Archivo de etiquetas para: Suplantación de dominio

Comprender la suplantación de dominios y cómo protegerse

La suplantación de dominios es una de las amenazas de ciberseguridad más comunes y graves que penetran profundamente en el ecosistema digital de una organización para robar información confidencial, interrumpir las operaciones y manchar la reputación de la empresa. Es una forma insidiosa de ataque de phishing que consiste en suplantar un dominio para engañar a usuarios desprevenidos haciéndoles creer que están interactuando con una entidad legítima.

Es innegable que estos ataques tienen un impacto de gran alcance en las empresas, pero también pueden suponer una amenaza significativa para la seguridad nacional. Reconociendo la gravedad de la suplantación de dominios en el mundo interconectado de hoy, la Oficina Federal de Investigación (FBI) y la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) emitieron un anuncio en 2020 para ayudar al público a reconocer y evitar los dominios de Internet falsificados relacionados con las elecciones.

En este artículo, profundizaremos en qué es la suplantación de dominios, sus diversas manifestaciones y cómo garantizar una protección completa contra la suplantación de dominios para salvaguardar su infraestructura de TI. 

¿Qué es la suplantación de dominio?

Una técnica clásica para comprometer la seguridad del objetivo es la suplantación de dominio. Este tipo de ataque suele ejecutarse a través de dos canales: sitios web o correo electrónico. Aprovechando la naturaleza intrínseca humana de la confianza, los actores de la amenaza crean un sitio web falso o un correo electrónico que se asemeja mucho a un nombre de confianza o reputación para engañar a sus usuarios y hacer que divulguen información privada, instalen malwareo transferir dinero a una cuenta fraudulenta.

¿Cómo funciona la suplantación de dominios?

Hoy en día, los ciberataques son cada vez más matizados y sofisticados en su enfoque, pero la premisa subyacente sigue siendo la misma: explotar las vulnerabilidades con un motivo oculto. Fundamentalmente, la suplantación de dominio funciona aprovechando las vulnerabilidades del Sistema de Nombres de Dominio (DNS) para engañar a los usuarios y hacerles interactuar con contenido malicioso. A continuación se explica cómo funciona un ataque de suplantación de dominio:

Homoglifos

Una de las formas más frecuentes de desplegar ataques de suplantación de identidad consiste en incorporar homoglifos en el dominio falsificado. Los homoglifos son caracteres que parecen similares a primera vista pero que tienen diferentes puntos de código Unicode. Por ejemplo, el atacante podría sustituir un carácter como "o" por "ο" (letra griega omicron) en el dominio para crear una URL de aspecto sorprendentemente similar a la auténtica, pero que llevaría a un sitio web diferente. Cuando el usuario despistado hace clic en esos enlaces, es conducido a un sitio web fraudulento, diseñado para comprometer sus defensas de seguridad. 

Suplantación de subdominios

En este tipo de ataque de suplantación de dominio, el actor de la amenaza abusa de la confianza de un dominio reconocible para crear un subdominio como "login" o "secure", algo que se parece al de una entidad legítima. Esta táctica engañosa induce a las víctimas a introducir sus credenciales de inicio de sesión o a interactuar con el subdominio malicioso, lo que permite el acceso no autorizado a sus datos o cuentas confidenciales. 

Typosquatting

Typosquatting es una técnica común de phishing que consiste en registrar un dominio similar a uno popular, pero con errores tipográficos como letras sustituidas, palabras mal escritas o caracteres añadidos, todo ello fuera del alcance de la víctima. El objetivo de estos dominios es dirigir a los usuarios a sitios web fraudulentos para conseguir sus nefastos objetivos. Estas estrategias no sólo comprometen la seguridad de la información sensible, sino que también dañan la reputación de las empresas legítimas.

¿Cuáles son algunos ejemplos comunes de suplantación de dominio?

Ahora que ya sabe que los ataques de suplantación de dominio aprovechan el error humano, la tendencia a confiar y ciertos enfoques estratégicos para lograr objetivos maliciosos, echemos un vistazo a algunos de los ejemplos de suplantación de dominio más frecuentes que plagan el panorama de la ciberseguridad:

Falsificación del correo electrónico

El correo electrónico es uno de los canales de comunicación más utilizados por las empresas, y las amenazas aprovechan las vulnerabilidades de esta vía para suplantar dominios de correo electrónico. En este caso, los autores se hacen pasar por un remitente de confianza mediante la creación de un campo "de" falsificado, utilizando un dominio de nivel superior (TLD) diferente. dominio de nivel superior (TLD)o falsificando el logotipo de la marca y otros colaterales.

Suplantación de sitios web 

Siguiendo una estrategia similar a la suplantación de dominios de correo electrónico, los atacantes abusan del dominio de una marca reputada para crear un sitio web falsificado. Esta táctica engañosa se ejecuta con la intención de engañar a los usuarios haciéndoles creer que están interactuando con un sitio legítimo y se realiza imitando detalles definitorios, como logotipos, esquemas de color, diseño, etc. Para garantizar la autenticidad y una huella digital única, muchas empresas recurren a agencias de diseño web que elaboran sitios web distintivos y originales, haciéndolos menos susceptibles a estos intentos de imitación.

¿Qué aspecto tiene un correo electrónico de suplantación de dominio?

Los expertos en ciberseguridad han observado que el correo electrónico sigue siendo una de las principales vulnerabilidades explotadas por los ciberdelincuentes, que a menudo recurren al uso de dominios de correo electrónico falsos como estrategia preferida. Lo que hace que sea una de las principales opciones entre los actores de amenazas es el alcance del engaño que estos correos electrónicos pueden lograr mediante la ingeniería de tácticas sutiles. 

El correo electrónico hostil no se limita a la suplantación de dominios de correo electrónico, sino que también abarca estratagemas más sofisticadas. Estos correos creados de forma ingeniosa incluyen un encabezado que se asemeja mucho al auténtico, un asunto relevante o pegadizo que crea una sensación de urgencia, elementos visuales meticulosamente falsificados y un contenido bien estructurado. Todos estos elementos crean una falsa sensación de credibilidad y atraen a las víctimas para que revelen sus credenciales, descarguen malware o interrumpan las operaciones comerciales. 

¿Es fácil falsificar un dominio?

Con más de 300.000 millones de correos electrónicos enviados al día, no es de extrañar que la suplantación de un dominio de correo electrónico sea más frecuente que nunca. Aunque hay muchas razones que explican esta asombrosa cifra, la más palpable es la falta de una autenticación completa del correo electrónico. autenticación del correo electrónico.

De hecho, según el informe de PowerDMARC de PowerDMARCde 961 dominios analizados, la mayoría de ellos carecía de las implementaciones de autenticación de correo electrónico necesarias para la protección contra ataques de suplantación de identidad. A medida que la brecha entre el número de correos electrónicos enviados al día y el despliegue de prácticas de autenticación robustas continúa ampliándose, contribuye a la facilidad de la suplantación de dominios.

¿Cómo evitar la suplantación de dominios?

Para protegerse contra los ataques de suplantación de dominio, las organizaciones y los usuarios deben tomar las siguientes precauciones:

Pase el ratón por encima de la URL antes de hacer clic

Una forma sencilla de evitar ser presa de estos ataques es pasar el ratón por encima de una URL incrustada para inspeccionar sus componentes y confirmar su autenticidad. De este modo, podrá detectar cualquier discrepancia significativa y hacerse una idea de la credibilidad del enlace de destino. 

Activar la autenticación de dos factores 

Para mejorar las medidas de seguridad, se recomienda activar la autenticación de dos factores. Esta capa adicional de protección mantendrá a los piratas informáticos fuera de su cuenta y garantizará que solo los usuarios autorizados tengan acceso a su información confidencial.

Implantar protocolos de autenticación de correo electrónico

Mediante la aplicación de protocolos de autenticación de correo electrónico como SPF, DKIMy DMARCpuede reforzar las defensas de su organización y evitar que los piratas informáticos invadan su infraestructura digital. Estos protocolos funcionan conjuntamente para verificar la legitimidad del remitente y mitigar los riesgos asociados a los ataques de phishing y la suplantación de dominios.

Concienciar a los empleados

Es crucial comprender que la responsabilidad de mantener una postura de ciberseguridad sólida no es responsabilidad exclusiva del equipo de seguridad, sino también de todos los miembros de la organización. Por lo tanto, las empresas deben ofrecer a sus empleados una formación completa de concienciación sobre la seguridad para ayudarles a reconocer los intentos de phishing y otras formas de ingeniería social.

Conclusión 

La suplantación de dominios es un reto persistente para la mayoría de los equipos de seguridad y, aunque no existe una solución milagrosa para defenderse de estos ataques, seguir un enfoque estratégico puede ayudar a las organizaciones a crear un entorno digital más seguro. En PowerDMARC, damos prioridad a su seguridad y trabajamos para salvaguardar sus activos informáticos. 

Si está buscando una solución fiable para proteger sus correos electrónicos de ataques de phishing e intentos de suplantación de identidad, PowerDMARC es su solución. Ofrecemos una amplia gama de servicios que pueden ayudarle a proteger su dominio de correo electrónico y su reputación. Póngase en contacto con nosotros para reservar su demostración DMARC hoy mismo.

suplantación de dominios

/por

¿Cómo mejorar sus defensas contra el phishing y el spoofing?

Los ataques de suplantación de identidad, como el phishing y la suplantación de identidad, pueden tener un impacto dramático en la salud de su dominio y conducir a fallos de autenticación, compromiso del correo electrónico y mucho más. Por ello, debe mejorar sus defensas contra ellos, empezando hoy mismo. Hay varios métodos que puede implementar para asegurarse de que sus correos electrónicos están adecuadamente protegidos contra los ataques de phishing y spoofing. Vamos a hablar de ellos.

Protocolos de autenticación del correo electrónico para evitar ataques de suplantación de identidad

  1. Marco de Políticas de Remitentes (SPF)
    Una buena manera de empezar es desplegando el SPF. Sender Policy Framework, que se basa en el DNS de su nombre de dominio, puede certificar que la IP utilizada para enviar un correo electrónico tiene derecho a hacerlo. Impide el uso fraudulento de su nombre de dominio y evita que terceros se hagan pasar por usted. El protocolo SPF es especialmente eficaz contra los ataques de phishing y spoofing porque suelen aprovecharse de estos errores. Si un servidor de correo declara que ha sido enviado por un servidor de correo cuya dirección IP puede atribuirse a su dominio, en general los sistemas operativos comprobarán dos veces antes de entregar un correo electrónico. De este modo, los servidores de correo que no respetan el SPF son ignorados con éxito. En pocas palabras, el "Protocolo SPF" permite al propietario de un dominio (por ejemplo, bb[email protected]) enviar una autorización a su autoridad DNS.

  2. Correo Identificado con Clave de Dominio (DKIM)
    DomainKeys Identified Mail, o DKIM, es un sistema de autenticación de correo electrónico que utiliza firmas digitales para verificar el origen y el contenido de un mensaje. Se trata de un conjunto de técnicas criptográficas para verificar el origen y el contenido de los mensajes de correo electrónico con el fin de reducir el spam, el phishing y otras formas de correo electrónico malicioso. En concreto, utiliza claves de cifrado privadas compartidas para autenticar al remitente de un determinado mensaje (el aspecto clave aquí es que sólo el destinatario previsto debe estar en posesión de esta clave privada), garantizando que el correo electrónico no pueda ser "suplantado", o representado falsamente por impostores. También permite a un destinatario autorizado detectar cualquier cambio realizado en un mensaje después de su envío; si la organización responsable de validar estas firmas detecta corrupción de datos en un correo electrónico, puede simplemente rechazarlo como falso y notificar a su remitente como tal.

  3. Autenticación, notificación y conformidad de mensajes basada en el dominio (DMARC)
    DMARC existe por varias razones. En primer lugar, DMARC le proporciona una forma de indicar a los servidores de correo qué mensajes son legítimos y cuáles no. En segundo lugar, DMARC le proporciona informes sobre el grado de protección de su dominio frente a los ataques. En tercer lugar, DMARC ayuda a proteger su marca de ser asociada con mensajes que podrían dañar su reputación. DMARC proporciona más protección contra el phishing y la suplantación de identidad, ya que verifica que un mensaje de correo electrónico se ha originado realmente en el dominio del que dice proceder. DMARC también permite a su organización solicitar informes sobre los mensajes que recibe. Estos informes pueden ayudarle a investigar posibles problemas de seguridad y a identificar posibles amenazas, como la infección por malware o los ataques de phishing dirigidos a su organización.

¿Cómo puede PowerDMARC ayudarle a proteger su dominio contra los ataques de phishing y spoofing?

La suite de autenticación de seguridad del correo electrónico de PowerDMARC no sólo le ayuda a incorporar sin problemas sus protocolos SPF, DKIM y DMARC, sino que le proporciona muchas más ventajas adicionales, entre las que se incluyen:

  • Aplanamiento SPF para garantizar que su registro SPF siga siendo válido y esté por debajo del límite duro de 10 búsquedas de SPF
  • BIMI para la identificación visual de los correos electrónicos de su empresa. BIMI garantiza que los correos electrónicos que llegan a sus clientes contienen el logotipo de su marca que puede ser detectado por ellos incluso antes de que abran el mensaje
  • MTA-STS para cifrar sus correos electrónicos en tránsito

Para disfrutar de DMARC gratuitosólo tiene que registrarse y crear una cuenta PowerDMARC sin ningún coste adicional. ¡Comience su viaje de autenticación de correo electrónico con nosotros para una experiencia de correo electrónico más segura!

suplantación de dominios

/por

Así que acaba de llegar al 100% de cumplimiento de DMARC. ¿Y ahora qué?

Muy bien, acabas de pasar por todo el proceso de configuración de DMARC para tu dominio. Has publicado tus registros SPF, DKIM y DMARC, has analizado todos tus informes, has solucionado los problemas de entrega, has aumentado tu nivel de cumplimiento de p=none a cuarentena y finalmente a rechazo. Ya está oficialmente reforzado al 100% con DMARC. Enhorabuena. Ahora sólo tus correos electrónicos llegan a las bandejas de entrada de la gente. Nadie va a suplantar tu marca si puedes evitarlo.

Así que eso es todo, ¿verdad? Tu dominio está asegurado y todos podemos irnos a casa contentos, sabiendo que tus correos electrónicos van a estar seguros. ¿Verdad...?

Bueno, no exactamente. El DMARC es como el ejercicio y la dieta: lo haces durante un tiempo y pierdes un montón de peso y consigues unos abdominales de infarto, y todo va de maravilla. Pero si dejas de hacerlo, todos esos logros que acabas de conseguir van a ir disminuyendo poco a poco, y el riesgo de suplantación de identidad empieza a aparecer de nuevo. Pero no te asustes. Al igual que con la dieta y el ejercicio, ponerse en forma (es decir, llegar al 100% de cumplimiento) es la parte más difícil. Una vez que lo hayas hecho, sólo tienes que mantenerte en ese mismo nivel, lo cual es mucho más fácil.

Bien, basta de analogías, vayamos al grano. Si acabas de implementar y aplicar DMARC en tu dominio, ¿cuál es el siguiente paso? ¿Cómo puede seguir manteniendo su dominio y sus canales de correo electrónico seguros?

Qué hacer después de lograr el cumplimiento de DMARC

La razón número 1 por la que la seguridad del correo electrónico no termina simplemente cuando se alcanza el 100% de cumplimiento es que los patrones de ataque, las estafas de phishing y las fuentes de envío cambian constantemente. Una tendencia popular en estafas de correo electrónico a menudo ni siquiera dura más de un par de meses. Piense en los ataques de ransomware WannaCry en 2018, o incluso algo tan reciente como las estafas de phishing del Coronavirus de la OMS a principios de 2020. No se ven muchos de esos en la naturaleza ahora mismo, ¿verdad?

Los ciberdelincuentes cambian constantemente sus tácticas, y las fuentes de envío malicioso siempre cambian y se multiplican, y no hay mucho que puedas hacer al respecto. Lo que sí puede hacer es preparar a su marca para cualquier posible ciberataque que se le pueda presentar. Y la forma de hacerlo es a través de la monitorización y visibilidad de DMARC .

Incluso después de la aplicación de la ley, debe tener un control total de sus canales de correo electrónico. Eso significa que tienes que saber qué direcciones IP están enviando correos electrónicos a través de tu dominio, dónde estás teniendo problemas con la entrega de correos electrónicos o la autenticación, e identificar y responder a cualquier intento potencial de suplantación de identidad o servidor malicioso que lleve a cabo una campaña de phishing en tu nombre. Cuanto más controle su dominio, mejor lo entenderá. Y, en consecuencia, mejor podrá proteger sus correos electrónicos, sus datos y su marca.

Por qué es tan importante la supervisión de DMARC

Identificar nuevas fuentes de correo
Cuando supervisas tus canales de correo electrónico, no sólo estás comprobando si todo va bien. También vas a buscar nuevas IP que envíen correos electrónicos desde tu dominio. Es posible que tu organización cambie de socios o de proveedores externos cada cierto tiempo, lo que significa que sus IPs pueden llegar a estar autorizadas para enviar correos electrónicos en tu nombre. ¿Es esa nueva fuente de envío uno de sus nuevos proveedores, o es alguien que intenta hacerse pasar por su marca? Si analizas tus informes con regularidad, tendrás una respuesta definitiva a eso.

PowerDMARC le permite ver sus informes DMARC según cada fuente de envío de su dominio.

Entender las nuevas tendencias de abuso de dominios
Como he mencionado antes, los atacantes siempre encuentran nuevas formas de suplantar marcas y engañar a la gente para que les dé datos y dinero. Pero si sólo miras tus informes DMARC una vez cada dos meses, no vas a notar ningún signo revelador de suplantación de identidad. A menos que supervise regularmente el tráfico de correo electrónico en su dominio, no notará tendencias o patrones en la actividad sospechosa, y cuando se vea afectado por un ataque de suplantación de identidad, estará tan despistado como las personas a las que va dirigido el correo electrónico. Y créeme, eso nunca es una buena imagen para tu marca.

Encuentre y ponga en la lista negra las IPs maliciosas
No basta con saber quién está intentando abusar de tu dominio, sino que tienes que acabar con él lo antes posible. Cuando conoces las fuentes de envío, es mucho más fácil localizar una IP infractora y, una vez que la has encontrado, puedes denunciarla a su proveedor de alojamiento y ponerla en la lista negra. De este modo, eliminarás permanentemente esa amenaza específica y evitarás un ataque de spoofing.

Con Power Take Down, puedes encontrar la ubicación de una IP maliciosa, su historial de abusos, y hacer que la retiren.

Control de la capacidadde entrega
Incluso si ha tenido la precaución de hacer que el DMARC se aplique al 100% sin afectar a sus índices de entrega de correo electrónico, es importante garantizar continuamente una alta capacidad de entrega. Después de todo, ¿de qué sirve toda esa seguridad del correo electrónico si ninguno de los mensajes llega a su destino? Al supervisar sus informes de correo electrónico, puede ver cuáles han sido aprobados, fallados o no alineados con DMARC, y descubrir el origen del problema. Sin la supervisión, sería imposible saber si sus correos electrónicos se están entregando, y mucho menos solucionar el problema.

PowerDMARC le da la opción de ver los informes en función de su estado DMARC para que pueda identificar al instante los que no lo han conseguido.

 

Nuestra plataforma de vanguardia ofrece una supervisión de dominios 24×7 e incluso le ofrece un equipo de respuesta de seguridad dedicado que puede gestionar un fallo de seguridad por usted. Más información sobre la asistencia ampliada de PowerDMARC.

suplantación de dominios

/por

El mayor mito sobre la seguridad con Office 365

A primera vista, el paquete Office 365 de Microsoft parece bastante... atractivo, ¿verdad? No solo tienes una gran cantidad de aplicaciones de productividad, almacenamiento en la nube y un servicio de correo electrónico, sino que también estás protegido contra el spam con las propias soluciones de seguridad de correo electrónico de Microsoft. No es de extrañar que sea la solución de correo electrónico empresarial más adoptada, con una cuota de mercado del 54% y más de 155 millones de usuarios activos. Probablemente tú también seas uno de ellos.

Pero si una empresa de ciberseguridad escribe un blog sobre Office 365, tiene que haber algo más, ¿no? Pues sí. Lo hay. Así que vamos a hablar de cuál es exactamente el problema con las opciones de seguridad de Office 365, y por qué realmente necesitas saber sobre esto.

En qué consiste la seguridad de Microsoft Office 365

Antes de hablar de los problemas que conlleva, vamos a quitarnos esto de encima rápidamente: Microsoft Office 365 Advanced Threat Protection (qué palabro) es bastante eficaz en la seguridad básica del correo electrónico. Será capaz de detener los correos electrónicos de spam, el malware y los virus de hacer su camino en su bandeja de entrada.

Esto es suficiente si sólo buscas una protección antispam básica. Pero ese es el problema: el spam de bajo nivel como éste no suele suponer la mayor amenaza. La mayoría de los proveedores de correo electrónico ofrecen algún tipo de protección básica mediante el bloqueo del correo electrónico procedente de fuentes sospechosas. La verdadera amenaza -la que puede hacer que su organización pierda dinero, datos e integridad de la marca- son loscorreos electrónicos cuidadosamente diseñados para que no se dé cuenta de que son falsos.

Es entonces cuando se entra en el territorio de la ciberdelincuencia seria.

De lo que Microsoft Office 365 no puede protegerle

La solución de seguridad de Microsoft Office 365 funciona como un filtro antispam, utilizando algoritmos para determinar si un correo electrónico es similar a otros correos electrónicos de spam o phishing. Pero, ¿qué ocurre cuando recibes un ataque mucho más sofisticado mediante ingeniería social o dirigido a un empleado o grupo de empleados concreto?

No se trata de los típicos mensajes de spam enviados a decenas de miles de personas a la vez. El Business Email Compromise (BEC) y el Vendor Email Compromise (VEC) son ejemplos de cómo los atacantes seleccionan cuidadosamente un objetivo, aprenden más información sobre su organización espiando sus correos electrónicos y, en un punto estratégico, envían una factura falsa o una solicitud por correo electrónico, pidiendo que se transfiera dinero o se compartan datos.

Esta táctica, conocida ampliamente como spear phishing, hace que parezca que el correo electrónico proviene de alguien de su propia organización, o de un socio o proveedor de confianza. Incluso bajo una inspección cuidadosa, estos correos electrónicos pueden parecer muy realistas y son casi imposibles de detectar, incluso para los expertos en ciberseguridad.

Si un atacante se hace pasar por su jefe o por el director general de su organización y le envía un correo electrónico, es poco probable que usted compruebe si el correo electrónico parece auténtico o no. Esto es exactamente lo que hace que los fraudes BEC y CEO sean tan peligrosos. Office 365 no podrá protegerte contra este tipo de ataques porque aparentemente provienen de una persona real, y los algoritmos no lo considerarán un correo electrónico de spam.

¿Cómo se puede proteger Office 365 contra el BEC y el Spear Phishing?

El DMARC (Domain-based Message Authentication, Reporting & Conformance) es un protocolo de seguridad del correo electrónico que utiliza la información proporcionada por el propietario del dominio para proteger a los receptores del correo electrónico falsificado. Cuando implementas DMARC en el dominio de tu organización, los servidores receptores comprobarán todos y cada uno de los correos electrónicos procedentes de tu dominio con los registros DNS que publicaste.

Pero si el ATP de Office 365 no pudo evitar los ataques de suplantación de identidad dirigidos, ¿cómo lo hace el DMARC?

Pues bien, DMARC funciona de forma muy diferente a un filtro antispam. Mientras que los filtros antispam comprueban el correo electrónico entrante que entra en tu bandeja de entrada, DMARC autentifica el correo electrónico saliente enviado por el dominio de tu organización. Lo que esto significa es que si alguien intenta suplantar la identidad de su organización y enviarle correos electrónicos de phishing, siempre que se aplique el DMARC, esos correos serán arrojados a la carpeta de spam o bloqueados por completo.

Y, además, significa que si un ciberdelincuente utilizara su marca de confianza para enviar correos electrónicos de phishing, sus clientes tampoco tendrían que enfrentarse a ellos. DMARC también ayuda a proteger su negocio.

Pero hay más: Office 365 en realidad no da a su organización ninguna visibilidad sobre un ataque de phishing, sólo bloquea el correo electrónico de spam. Pero si quiere asegurar adecuadamente su dominio, necesita saber exactamente quién o qué está intentando suplantar su marca, y tomar medidas inmediatas. DMARC proporciona estos datos, incluyendo las direcciones IP de las fuentes de envío abusivas, así como el número de correos electrónicos que envían. PowerDMARC lleva esto al siguiente nivel con análisis avanzados de DMARC directamente en su panel de control.

Conozca más sobre lo que PowerDMARC puede hacer por su marca.

suplantación de dominios

/por

Cómo los atacantes están utilizando el Coronavirus para estafarte

Mientras las organizaciones crean fondos benéficos en todo el mundo para luchar contra el Covid-19, se libra otro tipo de batalla en los conductos electrónicos de Internet. Miles de personas de todo el mundo han sido víctimas de la suplantación de identidad y de las estafas por correo electrónico del Covid-19 durante la pandemia de coronavirus. Cada vez es más frecuente ver cómo los ciberdelincuentes utilizan nombres de dominio reales de estas organizaciones en sus correos electrónicos para parecer legítimos.

En la estafa más reciente relacionada con el coronavirus, se envió a todo el mundo un correo electrónico supuestamente de la Organización Mundial de la Salud (OMS) en el que se solicitaban donativos para el Fondo de Respuesta Solidaria. La dirección del remitente era "[email protected]", donde "who.int" es el nombre de dominio real de la OMS. Se confirmó que el correo electrónico era una estafa de phishing, pero a primera vista todos los indicios apuntaban a que el remitente era auténtico. Al fin y al cabo, el dominio pertenecía a la verdadera OMS.

donar fondo de respuesta

Sin embargo, ésta ha sido sólo una de una serie creciente de estafas de phishing que utilizan correos electrónicos relacionados con el coronavirus para robar dinero e información sensible de las personas. Pero si el remitente utiliza un nombre de dominio real, ¿cómo podemos distinguir un correo electrónico legítimo de uno falso? ¿Por qué los ciberdelincuentes pueden emplear con tanta facilidad la suplantación de dominios de correo electrónico en una organización tan grande?

¿Y cómo se enteran entidades como la OMS de que alguien está utilizando su dominio para lanzar un ataque de phishing?

El correo electrónico es la herramienta de comunicación empresarial más utilizada en el mundo, pero es un protocolo completamente abierto. Por sí solo, hay muy poco para controlar quién envía qué correos electrónicos y desde qué dirección de correo electrónico. Esto se convierte en un gran problema cuando los atacantes se disfrazan de una marca de confianza o de una figura pública, pidiendo a la gente que les dé su dinero e información personal. De hecho, más del 90% de las filtraciones de datos de las empresas en los últimos años han implicado el phishing por correo electrónico de una forma u otra. Y la suplantación de dominios de correo electrónico es una de las principales causas.

En un esfuerzo por asegurar el correo electrónico, se desarrollaron protocolos como Sender Policy Framework (SPF) y Domain Keys Identified Mail (DKIM). SPF comprueba la dirección IP del remitente con una lista aprobada de direcciones IP, y DKIM utiliza una firma digital cifrada para proteger los correos electrónicos. Aunque ambos son eficaces por separado, tienen sus propios defectos. DMARC, desarrollado en 2012, es un protocolo que utiliza la autenticación SPF y DKIM para proteger el correo electrónico, y cuenta con un mecanismo que envía al propietario del dominio un informe cada vez que un correo electrónico no supera la validación DMARC.

Esto significa que el propietario del dominio es notificado cada vez que un correo electrónico es enviado por un tercero no autorizado. Y, lo que es más importante, puede indicar al receptor del correo electrónico cómo manejar el correo no autenticado: dejarlo pasar a la bandeja de entrada, ponerlo en cuarentena o rechazarlo directamente. En teoría, esto debería impedir que el correo malo inunde las bandejas de entrada de la gente y reducir el número de ataques de phishing a los que nos enfrentamos. ¿Y por qué no lo hace?

¿Puede DMARC evitar la falsificación de dominios y las estafas de correo electrónico Covid-19?

La autenticación del correo electrónico requiere que los dominios remitentes publiquen sus registros SPF, DKIM y DMARC en DNS. Según un estudio, solo el 44,9 % de los dominios del top 1 de Alexa tenía un registro SPF válido publicado en 2018, y tan solo el 5,1 % tenía un registro DMARC válido. Y esto a pesar de que los dominios sin autenticación DMARC sufren de spoofing casi cuatro veces más que los dominios que están asegurados. Hay una falta de implementación seria de DMARC en todo el panorama empresarial, y no ha mejorado mucho con los años. Incluso organizaciones como UNICEF aún no han implementado DMARC en sus dominios, y tanto la Casa Blanca como el Departamento de Defensa de EE.UU. tienen una política DMARC de p = ninguno, lo que significa que no se están aplicando.

Una encuesta realizada por expertos de Virginia Tech ha sacado a la luz algunas de las preocupaciones más graves citadas por las principales empresas y negocios que aún no han utilizado la autenticación DMARC:

  1. Dificultades de despliegue: La aplicación estricta de los protocolos de seguridad suele implicar un alto nivel de coordinación en las grandes instituciones, para el que a menudo no disponen de recursos. Además, muchas organizaciones no tienen mucho control sobre sus DNS, por lo que la publicación de registros DMARC se convierte en un reto aún mayor.
  2. Los beneficios no compensan los costes: La autenticación DMARC suele tener beneficios directos para el destinatario del correo electrónico y no para el propietario del dominio. La falta de una motivación seria para adoptar el nuevo protocolo ha hecho que muchas empresas no incorporen DMARC a sus sistemas.
  3. Riesgo de romper el sistema existente: La relativa novedad del DMARC lo hace más propenso a una implementación incorrecta, lo que conlleva el riesgo muy real de que los correos electrónicos legítimos no pasen. Las empresas que dependen de la circulación del correo electrónico no pueden permitirse el lujo de que esto ocurra, por lo que no se molestan en adoptar DMARC en absoluto.

Reconocer por qué necesitamos DMARC

Aunque las preocupaciones expresadas por las empresas en la encuesta tienen un fundamento obvio, esto no hace que la implantación de DMARC sea menos imperativa para la seguridad del correo electrónico. Cuanto más tiempo sigan funcionando las empresas sin un dominio autenticado por DMARC, más nos expondremos al peligro real de los ataques de phishing por correo electrónico. Como nos han enseñado las estafas de suplantación de identidad por correo electrónico del coronavirus, nadie está a salvo de ser objeto de un ataque o de una suplantación de identidad. Piense en DMARC como en una vacuna: a medida que aumenta el número de personas que lo utilizan, disminuyen drásticamente las posibilidades de contraer una infección.

Hay soluciones reales y viables para este problema que podrían superar las preocupaciones de la gente sobre la adopción de DMARC. He aquí algunas de ellas que podrían impulsar la implementación por un amplio margen:

  1. Reducción de las fricciones en la implantación: El mayor obstáculo para que una empresa adopte DMARC son los costes de implantación asociados. La economía está de capa caída y los recursos son escasos. Por este motivo, PowerDMARC, junto con nuestros socios industriales Global Cyber Alliance (GCA), se enorgullece de anunciar una oferta por tiempo limitado durante la pandemia Covid-19: 3 meses de nuestro paquete completo de aplicaciones, implementación de DMARC y servicios anti-spoofing, completamente gratis. Obtenga su solución DMARC configurada en minutos y comience a supervisar sus correos electrónicos utilizando PowerDMARC ahora.
  2. Mejora de la utilidad percibida: Para que el DMARC tenga un impacto importante en la seguridad del correo electrónico, necesita una masa crítica de usuarios que publiquen sus registros SPF, DKIM y DMARC. Si se recompensa a los dominios autentificados por DMARC con un icono de "Confianza" o "Verificado" (al igual que con la promoción de HTTPS entre los sitios web), se puede incentivar a los propietarios de dominios para que consigan una reputación positiva para su dominio. Una vez que ésta alcance un determinado umbral, los dominios protegidos por DMARC serán considerados más favorablemente que los que no lo están.
  3. Despliegue simplificado: Al facilitar el despliegue y la configuración de los protocolos anti-spoofing, más dominios estarán de acuerdo con la autenticación DMARC. Una forma de hacerlo es permitir que el protocolo se ejecute en un "modo de supervisión", lo que permitiría a los administradores de correo electrónico evaluar el impacto que tiene en sus sistemas antes de proceder a una implantación completa.

Cada nuevo invento trae consigo nuevos retos. Cada nuevo reto nos obliga a encontrar una nueva forma de superarlo. El DMARC existe desde hace algunos años, pero el phishing existe desde hace mucho más tiempo. En las últimas semanas, la pandemia de Covid-19 no ha hecho más que darle una nueva cara. En PowerDMARC, estamos aquí para ayudarle a afrontar este nuevo reto. Regístrese aquí para obtener su analizador DMARC gratuito, de modo que mientras usted permanece en casa a salvo del coronavirus, su dominio está a salvo de la suplantación de identidad del correo electrónico.

suplantación de dominios

/por