTA-STS en el sector educativo suizo

Logotipo BIMI

Análisis de la adopción de DNSSEC en el sector educativo suizo

Logotipo BIMI

Principales resultados

  • El 49,1% de los dominios no tenían registro SPF 
  • El 20,5% de los dominios tenían su política DMARC establecida en p=none
  • No se encontró ningún registro DMARC en el 64,3% de los dominios. 
  • En ninguno de los ámbitos examinados se había implantado el MTA-STS 
  • DNSSEC también estaba desactivado en el 80,4% de los dominios analizados.

Análisis comparativo de la adopción del PPS en distintos sectores en Suiza

Logotipo BIMI

El índice de adopción del SPF fue el más más bajo en los sectores Educación y medios de comunicación. El mayor tasa de adopción de SPF se observó en los sectores de Suiza Gobierno, Banca, Bolsa de trabajo y Fitness.

Análisis comparativo de la adopción de DMARC entre distintos sectores en Suiza

Logotipo BIMI

Suiza Educación, Medios de Comunicación y Transporte sectores destacan bajos índices de adopción de DMARC. El mayor índice de adopción de DMARC se observó en Fitness y Banca suizos. Un gran porcentaje de organizaciones de todos los sectores tenían "ninguna" política DMARC DMARC.

Análisis comparativo de la adopción del MTA-STS entre distintos sectores en Suiza

Logotipo BIMI

Una media del 89.97%de los 1103 dominios analizados en Suiza no tenían implantado el MTA-STS.

Análisis comparativo de la adopción de DNSSEC entre distintos sectores en Suiza

Suiza dmarc

Una media del 80.69%de los dominios de Suiza entre los 1103 dominios analizados tenían DNSSEC desactivado.

Errores críticos que cometen las organizaciones en Suiza

Después de revisar 1103 dominios de diferentes sectores e industrias en Suiza, identificamos errores significativos que las organizaciones y gobiernos suizos estaban cometiendo y que los dejaban potencialmente vulnerables a los exploits.

  • Faltan registros SPF y DMARC

    Falta de dominios SPF y DMARC corren un mayor riesgo de sufrir ataques de spam, suplantación de identidad y phishing, problemas de entregabilidad del correo electrónico y mala reputación del dominio. Esto se debe a que SPF y DMARC son protocolos de autenticación de correo electrónico que trabajan juntos para garantizar que solo los remitentes autorizados pueden enviar mensajes en nombre de su dominio y los mensajes no autorizados pueden ser potencialmente rechazados (si está en DMARC p=reject).

    Además, Google y Yahoo han actualizado requisitos para remitentes obligan a todos los remitentes a implementar SPF y a los remitentes masivos a activar DMARC. Los dominios que no lo hagan pueden quedar bloqueados al intentar enviar correos electrónicos a las bandejas de entrada de Google y Yahoo.

  • Errores en la configuración de la autenticación del correo electrónico

    En el caso de SPF, los errores de sintaxis más comunes incluyen etiquetas de versión incorrectas, espacios que faltan o sobran, mecanismos incorrectos, modificadores no reconocidos, exceder los límites de caracteres/consultas y omitir el mecanismo `all`. En el caso de DMARC, los errores de sintaxis suelen incluir etiquetas de versión incorrectas (por ejemplo, "v=DMARC1;` es correcto), puntos y comas que faltan o sobran, etiquetas de política incorrectas, etc. Evitar estos errores garantiza una autenticación correcta del correo electrónico.

    Del mismo modo, los errores de sintaxis en su registro MTA-STA o en el archivo de políticas MTA-STS también pueden invalidar sus configuraciones. Por lo tanto, es imperativo garantizar la precisión.

  • Uso de políticas DMARC permisivas o de no acción

    Una política DMARC "none" es una política de no acción. Esto significa que incluso si un mensaje no supera la autenticación DMARC, sigue llegando a la bandeja de entrada del destinatario. Su dominio en p=none no está protegido contra ciberataques. Para reforzar esto, recientemente, Hacker Group Kimsuky lanzó una serie de ataques de phishing explotando dominios que utilizan políticas DMARC permisivas. 

    Empezar con DMARC configurado como "ninguno" ayuda a controlar el tráfico y las actividades del correo electrónico, pero permanecer en este nivel durante demasiado tiempo es ineficaz. Si actualiza su política política DMARC a "cuarentena" o "rechazo", puede protegerse mejor contra la suplantación de dominios.

    Muchas organizaciones suizas tienen actualmente su política DMARC configurada en "ninguna", lo que debilita la seguridad de su dominio. Aprovechando un analizador DMARC puede facilitar una transición suave a una aplicación más estricta, disminuyendo significativamente el riesgo de uso indebido del dominio.

  • Faltan registros MTA-STS y TLS-RPT

    MTA-STS protege los mensajes de correo electrónico SMTP imponiendo la transmisión a través de canales TLS cifrados, lo que impide técnicas de interceptación como los ataques man-in-the-middle. Adoptar MTA-STS aumenta significativamente la seguridad de su correo electrónico. Sin embargo, numerosos dominios en Suiza no han implementado MTA-STS, haciéndolos susceptibles a ataques. Los informes SMTP TLS funcionan junto con MTA-STS ofreciendo información sobre los problemas de entrega de correo electrónico causados por fallos de cifrado TLS.

  • DNSSEC desactivado para dominios

    DNSSEC es una colección de extensiones IETF que ayudan a firmar digitalmente la información compartida en su DNS. Mejora la seguridad de su DNS a través de la autenticación y facilita los intercambios de información protegida en los servidores DNS. DNSSEC puede ayudar a prevenir ciberataques a nivel de DNS, como la suplantación de DNS.

    La mayoría de los dominios suizos pertenecientes a todos los sectores tenían DNSSEC desactivado, lo que dejaba sus DNS vulnerables a la exfiltración y la manipulación.

  • SPF supera el límite máximo de búsqueda

    La RFC especifica los límites de procesamiento de SPF para los propietarios de dominios, indicando que los implementadores de SPF deben mantener su recuento de búsquedas DNS por debajo de 10. Varios mecanismos y modificadores como "include" "ptr" "redirect", etc. aumentan el número de consultas. Sus proveedores de correo electrónico externos también añaden complejidades. Por lo tanto, superar el límite de límite de 10 búsquedas DNS es muy común, rompiendo SPF y devolviendo errores.

    Una parte considerable de los dominios suizos tienen registros SPF no válidos, probablemente debido al problema común de superar el límite de búsqueda del DNS.

  • Múltiples registros DMARC/SPF para el mismo dominio

    Es crucial asegurarse de que cada dominio tiene un único registro SPF y DMARC. Tener varios registros para el mismo dominio invalidará SPF. Este es un error común entre las organizaciones en Suiza, pero puede corregirse. Por lo tanto, es importante evitar configurar varios registros para un mismo dominio.

¿Cómo pueden las organizaciones suizas mejorar la seguridad del correo electrónico?

Suiza dmarc

Para mejorar su postura de seguridad del correo electrónico, las organizaciones y los gobiernos de Suiza pueden tomar las siguientes medidas:

  • Asegúrese de que se mantienen dentro de los límites de longitud de caracteres y búsqueda del SPF.

  • Implemente registros SPF, DMARC y MTA-STS precisos y sin errores.

  • Publique sólo 1 registro SPF y DMARC por dominio

  • Habilitar informes DMARC RUA y RUF para supervisar dominios y fuentes de envío

  • Realice un cambio gradual y planificado de la política DMARC de p=ninguno a p=rechazar para protegerse contra los ataques basados en el correo electrónico.

  • Active MTA-STS y TLS-RPT para garantizar comunicaciones SMTP cifradas mediante TLS.

  • Active DNSSEC para añadir una capa de autenticación y seguridad a su DNS.

  • Permita que BIMI adjunte el logotipo de su marca a los correos electrónicos autenticados y aumente la confianza de los clientes

Cómo podemos ayudarle en este proceso

Garantizar la seguridad de sus correos electrónicos es primordial para organizaciones de todos los tamaños. Somos conscientes de la importancia de proteger sus comunicaciones frente a las ciberamenazas. Por eso ofrecemos un conjunto completo de soluciones de seguridad de correo electrónico y dominios adaptadas a las necesidades de su organización.

  • Paquete completo de autenticación de correo electrónico

    Nuestro equipo proporciona orientación experta en la configuración y gestión de protocolos clave de autenticación de correo electrónico como DMARC, DKIM y SPF. Nos aseguramos de que sus registros no contengan errores y estén optimizados para ofrecer el máximo nivel de seguridad.

  • Servicios alojados de autenticación de correo electrónico

    Ofrecemos una variedad de servicios de autenticación de correo electrónico alojados, incluyendo DMARC alojadoDKIM, SPF, MTA-STS, TLS-RPT y BIMI. Nuestra plataforma nativa en la nube simplifica la configuración y las actualizaciones, eliminando la necesidad de múltiples accesos DNS.

  • Informes inteligentes y sencillos

    Nuestros informes inteligentes y fáciles de usar le mantienen informado sobre el estado de autenticación de su correo electrónico. Con informes diarios informes DMARCla supervisión de su actividad de correo electrónico se convierte en algo sencillo y eficaz. Además, los informes pueden descargarse en formato PDF/CSV para compartirlos con su equipo interno.

  • Asistencia 24 horas al día, 7 días a la semana

    Nuestro equipo de expertos ofrece una asistencia excepcional para ayudarle a realizar la transición sin problemas a la aplicación de DMARC y mejorar el cumplimiento. Vamos más allá para asegurarnos de que pueda sacar el máximo partido a sus protocolos.

  • Registros SPF optimizados

    Puede optimizar sus registros SPF en unos sencillos pasos aprovechando la potencia de las macros SPF en nuestra plataforma. Le ayudamos a mantenerse dentro de los límites de búsqueda DNS y longitud SPF, garantizando que su protocolo SPF funcione correctamente.

  • Supervisión de la reputación

    Controle la reputación de su dominio y aborde los problemas antes de que se conviertan en tales con nuestros servicios de supervisión de la reputación. Hacemos un seguimiento de sus dominios e IP en más de 200 listas de bloqueo de DNS para ayudarle a evitar que se rechacen o marquen los correos electrónicos.

  • Alertas en tiempo real

    Configure alertas personalizadas para mantenerse informado sobre cualquier problema de seguridad del correo electrónico. Reciba notificaciones por correo electrónico, Slack, Discord o alertas de webhook, lo que garantiza la adopción de medidas oportunas para mitigar los riesgos.

  • Asistencia para el cumplimiento de la normativa

    Cumpla con los últimos requisitos de remitentes de correo electrónico y mandatos de conformidad, incluidos los de Google, Yahoo y la próxima normativa PCI-DSS. Le ayudamos a cumplir estos requisitos de forma rápida y sencilla, poniéndole en marcha nuestro programa de cumplimiento.

  • Programas de asociación MSP

    Asóciese con PowerDMARC para obtener servicios de seguridad gestionada adaptados a las necesidades de su organización. Nuestro DMARC MSPDMARC/MSSP y un servicio de asistencia dedicado garantizan una asistencia completa para sus esfuerzos de seguridad del correo electrónico. También ofrecemos oportunidades de marca blanca de plataforma completa a nuestros MSP, materiales de formación dedicados y mucho más.

Unamos nuestras fuerzas para aumentar el índice de adopción de DMARC y reforzar la infraestructura de seguridad del correo electrónico en las empresas de toda Suiza. Póngase en contacto con nosotros en [email protected] para saber cómo podemos ayudarle a proteger su dominio y su empresa hoy mismo.

correo electrónico seguro powerdmarc¿Está preparado para evitar el abuso de la marca, las estafas y obtener una visión completa de su canal de correo electrónico?

Prueba de 15 díasReservar una demostración