Puestos

Como propietario de un dominio, siempre hay que tener cuidado con los actores de amenazas que lanzan ataques de suplantación de dominio y ataques de phishing para utilizar su dominio o nombre de marca para llevar a cabo actividades maliciosas. Independientemente de la solución de intercambio de correo electrónico que utilice, la protección de su dominio contra la suplantación de identidad y la suplantación de identidad es imprescindible para garantizar la credibilidad de la marca y mantener la confianza entre su estimada base de clientes. Este blog le llevará a través del proceso de configuración de su registro DMARC para los usuarios de Office 365.

En los últimos tiempos, la mayoría de las empresas se han decantado por el uso de plataformas eficaces y robustas basadas en la nube y soluciones de intercambio de correo electrónico alojadas, como Office 365. En consecuencia, los ciberdelincuentes también han mejorado sus técnicas maliciosas para llevar a cabo el fraude por correo electrónico superando las soluciones de seguridad integradas en la plataforma. Por ello, Microsoft ha ampliado el soporte hacia protocolos de autenticación de correo electrónico como DMARC en todas sus plataformas de correo electrónico. Pero hay que saber cómo implementar correctamente DMARC para Office 365, con el fin de utilizar plenamente sus beneficios.

¿Por qué DMARC?

La primera pregunta que puede surgir es que, con las soluciones antispam y las puertas de enlace de seguridad del correo electrónico ya integradas en el paquete de Office 365 para bloquear los correos electrónicos falsos, ¿por qué necesitaría DMARC para la autenticación? Esto se debe a que mientras estas soluciones protegen específicamente contra los correos electrónicos de phishing entrantes enviados a su dominio, el protocolo de autenticación DMARC da a los propietarios de dominios el poder de especificar a los servidores de correo electrónico receptores cómo responder a los correos electrónicos enviados desde su dominio que no superan las comprobaciones de autenticación.

DMARC hace uso de dos prácticas de autenticación estándar, a saber, SPF y DKIM, para validar la autenticidad de los correos electrónicos. Con una política configurada para su aplicación, DMARC puede ofrecer un alto nivel de protección contra los ataques de suplantación de identidad y la falsificación de dominios directos.

¿Realmente necesita DMARC cuando utiliza Office 365?

Existe una idea errónea entre las empresas, según la cual tener una solución de Office 365 garantiza la seguridad contra el spam y los ataques de phishing. Sin embargo, en mayo de 2020, una serie de ataques de phishing a varias empresas de seguros de Oriente Medio que utilizaban Office 365 provocó una importante pérdida de datos y una brecha de seguridad sin precedentes. Por ello, confiar simplemente en las soluciones de seguridad integradas de Microsoft y no implementar esfuerzos externos para proteger su dominio puede ser un gran error.

Si bien las soluciones de seguridad integradas de Office 365 pueden ofrecer protección contra las amenazas de seguridad entrantes y los intentos de suplantación de identidad, sigue siendo necesario garantizar que los mensajes salientes enviados desde su propio dominio se autentifiquen de forma eficaz antes de llegar a las bandejas de entrada de sus clientes y socios. Aquí es donde entra en juego DMARC.

Protección de Office 365 contra la suplantación de identidad y el fraude con DMARC

Las soluciones de seguridad que vienen con la suite de Office 365 actúan como filtros de spam que no pueden asegurar su dominio de la suplantación, lo que pone de relieve la necesidad de DMARC. DMARC existe como un registro DNS TXT en el DNS de su dominio. Para configurar DMARC para su dominio, necesita:

Paso 1: Identifique las fuentes de correo electrónico válidas para su dominio
Paso 2: Configurar SPF para su dominio
Paso 3: Configurar DKIM para su dominio
Paso 4: Publique un registro DMARC TXT en el DNS de su dominio

Puede utilizar el generador de registros DMARC gratuito de PowerDMARC para generar un registro al instante con la sintaxis correcta para publicar en su DNS y configurar DMARC para su dominio. Sin embargo, tenga en cuenta que sólo una política de aplicación de rechazo puede ayudarle a mitigar eficazmente los ataques de suplantación de identidad y el abuso del dominio.

Pero, ¿es suficiente publicar un registro DMARC? La respuesta es no. Esto nos lleva a nuestro último segmento, que es el de los informes y la supervisión de DMARC.

5 razones por las que necesitas PowerDMARC mientras usas Microsoft Office365

Microsoft Office 365 ofrece a los usuarios una serie de servicios y soluciones basados en la nube junto con filtros antispam integrados. Sin embargo, a pesar de las diversas ventajas, estos son los inconvenientes a los que podría enfrentarse al utilizarlo desde el punto de vista de la seguridad:

  • No hay solución para validar los mensajes salientes enviados desde su dominio
  • No hay mecanismo de notificación de los correos electrónicos que no superan las comprobaciones de autenticación
  • No hay visibilidad en su ecosistema de correo electrónico
  • No hay panel de control para gestionar y supervisar el flujo de correo electrónico entrante y saliente
  • No hay ningún mecanismo que garantice que su registro SPF esté siempre por debajo del límite de 10 búsquedas

Informes y supervisión de DMARC con PowerDMARC

PowerDMARC se integra a la perfección con Office 365 para dotar a los propietarios de dominios de soluciones avanzadas de autenticación que protegen contra sofisticados ataques de ingeniería social como BEC y la suplantación directa de dominios. Cuando se registra en PowerDMARC, está contratando una plataforma SaaS multi-tenant que no sólo reúne todas las mejores prácticas de autenticación de correo electrónico (SPF, DKIM, DMARC, MTA-STS, TLS-RPT y BIMI), sino que también proporciona un mecanismo de informes dmarc amplio y profundo, que ofrece una visibilidad completa de su ecosistema de correo electrónico. Los informes DMARC del panel de control de PowerDMARC se generan en dos formatos:

  • Informes agregados
  • Informes forenses

Nos hemos esforzado por mejorar la experiencia de autenticación para usted resolviendo varios problemas del sector. Garantizamos la encriptación de sus informes forenses DMARC, así como la visualización de informes agregados en 7 vistas diferentes para mejorar la experiencia del usuario y la claridad. PowerDMARC le ayuda a supervisar el flujo de correo electrónico y los fallos de autenticación, y a incluir en la lista negra las direcciones IP maliciosas de todo el mundo. Nuestra herramienta de análisis de DMARC le ayuda a configurar DMARC correctamente para su dominio y a pasar de la supervisión a la aplicación en un abrir y cerrar de ojos.

 

El correo electrónico suele ser la primera opción para un ciberdelincuente a la hora de lanzarse porque es muy fácil de explotar. A diferencia de los ataques de fuerza bruta, que requieren una gran capacidad de procesamiento, o de los métodos más sofisticados que exigen un alto nivel de habilidad, la suplantación de dominios puede ser tan fácil como escribir un correo electrónico haciéndose pasar por otra persona. En muchos casos, ese "otro" es una importante plataforma de servicios de software en la que la gente confía para hacer su trabajo.

Eso es lo que ocurrió entre el 15 y el 30 de abril de 2020, cuando nuestros analistas de seguridad de PowerDMARC descubrieron una nueva oleada de correos electrónicos de phishing dirigidos a las principales empresas de seguros de Oriente Medio. Este ataque ha sido sólo uno entre muchos otros en el reciente aumento de casos de phishing y spoofing durante la crisis de Covid-19. Ya en febrero de 2020, otra gran estafa de phishing llegó a hacerse pasar por la Organización Mundial de la Salud, enviando correos electrónicos a miles de personas pidiendo donaciones para la ayuda del coronavirus.

En esta reciente serie de incidentes, los usuarios del servicio Office 365 de Microsoft recibieron lo que parecían ser correos electrónicos de actualización rutinarios sobre el estado de sus cuentas de usuario. Estos correos electrónicos procedían de los propios dominios de sus organizaciones, solicitando a los usuarios que restablecieran sus contraseñas o que hicieran clic en los enlaces para ver las notificaciones pendientes.

Hemos recopilado una lista de algunos de los títulos de correo electrónico que observamos que se utilizan:

  • Actividad de inicio de sesión inusual en la cuenta de Microsoft
  • Tiene (3) mensajes pendientes de entrega en su portal de correo electrónico [email protected]*.
  • [email protected] Tiene mensajes pendientes de Microsoft Office UNSYNC
  • Notificación de resumen de reactivación para [email protected]

*Detalles de la cuenta cambiados para la privacidad de los usuarios

También puede ver una muestra de un encabezado de correo utilizado en un correo electrónico falsificado enviado a una empresa de seguros:

Recibido: de [ip_maliciosa] (helo= dominio_malicioso)

id 1jK7RC-000uju-6x

para [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Recibido: de [xxxx] (port=58502 helo=xxxxx)

por dominio_malicioso con esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

De: "Equipo de cuentas de Microsoft" 

A: [email protected]

Asunto: Notificación de Microsoft Office para [email protected] el 4/1/2020 23:46

Fecha: 2 Abr 2020 22:31:45 +0100

Message-ID: <[email protected]>

Versión MIME: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Este encabezado se ha añadido para rastrear el abuso, por favor, inclúyalo con cualquier informe de abuso

X-AntiAbuse: Nombre de host principal - dominio_malicioso

X-AntiAbuse: Dominio original - dominio.es

X-AntiAbuse: UID/GID del emisor/llamante - [47 12] / [47 12]

X-AntiAbuse: Dirección del remitente Dominio - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_malicioso

X-Authenticated-Sender: dominio_malicioso: [email protected]_malicioso

X-Source: 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido) client-ip= dirección_ip_maliciosa ; envelope-from=[email protected]; helo=dominio_malicioso;

X-SPF-Resultado: el dominio de domain.com no designa dirección_ip_maliciosa como remitente permitido

X-Sender-Warning: Fallo en la búsqueda inversa de DNS para dirección_ip_maliciosa (fallido)

X-DKIM-Status: ninguno / / dominio.com / / /

X-DKIM-Status: pass / / dominio_malicioso / dominio_malicioso / / por defecto

 

Nuestro Centro de Operaciones de Seguridad rastreó los enlaces de correo electrónico a URLs de phishing dirigidas a usuarios de Microsoft Office 365. Las URL redirigían a sitios comprometidos en diferentes lugares del mundo.

Simplemente mirando los títulos de los correos electrónicos, sería imposible decir que fueron enviados por alguien que suplantó el dominio de su organización. Estamos acostumbrados a un flujo constante de mensajes de correo electrónico relacionados con el trabajo o la cuenta que nos piden que iniciemos sesión en varios servicios en línea, como Office 365. La suplantación de dominio se aprovecha de ello, haciendo que sus correos electrónicos falsos y maliciosos no se distingan de los auténticos. Prácticamente no hay forma de saber, sin un análisis exhaustivo del correo electrónico, si proviene de una fuente de confianza. Y con las docenas de correos electrónicos que llegan cada día, nadie tiene tiempo para examinar cuidadosamente cada uno de ellos. La única solución sería emplear un mecanismo de autenticación que comprobara todos los correos electrónicos enviados desde su dominio, y bloqueara sólo los que fueran enviados por alguien que lo hiciera sin autorización.

Ese mecanismo de autenticación se llama DMARC. Y como uno de los principales proveedores de soluciones de seguridad para el correo electrónico del mundo, en PowerDMARC nos hemos propuesto que comprenda la importancia de proteger el dominio de su organización. No sólo para usted, sino para todos los que confían y dependen de usted para entregar correos electrónicos seguros y fiables en su bandeja de entrada, en todo momento.

Puede leer sobre los riesgos de la suplantación de identidad aquí: https://powerdmarc.com/stop-email-spoofing/

Descubra cómo puede proteger su dominio de la suplantación de identidad y potenciar su marca aquí: https://powerdmarc.com/what-is-dmarc/