Puestos

¿Cómo mejorar sus defensas contra el phishing y el spoofing?

Los ataques de suplantación de identidad, como el phishing y la suplantación de identidad, pueden tener un impacto dramático en la salud de su dominio y conducir a fallos de autenticación, compromiso del correo electrónico y mucho más. Por ello, debe mejorar sus defensas contra ellos, empezando hoy mismo. Hay varios métodos que puede implementar para asegurarse de que sus correos electrónicos están adecuadamente protegidos contra los ataques de phishing y spoofing. Vamos a hablar de ellos.

Protocolos de autenticación del correo electrónico para evitar ataques de suplantación de identidad

  1. Marco de Políticas de Remitentes (SPF)
    Una buena manera de empezar es desplegando el SPF. Sender Policy Framework, que se basa en el DNS de su nombre de dominio, puede certificar que la IP utilizada para enviar un correo electrónico tiene derecho a hacerlo. Impide el uso fraudulento de su nombre de dominio y evita que terceros se hagan pasar por usted. El protocolo SPF es especialmente eficaz contra los ataques de phishing y spoofing porque suelen aprovecharse de estos errores. Si un servidor de correo declara que ha sido enviado por un servidor de correo cuya dirección IP puede atribuirse a su dominio, en general los sistemas operativos comprobarán dos veces antes de entregar un correo electrónico. De este modo, los servidores de correo que no respetan el SPF son ignorados con éxito. En pocas palabras, el "Protocolo SPF" permite al propietario de un dominio (por ejemplo, [email protected]) enviar una autorización a su autoridad DNS.

  2. Correo Identificado con Clave de Dominio (DKIM)
    DomainKeys Identified Mail, o DKIM, es un sistema de autenticación de correo electrónico que utiliza firmas digitales para verificar el origen y el contenido de un mensaje. Se trata de un conjunto de técnicas criptográficas para verificar el origen y el contenido de los mensajes de correo electrónico con el fin de reducir el spam, el phishing y otras formas de correo electrónico malicioso. En concreto, utiliza claves de cifrado privadas compartidas para autenticar al remitente de un determinado mensaje (el aspecto clave aquí es que sólo el destinatario previsto debe estar en posesión de esta clave privada), garantizando que el correo electrónico no pueda ser "suplantado", o representado falsamente por impostores. También permite a un destinatario autorizado detectar cualquier cambio realizado en un mensaje después de su envío; si la organización responsable de validar estas firmas detecta corrupción de datos en un correo electrónico, puede simplemente rechazarlo como falso y notificar a su remitente como tal.

  3. Autenticación, notificación y conformidad de mensajes basada en el dominio (DMARC)
    DMARC existe por varias razones. En primer lugar, DMARC le proporciona una forma de indicar a los servidores de correo qué mensajes son legítimos y cuáles no. En segundo lugar, DMARC le proporciona informes sobre el grado de protección de su dominio frente a los ataques. En tercer lugar, DMARC ayuda a proteger su marca de ser asociada con mensajes que podrían dañar su reputación. DMARC proporciona más protección contra el phishing y la suplantación de identidad, ya que verifica que un mensaje de correo electrónico se ha originado realmente en el dominio del que dice proceder. DMARC también permite a su organización solicitar informes sobre los mensajes que recibe. Estos informes pueden ayudarle a investigar posibles problemas de seguridad y a identificar posibles amenazas, como la infección por malware o los ataques de phishing dirigidos a su organización.

¿Cómo puede PowerDMARC ayudarle a proteger su dominio contra los ataques de phishing y spoofing?

La suite de autenticación de seguridad del correo electrónico de PowerDMARC no sólo le ayuda a incorporar sin problemas sus protocolos SPF, DKIM y DMARC, sino que le proporciona muchas más ventajas adicionales, entre ellas

  • Aplanamiento SPF para garantizar que su registro SPF siga siendo válido y esté por debajo del límite duro de 10 búsquedas de SPF
  • BIMI para la identificación visual de los correos electrónicos de su empresa. BIMI garantiza que los correos electrónicos que llegan a sus clientes contienen el logotipo de su marca que puede ser detectado por ellos incluso antes de que abran el mensaje
  • MTA-STS para cifrar sus correos electrónicos en tránsito

Para disfrutar de DMARC gratuitosólo tiene que registrarse y crear una cuenta PowerDMARC sin ningún coste adicional. ¡Comience su viaje de autenticación de correo electrónico con nosotros para una experiencia de correo electrónico más segura!

/por

¿Por qué falla el DMARC en 2022? Razones del fracaso de DMARC

La autenticación del correo electrónico es un aspecto crucial del trabajo de un proveedor de correo electrónico. La autenticación del correo electrónico, también conocida como SPF y DKIM, comprueba la identidad de un proveedor de correo electrónico. DMARC se suma al proceso de verificación de un correo electrónico comprobando si un correo electrónico ha sido enviado desde un dominio legítimo a través de la alineación, y especificando a los servidores receptores cómo responder a los mensajes que no superan las comprobaciones de autenticación. Hoy vamos a discutir los diferentes escenarios que responderán a su pregunta sobre por qué falla DMARC.

DMARC es una actividad clave en su política de autenticación de correo electrónico para ayudar a evitar que los correos electrónicos "falsos" pasen los filtros de spam transaccional. Pero es sólo un pilar de un programa antispam general y no todos los informes DM ARC son iguales. Algunos le dirán la acción exacta que los receptores de correo realizaron en cada mensaje, y otros sólo le dirán si un mensaje tuvo éxito o no. Entender por qué un mensaje falló es tan importante como saber si lo hizo. El siguiente artículo explica las razones por las que los mensajes no superan las comprobaciones de autenticación DMARC. Estas son las razones más comunes (algunas de las cuales se pueden arreglar fácilmente) por las que los mensajes pueden fallar las comprobaciones de autenticación DMARC.

Razones comunes por las que los mensajes pueden fallar DMARC

Identificar por qué está fallando el DMARC puede ser complicado. Sin embargo, voy a repasar algunas razones típicas, los factores que contribuyen a ellas, para que usted, como propietario del dominio, pueda trabajar para rectificar el problema más rápidamente.

Fallos de alineación de DMARC

DMARC utiliza la alineación de dominios para autenticar sus correos electrónicos. Esto significa que DMARC verifica si el dominio mencionado en la dirección del remitente (en la cabecera visible) es auténtico comparándolo con el dominio mencionado en la cabecera oculta Return-path (para SPF) y la cabecera de firma DKIM (para DKIM). Si cualquiera de los dos coincide, el correo electrónico pasa el DMARC, o bien el DMARC falla.

Por lo tanto, si sus correos electrónicos están fallando DMARC puede ser un caso de desalineación de dominio. Es decir, ni los identificadores SPF ni DKIM están alineados y el correo electrónico parece ser enviado desde una fuente no autorizada. Sin embargo, ésta es sólo una de las razones por las que falla el DMARC.

Modo de alineación DMARC 

El modo de alineación del protocolo también desempeña un papel importante en la aprobación o no de los mensajes de DMARC. Puede elegir entre los siguientes modos de alineación para la autenticación SPF:

  • Relajado: Esto significa que si el dominio en la cabecera Return-path y el dominio en la cabecera From es simplemente una coincidencia organizativa, incluso entonces SPF pasará.
  • Estricto: Significa que sólo si el dominio en la cabecera Return-path y el dominio en la cabecera From coinciden exactamente, sólo entonces SPF pasará.

Puede elegir entre los siguientes modos de alineación para la autenticación DKIM:

  • Relajado: Esto significa que si el dominio en la firma DKIM y el dominio en la cabecera De es simplemente una coincidencia organizativa, incluso entonces DKIM pasará.
  • Estricto: Esto significa que sólo si el dominio en la firma DKIM y el dominio en la cabecera From coinciden exactamente, sólo entonces DKIM pasará.

Tenga en cuenta que para que los correos electrónicos pasen la autenticación DMARC, es necesario que el SPF o el DKIM estén alineados.  

No configurar la firma DKIM 

Un caso muy común en el que su DMARC puede estar fallando es que no haya especificado una firma DKIM para su dominio. En estos casos, su proveedor de servicios de intercambio de correo electrónico asigna una firma DKIM por defecto a sus correos electrónicos salientes que no se alinea con el dominio en su cabecera De. El MTA receptor no logra alinear los dos dominios y, por lo tanto, DKIM y DMARC fallan para su mensaje (si sus mensajes están alineados con SPF y DKIM).

No añadir fuentes de envío a sus DNS 

Es importante tener en cuenta que cuando se configura DMARC para su dominio, los MTAs receptores realizan consultas de DNS para autorizar sus fuentes de envío. Esto significa que, a menos que tenga todas sus fuentes de envío autorizadas listadas en el DNS de su dominio, sus correos electrónicos fallarán DMARC para aquellas fuentes que no estén listadas, ya que el receptor no podrá encontrarlas en su DNS. Por lo tanto, para asegurarse de que sus correos electrónicos legítimos siempre se entregan, asegúrese de hacer entradas en todos sus proveedores de correo electrónico de terceros autorizados que están autorizados a enviar correos electrónicos en nombre de su dominio, en su DNS.

En caso de reenvío de correo electrónico

Durante el reenvío de correo electrónico, el correo electrónico pasa a través de un servidor intermediario antes de ser entregado al servidor receptor. Durante el reenvío de correo electrónico, la comprobación SPF falla, ya que la dirección IP del servidor intermediario no coincide con la del servidor remitente, y esta nueva dirección IP no suele incluirse en el registro SPF del servidor original. Por el contrario, el reenvío de correos electrónicos no suele afectar a la autenticación DKIM del correo electrónico, a no ser que el servidor intermediario o la entidad reenviadora realicen ciertas alteraciones en el contenido del mensaje.

Como sabemos que el SPF falla inevitablemente durante el reenvío de correo electrónico, si en el caso de que la fuente de envío sea neutral en cuanto a DKIM y confíe únicamente en el SPF para la validación, el correo electrónico reenviado se convertirá en ilegítimo durante la autenticación DMARC. Para resolver este problema, debería optar inmediatamente por el cumplimiento total de DMARC en su organización, alineando y autenticando todos los mensajes salientes tanto con SPF como con DKIM, ya que para que un correo electrónico pase la autenticación DMARC, se requeriría que el correo pasara la autenticación y alineación de SPF o DKIM.

Su dominio está siendo suplantado

Si tienes tus protocolos DMARC, SPF y DKIM correctamente configurados para tu dominio, con tus políticas en vigor y registros válidos sin errores, y el problema no es ninguno de los casos mencionados anteriormente, entonces la razón más probable por la que tus correos electrónicos están fallando DMARC es que tu dominio está siendo suplantado o falsificado. Esto ocurre cuando los suplantadores y los actores de amenazas intentan enviar correos electrónicos que parecen provenir de su dominio utilizando una dirección IP maliciosa.

Las recientes estadísticas de fraude por correo electrónico han concluido que los casos de suplantación de identidad por correo electrónico están aumentando en los últimos tiempos y son una gran amenaza para la reputación de su organización. En estos casos, si tiene DMARC implementado en una política de rechazo, fallará y el correo electrónico falsificado no se entregará a la bandeja de entrada de su destinatario. Por lo tanto, la suplantación de dominio puede ser la respuesta a por qué falla el DMARC en la mayoría de los casos.

Le recomendamos que se registre en nuestro Analizador DMARC gratuito y comience su andadura en la elaboración de informes y supervisión de DMARC.

  • Con una política de ausencia de mensajes, puede supervisar su dominio con informes agregados DMARC (RUA) y vigilar de cerca sus correos electrónicos entrantes y salientes, lo que le ayudará a responder a cualquier problema de entrega no deseado
  • A continuación, le ayudamos a cambiar a una política reforzada que, en última instancia, le ayudará a obtener inmunidad contra los ataques de suplantación de dominios y de phishing
  • Puede eliminar las direcciones IP maliciosas y denunciarlas directamente desde la plataforma PowerDMARC para evitar futuros ataques de suplantación de identidad, con la ayuda de nuestro motor de Inteligencia de Amenazas
  • Los informes forenses DMARC (RUF) de PowerDMARC le ayudan a obtener información detallada sobre los casos en los que sus correos electrónicos han fallado DMARC para que pueda llegar a la raíz del problema y solucionarlo

Evite la suplantación de dominios y controle su flujo de correo electrónico con PowerDMARC, hoy mismo.

/por

Así que acaba de llegar al 100% de cumplimiento de DMARC. ¿Y ahora qué?

Muy bien, acabas de pasar por todo el proceso de configuración de DMARC para tu dominio. Has publicado tus registros SPF, DKIM y DMARC, has analizado todos tus informes, has solucionado los problemas de entrega, has aumentado tu nivel de cumplimiento de p=none a cuarentena y finalmente a rechazo. Ya está oficialmente reforzado al 100% con DMARC. Enhorabuena. Ahora sólo tus correos electrónicos llegan a las bandejas de entrada de la gente. Nadie va a suplantar tu marca si puedes evitarlo.

Así que eso es todo, ¿verdad? Tu dominio está asegurado y todos podemos irnos a casa contentos, sabiendo que tus correos electrónicos van a estar seguros. ¿Verdad...?

Bueno, no exactamente. El DMARC es como el ejercicio y la dieta: lo haces durante un tiempo y pierdes un montón de peso y consigues unos abdominales de infarto, y todo va de maravilla. Pero si dejas de hacerlo, todos esos logros que acabas de conseguir van a ir disminuyendo poco a poco, y el riesgo de suplantación de identidad empieza a aparecer de nuevo. Pero no te asustes. Al igual que con la dieta y el ejercicio, ponerse en forma (es decir, llegar al 100% de cumplimiento) es la parte más difícil. Una vez que lo hayas hecho, sólo tienes que mantenerte en ese mismo nivel, lo cual es mucho más fácil.

Bien, basta de analogías, vayamos al grano. Si acabas de implementar y aplicar DMARC en tu dominio, ¿cuál es el siguiente paso? ¿Cómo puede seguir manteniendo su dominio y sus canales de correo electrónico seguros?

Qué hacer después de lograr el cumplimiento de DMARC

La razón número 1 por la que la seguridad del correo electrónico no termina simplemente después de alcanzar el 100% de cumplimiento es que los patrones de ataque, las estafas de phishing y las fuentes de envío están siempre cambiando. Una tendencia popular en las estafas de correo electrónico a menudo ni siquiera dura más de un par de meses. Piensa en los ataques de ransomware WannaCry en 2018, o incluso en algo tan reciente como las estafas de phishing del Coronavirus de la OMS a principios de 2020. No se ven muchos de esos en la naturaleza ahora mismo, ¿verdad?

Los ciberdelincuentes cambian constantemente sus tácticas, y las fuentes de envío malicioso siempre cambian y se multiplican, y no hay mucho que puedas hacer al respecto. Lo que sí puede hacer es preparar a su marca para cualquier posible ciberataque que se le pueda presentar. Y la forma de hacerlo es a través de la monitorización y visibilidad de DMARC .

Incluso después de la aplicación de la ley, debe tener un control total de sus canales de correo electrónico. Eso significa que tienes que saber qué direcciones IP están enviando correos electrónicos a través de tu dominio, dónde estás teniendo problemas con la entrega de correos electrónicos o la autenticación, e identificar y responder a cualquier intento potencial de suplantación de identidad o servidor malicioso que lleve a cabo una campaña de phishing en tu nombre. Cuanto más controle su dominio, mejor lo entenderá. Y, en consecuencia, mejor podrá proteger sus correos electrónicos, sus datos y su marca.

Por qué es tan importante la supervisión de DMARC

Identificar nuevas fuentes de correo
Cuando supervisas tus canales de correo electrónico, no sólo estás comprobando si todo va bien. También vas a buscar nuevas IP que envíen correos electrónicos desde tu dominio. Es posible que tu organización cambie de socios o de proveedores externos cada cierto tiempo, lo que significa que sus IPs pueden llegar a estar autorizadas para enviar correos electrónicos en tu nombre. ¿Es esa nueva fuente de envío uno de sus nuevos proveedores, o es alguien que intenta hacerse pasar por su marca? Si analizas tus informes con regularidad, tendrás una respuesta definitiva a eso.

PowerDMARC le permite ver sus informes DMARC según cada fuente de envío de su dominio.

Entender las nuevas tendencias de abuso de dominios
Como he mencionado antes, los atacantes siempre encuentran nuevas formas de suplantar marcas y engañar a la gente para que les dé datos y dinero. Pero si sólo miras tus informes DMARC una vez cada dos meses, no vas a notar ningún signo revelador de suplantación de identidad. A menos que supervise regularmente el tráfico de correo electrónico en su dominio, no notará tendencias o patrones en la actividad sospechosa, y cuando se vea afectado por un ataque de suplantación de identidad, estará tan despistado como las personas a las que va dirigido el correo electrónico. Y créeme, eso nunca es una buena imagen para tu marca.

Encuentre y ponga en la lista negra las IPs maliciosas
No basta con saber quién está intentando abusar de tu dominio, sino que tienes que acabar con él lo antes posible. Cuando conoces las fuentes de envío, es mucho más fácil localizar una IP infractora y, una vez que la has encontrado, puedes denunciarla a su proveedor de alojamiento y ponerla en la lista negra. De este modo, eliminarás permanentemente esa amenaza específica y evitarás un ataque de spoofing.

Con Power Take Down, puedes encontrar la ubicación de una IP maliciosa, su historial de abusos, y hacer que la retiren.

Control de la capacidadde entrega
Incluso si ha tenido la precaución de hacer que el DMARC se aplique al 100% sin afectar a sus índices de entrega de correo electrónico, es importante garantizar continuamente una alta capacidad de entrega. Después de todo, ¿de qué sirve toda esa seguridad del correo electrónico si ninguno de los mensajes llega a su destino? Al supervisar sus informes de correo electrónico, puede ver cuáles han sido aprobados, fallados o no alineados con DMARC, y descubrir el origen del problema. Sin la supervisión, sería imposible saber si sus correos electrónicos se están entregando, y mucho menos solucionar el problema.

PowerDMARC le da la opción de ver los informes en función de su estado DMARC para que pueda identificar al instante los que no lo han conseguido.

 

Nuestra plataforma de vanguardia ofrece una supervisión de dominios 24×7 e incluso le ofrece un equipo de respuesta de seguridad dedicado que puede gestionar un fallo de seguridad por usted. Más información sobre la asistencia ampliada de PowerDMARC.

/por

El mayor mito sobre la seguridad con Office 365

A primera vista, la suite Office 365 de Microsoft parece bastante... dulce, ¿verdad? No solo tienes una gran cantidad de aplicaciones de productividad, almacenamiento en la nube y un servicio de correo electrónico, sino que también estás protegido contra el spam con las soluciones de seguridad de correo electrónico propias de Microsoft. No es de extrañar que sea la solución de correo electrónico empresarial más adoptada, con una cuota de mercado del 54% y más de 155 millones de usuarios activos. Probablemente tú también seas uno de ellos.

Pero si una empresa de ciberseguridad escribe un blog sobre Office 365, tiene que haber algo más, ¿no? Pues sí. Lo hay. Así que vamos a hablar de cuál es exactamente el problema con las opciones de seguridad de Office 365, y por qué realmente necesitas saber sobre esto.

En qué consiste la seguridad de Microsoft Office 365

Antes de hablar de los problemas que conlleva, vamos a quitarnos esto de encima rápidamente: Microsoft Office 365 Advanced Threat Protection (qué palabro) es bastante eficaz en la seguridad básica del correo electrónico. Será capaz de detener los correos electrónicos de spam, el malware y los virus de hacer su camino en su bandeja de entrada.

Esto es suficiente si sólo buscas una protección antispam básica. Pero ese es el problema: el spam de bajo nivel como éste no suele suponer la mayor amenaza. La mayoría de los proveedores de correo electrónico ofrecen algún tipo de protección básica mediante el bloqueo del correo electrónico procedente de fuentes sospechosas. La verdadera amenaza -la que puede hacer que su organización pierda dinero, datos e integridad de la marca- son loscorreos electrónicos cuidadosamente diseñados para que no se dé cuenta de que son falsos.

Es entonces cuando se entra en el territorio de la ciberdelincuencia seria.

De lo que Microsoft Office 365 no puede protegerle

La solución de seguridad de Microsoft Office 365 funciona como un filtro antispam, utilizando algoritmos para determinar si un correo electrónico es similar a otros correos electrónicos de spam o phishing. Pero, ¿qué ocurre cuando se recibe un ataque mucho más sofisticado que utiliza ingeniería social, o que está dirigido a un empleado o grupo de empleados específico?

No se trata de los típicos mensajes de spam enviados a decenas de miles de personas a la vez. El Business Email Compromise (BEC) y el Vendor Email Compromise (VEC) son ejemplos de cómo los atacantes seleccionan cuidadosamente un objetivo, aprenden más información sobre su organización espiando sus correos electrónicos y, en un punto estratégico, envían una factura falsa o una solicitud por correo electrónico, pidiendo que se transfiera dinero o se compartan datos.

Esta táctica, conocida ampliamente como spear phishing, hace que parezca que el correo electrónico proviene de alguien de su propia organización, o de un socio o proveedor de confianza. Incluso bajo una inspección cuidadosa, estos correos electrónicos pueden parecer muy realistas y son casi imposibles de detectar, incluso para los expertos en ciberseguridad.

Si un atacante se hace pasar por su jefe o por el director general de su organización y le envía un correo electrónico, es poco probable que usted compruebe si el correo electrónico parece auténtico o no. Esto es exactamente lo que hace que los fraudes BEC y CEO sean tan peligrosos. Office 365 no podrá protegerte contra este tipo de ataques porque aparentemente provienen de una persona real, y los algoritmos no lo considerarán un correo electrónico de spam.

¿Cómo se puede proteger Office 365 contra el BEC y el Spear Phishing?

El DMARC (Domain-based Message Authentication, Reporting & Conformance) es un protocolo de seguridad del correo electrónico que utiliza la información proporcionada por el propietario del dominio para proteger a los receptores del correo electrónico falsificado. Cuando implementas DMARC en el dominio de tu organización, los servidores receptores comprobarán todos y cada uno de los correos electrónicos procedentes de tu dominio con los registros DNS que publicaste.

Pero si el ATP de Office 365 no pudo evitar los ataques de suplantación de identidad dirigidos, ¿cómo lo hace el DMARC?

Pues bien, DMARC funciona de forma muy diferente a un filtro antispam. Mientras que los filtros antispam comprueban el correo electrónico entrante que entra en tu bandeja de entrada, DMARC autentifica el correo electrónico saliente enviado por el dominio de tu organización. Lo que esto significa es que si alguien intenta suplantar la identidad de su organización y enviarle correos electrónicos de phishing, siempre que se aplique el DMARC, esos correos serán arrojados a la carpeta de spam o bloqueados por completo.

Y, además, significa que si un ciberdelincuente utilizara su marca de confianza para enviar correos electrónicos de phishing, sus clientes tampoco tendrían que enfrentarse a ellos. DMARC también ayuda a proteger su negocio.

Pero hay más: Office 365 en realidad no da a su organización ninguna visibilidad sobre un ataque de phishing, sólo bloquea el correo electrónico de spam. Pero si quiere asegurar adecuadamente su dominio, necesita saber exactamente quién o qué está intentando suplantar su marca, y tomar medidas inmediatas. DMARC proporciona estos datos, incluyendo las direcciones IP de las fuentes de envío abusivas, así como el número de correos electrónicos que envían. PowerDMARC lleva esto al siguiente nivel con análisis avanzados de DMARC directamente en su panel de control.

Conozca más sobre lo que PowerDMARC puede hacer por su marca.

 

/por

Cómo los atacantes están utilizando el Coronavirus para estafarte

Mientras las organizaciones crean fondos benéficos en todo el mundo para luchar contra el Covid-19, se libra otro tipo de batalla en los conductos electrónicos de Internet. Miles de personas de todo el mundo han sido víctimas de la suplantación de identidad y de las estafas por correo electrónico del Covid-19 durante la pandemia de coronavirus. Cada vez es más frecuente ver cómo los ciberdelincuentes utilizan nombres de dominio reales de estas organizaciones en sus correos electrónicos para parecer legítimos.

En la más reciente estafa por coronavirus, un correo electrónico supuestamente de la Organización Mundial de la Salud (OMS) fue enviado a todo el mundo, solicitando donaciones para el Fondo de Respuesta Solidaria. La dirección del remitente era "[email protected]", donde "who.int" es el nombre de dominio real de la OMS. Se confirmó que el correo electrónico era una estafa de phishing, pero a primera vista todos los indicios apuntaban a que el remitente era auténtico. Después de todo, el dominio pertenecía a la verdadera OMS.

donar fondo de respuesta

Sin embargo, ésta ha sido sólo una de una serie creciente de estafas de phishing que utilizan correos electrónicos relacionados con el coronavirus para robar dinero e información sensible de las personas. Pero si el remitente utiliza un nombre de dominio real, ¿cómo podemos distinguir un correo electrónico legítimo de uno falso? ¿Por qué los ciberdelincuentes pueden emplear con tanta facilidad la suplantación de dominios de correo electrónico en una organización tan grande?

¿Y cómo se enteran entidades como la OMS de que alguien está utilizando su dominio para lanzar un ataque de phishing?

El correo electrónico es la herramienta de comunicación empresarial más utilizada en el mundo, pero es un protocolo completamente abierto. Por sí solo, hay muy poco para controlar quién envía qué correos electrónicos y desde qué dirección de correo electrónico. Esto se convierte en un gran problema cuando los atacantes se disfrazan de una marca de confianza o de una figura pública, pidiendo a la gente que les dé su dinero e información personal. De hecho, más del 90% de las filtraciones de datos de las empresas en los últimos años han implicado el phishing por correo electrónico de una forma u otra. Y la suplantación de dominios de correo electrónico es una de las principales causas.

En un esfuerzo por asegurar el correo electrónico, se desarrollaron protocolos como Sender Policy Framework (SPF) y Domain Keys Identified Mail (DKIM). SPF comprueba la dirección IP del remitente con una lista aprobada de direcciones IP, y DKIM utiliza una firma digital cifrada para proteger los correos electrónicos. Aunque ambos son eficaces por separado, tienen sus propios defectos. DMARC, desarrollado en 2012, es un protocolo que utiliza la autenticación SPF y DKIM para proteger el correo electrónico, y cuenta con un mecanismo que envía al propietario del dominio un informe cada vez que un correo electrónico no supera la validación DMARC.

Esto significa que el propietario del dominio es notificado cada vez que un correo electrónico es enviado por un tercero no autorizado. Y, lo que es más importante, puede indicar al receptor del correo electrónico cómo manejar el correo no autenticado: dejarlo pasar a la bandeja de entrada, ponerlo en cuarentena o rechazarlo directamente. En teoría, esto debería impedir que el correo malo inunde las bandejas de entrada de la gente y reducir el número de ataques de phishing a los que nos enfrentamos. ¿Y por qué no lo hace?

¿Puede DMARC evitar la falsificación de dominios y las estafas de correo electrónico Covid-19?

La autenticación del correo electrónico requiere que los dominios remitentes publiquen sus registros SPF, DKIM y DMARC en el DNS. Según un estudio, solo el 44,9% de los dominios del top 1 de Alexa tenían un registro SPF válido publicado en 2018, y tan solo el 5,1% tenía un registro DMARC válido. Y esto a pesar de que los dominios sin autenticación DMARC sufren de spoofing casi cuatro veces más que los dominios que están asegurados. Hay una falta de implementación seria de DMARC en el panorama empresarial, y no ha mejorado mucho con los años. Incluso organizaciones como UNICEF aún no han implementado DMARC en sus dominios, y tanto la Casa Blanca como el Departamento de Defensa de los Estados Unidos tienen una política de DMARC de p = ninguno, lo que significa que no se está aplicando.

Una encuesta realizada por expertos de Virginia Tech ha sacado a la luz algunas de las preocupaciones más graves citadas por las principales empresas y negocios que aún no han utilizado la autenticación DMARC:

  1. Dificultades de despliegue: La aplicación estricta de los protocolos de seguridad suele implicar un alto nivel de coordinación en las grandes instituciones, para el que a menudo no disponen de recursos. Además, muchas organizaciones no tienen mucho control sobre sus DNS, por lo que la publicación de registros DMARC se convierte en un reto aún mayor.
  2. Los beneficios no compensan los costes: La autenticación DMARC suele tener beneficios directos para el destinatario del correo electrónico y no para el propietario del dominio. La falta de una motivación seria para adoptar el nuevo protocolo ha hecho que muchas empresas no incorporen DMARC a sus sistemas.
  3. Riesgo de romper el sistema existente: La relativa novedad del DMARC lo hace más propenso a una implementación incorrecta, lo que conlleva el riesgo muy real de que los correos electrónicos legítimos no pasen. Las empresas que dependen de la circulación del correo electrónico no pueden permitirse el lujo de que esto ocurra, por lo que no se molestan en adoptar DMARC en absoluto.

Reconocer por qué necesitamos DMARC

Aunque las preocupaciones expresadas por las empresas en la encuesta tienen un mérito obvio, esto no hace que la implementación de DMARC sea menos imperativa para la seguridad del correo electrónico. Cuanto más tiempo sigan funcionando las empresas sin un dominio autenticado por DMARC, más nos expondremos al peligro real de los ataques de phishing por correo electrónico. Como nos han enseñado las estafas de suplantación de identidad por correo electrónico del coronavirus, nadie está a salvo de ser objeto de un ataque o de una suplantación de identidad. Piense en el DMARC como una vacuna: a medida que aumenta el número de personas que lo utilizan, las posibilidades de contraer una infección se reducen drásticamente.

Hay soluciones reales y viables para este problema que podrían superar las preocupaciones de la gente sobre la adopción de DMARC. He aquí algunas de ellas que podrían impulsar la implementación por un amplio margen:

  1. Reducción de la fricción en la implementación: El mayor obstáculo que se interpone en el camino de una empresa para adoptar el DMARC son los costes de implantación asociados. La economía está de capa caída y los recursos son escasos. Por ello, PowerDMARC, junto con nuestros socios industriales Global Cyber Alliance (GCA), se enorgullece de anunciar una oferta por tiempo limitado durante la pandemia de Covid-19: 3 meses de nuestro conjunto completo de aplicaciones, implementación de DMARC y servicios anti-spoofing, completamente gratis. Obtenga su solución DMARC en minutos y comience a monitorear sus correos electrónicos usando PowerDMARC ahora.
  2. Mejora de la utilidad percibida: Para que el DMARC tenga un impacto importante en la seguridad del correo electrónico, necesita una masa crítica de usuarios que publiquen sus registros SPF, DKIM y DMARC. Si se recompensa a los dominios autentificados por DMARC con un icono de "Confianza" o "Verificado" (al igual que con la promoción de HTTPS entre los sitios web), se puede incentivar a los propietarios de dominios para que consigan una reputación positiva para su dominio. Una vez que ésta alcance un determinado umbral, los dominios protegidos por DMARC serán considerados más favorablemente que los que no lo están.
  3. Despliegue simplificado: Al facilitar el despliegue y la configuración de los protocolos anti-spoofing, más dominios estarán de acuerdo con la autenticación DMARC. Una forma de hacerlo es permitir que el protocolo se ejecute en un "modo de supervisión", lo que permitiría a los administradores de correo electrónico evaluar el impacto que tiene en sus sistemas antes de proceder a una implantación completa.

Cada nuevo invento trae consigo nuevos retos. Cada nuevo reto nos obliga a encontrar una nueva forma de superarlo. El DMARC existe desde hace algunos años, pero el phishing existe desde hace mucho más tiempo. En las últimas semanas, la pandemia de Covid-19 no ha hecho más que darle una nueva cara. En PowerDMARC, estamos aquí para ayudarle a afrontar este nuevo reto. Regístrese aquí para obtener su analizador DMARC gratuito, de modo que mientras usted permanece en casa a salvo del coronavirus, su dominio está a salvo de la suplantación de identidad del correo electrónico.

/por