Google, Yahoo y Apple van a empezar a aplicar los requisitos de autenticación del correo electrónico que anunciaron hace unos meses, diseñados para impedir el envío de phishing o spam, el ataque al correo electrónico corporativo (BEC) y otras estafas basadas en este canal de comunicación tan utilizado por organizaciones y consumidores.
Aunque parezca que las empresas tengan que actuar a contrarreloj debido a la imposición de estas medidas, la autenticación del correo electrónico es una práctica recomendada desde hace tiempo. Por ejemplo, el protocolo DMARC (Domain-based Message Authentication Reporting and Conformance) y sus mecanismos de autenticación asociados, como los protocolos SPF (Sender Policy Framework) y DKIM (Domain Key Identified Mail), están disponibles desde hace más de una década y son el estándar de referencia para la protección contra la suplantación de identidad, una técnica clave en los ataques BEC y de phishing.
DMARC es un protocolo de validación del correo electrónico diseñado para proteger los nombres de dominio de ser usados indebidamente por ciberdelincuentes, disminuyendo el riesgo de suplantación de las marcas. Autentica la identidad del remitente antes de permitir que el mensaje llegue a su destinatario. “Rechazar” es el nivel más estricto y recomendado de protección DMARC, una configuración que bloquea los correos electrónicos fraudulentos para que no lleguen a su destinatario. A modo de analogía, la protección DMARC es como los controles de identidad (DNI o pasaporte) en el aeropuerto que deben superarse antes de pasar a la siguiente fase para evaluar la seguridad.
Para evaluar si las principales compañías tienen implementadas medidas para proteger a sus clientes de ser víctimas de una estafa por email, Proofpoint ha realizado un análisis DMARC de los dominios utilizados por las organizaciones de la lista The Global 2000 de Forbes. A continuación, los principales resultados del análisis:
- El 73% de las empresas de la lista global ha publicado un registro DMARC, lo que significa que el 27% no está tomando medidas para evitar que su marca sea suplantada ante los usuarios. En el caso de las organizaciones españolas de la lista, un 70% han publicado un registro DMARC.
- Menos de un tercio (31%) de estas empresas globales ha implementado el nivel más estricto y recomendado de DMARC, mediante el cual se bloquea el email antes de ser entregado al destinatario. Sin embargo, en el caso de las compañías españolas, este porcentaje aumenta hasta el 40%.
- Sólo un 15% del ranking global, y un 3% de las organizaciones de España incluidas, cuentan con un nivel intermedio de DMARC, en el que el mensaje sospechoso se envía automáticamente a una carpeta de cuarentena.
“Las personas siguen siendo el eslabón más débil de la cadena de ataque, y el error humano es la principal causa de los incidentes cibernéticos. Aunque la concienciación y la educación de los usuarios desempeñan un papel importante en el refuerzo de esta capa de seguridad, los controles técnicos como DMARC son extremadamente importantes para proteger una organización frente a los ciberataques basados en el correo electrónico y el fraude”, explica Fernando Anaya, director regional de Proofpoint para Iberia. “Como cualquier herramienta de seguridad, el protocolo DMARC no es infalible, pero añade otra capa de protección y contribuye a hacer más fuertes las defensas y minimiza el riesgo de suplantación para las organizaciones. Los requisitos de correo electrónico de Google, Apple y Yahoo son una gran oportunidad para que las organizaciones cubran sus carencias en la seguridad del correo electrónico, preferiblemente recurriendo a los expertos y recursos que tengan a su disposición para garantizar que están cumpliendo con las mejores prácticas y asegurarse de que están abordando las amenazas del correo electrónico de forma integral”.
