Le secteur de la santé constitue un maillon particulièrement fragile de l'écosystème numérique espagnol. Seul un très faible pourcentage des domaines liés à la santé applique des politiques strictes, tandis qu'une grande partie d'entre eux ne dispose d'aucune infrastructure DMARC. À cela s'ajoute l'absence quasi totale de MTA-STS, ce qui rend les dossiers médicaux des patients et les canaux de communication cliniques internes extrêmement vulnérables à l'interception malveillante et à l'usurpation de domaine.
Les établissements bancaires et financiers espagnols sont à la pointe du pays en matière de maturité des politiques de sécurité, grâce notamment à des réglementations européennes directes telles que la directive DORA. Cependant, cette défense en profondeur est considérablement compromise par un taux d'absence généralisé de la norme MTA-STS. Cela signifie que, si les tentatives d'usurpation entrantes sont fortement restreintes, le trafic transactionnel sortant, les journaux de messagerie interne et les instructions de virement circulent souvent sans cryptage obligatoire au niveau de la couche de transit.
Les domaines de l'administration publique espagnole affichent un excellent niveau de conformité de base grâce à leur alignement obligatoire sur l'ENS. Cependant, seule une infime partie d'entre eux applique une politique de rejet préventif. Surtout, de nombreux services publics municipaux et régionaux ne disposent d'aucune protection DMARC. Conjugué à de faibles taux d'adoption du MTA-STS et du DNSSEC, cela rend les canaux de communication destinés aux citoyens extrêmement vulnérables à l'usurpation d'identité.
Les réseaux universitaires et de recherche présentent des surfaces d'attaque vastes et dispersées. Bien qu'elles parviennent à maintenir un score SPF raisonnablement correct, seule une infime minorité d'établissements d'enseignement a mis en place une application stricte de ces mesures. De plus, nombre d'entre eux ont tout simplement omis de mettre en œuvre le protocole DMARC et ne disposent pas du protocole MTA-STS, exposant ainsi la propriété intellectuelle issue de la recherche universitaire et les dossiers des étudiants à un risque d'exfiltration systématique.
En tant que principaux gardiens du débat public, les réseaux médiatiques espagnols sont confrontés à une grave menace pour leur crédibilité. À l'heure actuelle, seule une fraction des domaines du secteur applique des mesures de protection, et beaucoup ne disposent d'aucun cadre DMARC. Conjugué à un déficit important dans le déploiement de MTA-STS, cela permet aux cybercriminels d'usurper facilement l'identité de sources d'information de premier plan pour mener des campagnes coordonnées de désinformation ou d'hameçonnage.
Les opérateurs de télécommunications gèrent des infrastructures de facturation clients de grande envergure. Si certains ont adopté une approche stricte en matière d'application des règles, une grande partie d'entre eux ne disposent pas d'une entrée DMARC dans leurs enregistrements DNS. Conjuguée à une lacune importante au niveau du protocole MTA-STS, cette situation rend les alertes de validation des abonnés, les avis de facturation et les comptes administratifs extrêmement vulnérables à la manipulation.
Les réseaux logistiques constituent l'épine dorsale du commerce local, mais c'est dans ce secteur que l'Espagne affiche les scores de sécurité les plus faibles. Un nombre alarmant de domaines ne disposent pas d'une configuration de protection opérationnelle, tandis qu'une part importante d'entre eux ne comportent aucun paramètre DMARC. Conjuguées à une lacune majeure au niveau du protocole MTA-STS, les opérations de facturation de la chaîne d'approvisionnement restent extrêmement exposées aux tentatives d'interception de factures.
Les secteurs énergétiques fournissent des services nationaux essentiels, mais présentent d'importantes lacunes en matière de politiques lorsqu'ils sont examinés à la lumière de la directive NIS2. Si une grande partie d'entre eux a mis en place SPF de base SPF, seule une petite fraction applique activement des politiques de rejet, et beaucoup ne disposent d'aucune architecture DMARC. De plus, la plupart ne disposent pas du chiffrement MTA-STS, ce qui crée des vecteurs d'attaque pour les notifications d'ingénierie malveillantes ciblant les ressources périphériques.