Artículo de blog

  • 8 minutos leídos
Perfil del/a autor/a
  • Waseem Osman
  • DMARC

Cómo las filtraciones de datos de los proveedores ponen en riesgo tu dominio de correo electrónico, y cómo actuar ante ello

Blog de Sendmarc: Incumplimientos de los proveedores | Sendmarc | Protección y seguridad DMARC

Resumen de las infracciones de los proveedores:

  • Las brechas de seguridad de los proveedores ponen en riesgo tu infraestructura de correo electrónico, no solo sistemas del proveedor.
  • La rapidez es fundamental: el margen de tiempo entre la revelación de una brecha y su aprovechamiento por parte de los atacantes es muy reducido.
  • A p=rejectDMARC es tu mejor defensa independiente del proveedor.

Cuando el proveedor de SaaS en el que confías sufre una filtración, tu dominio de correo electrónico se convierte en el siguiente objetivo, a menos que ya hayas establecido las medidas de protección adecuadas.

Las brechas de seguridad de los proveedores no solo sus propios sistemas. Provocan un efecto dominó que pone en riesgo tu infraestructura de correo electrónico. Los atacantes recopilan listas de clientes de los proveedores, comunicaciones internas y patrones de integración para lanzar ataques convincentes a la cadena de suministro contra las empresas de la cadena de suministro. Tu dominio se convierte en un daño colateral del fallo de seguridad de otra persona.

La respuesta tradicional —cambiar las contraseñas y supervisar las cuentas— no es suficiente. Cuando se producen filtraciones en los proveedores, los atacantes obtienen la información necesaria para suplantar a empresas de confianza a través del correo electrónico. Conocen tus relaciones con los proveedores, tus patrones de comunicación y tus procesos. Esta información convierte phishing genérico phishing ataques dirigidos a la cadena de suministro que eluden las medidas tradicionales de concienciación sobre seguridad.

Esta guía aborda los riesgos de seguridad del correo electrónico que surgen cuando se ven comprometidos los servicios de terceros. En ella se describen protocolos de respuesta inmediata, medidas proactivas de protección de dominios y estrategias de seguridad independientes del proveedor que protegen a su organización frente a los ataques a la cadena de suministro.

Descubre cómo Sendmarc protege tu infraestructura de correo electrónico, incluso en caso de que se produzcan filtraciones en los proveedores.

Reserva una demostración

Protocolos de respuesta inmediata ante infracciones por parte de proveedores

Cuando un proveedor anuncia un incidente de seguridad, tu dominio de correo electrónico se ve expuesto a un riesgo elevado en cuestión de horas. Los atacantes actúan con rapidez para aprovechar el lapso de tiempo que transcurre entre la divulgación del incidente y la respuesta de los clientes.

Primera hora: Evaluar la exposición al correo electrónico

Revisa tus políticas de autenticación de correo electrónico para los dominios que interactúan con el proveedor afectado. Comprueba si el proveedor envía correos electrónicos en tu nombre o si tiene acceso a tu infraestructura a través de integraciones.

Indica para qué utiliza el proveedor tus dominios:

  • Notificaciones y alertas automáticas
  • Comunicaciones sobre facturación y cuentas
  • Respuestas a los tickets de asistencia
  • Campañas de marketing
  • Informes generados por el sistema

Este inventario cobra especial importancia en las próximas 48 horas, momento en el que los atacantes suelen lanzar campañas de seguimiento.

De la segunda a la sexta hora: reforzar la vigilancia

Aumentar la frecuencia DMARC a informes diarios durante el periodo en que se produzca el incidente.

Activar alertas en tiempo real para:

  • Errores de autenticación procedentes de dominios asociados al proveedor afectado
  • Aumentos repentinos en el volumen de correos electrónicos procedentes de esos dominios
  • Nuevas fuentes de envío que intentan utilizar tu dominio
  • DKIM SPF DKIM por encima de los niveles de referencia

El seguimiento diario durante los periodos de crisis permite detectar patrones de ataque que los informes semanales pasan por alto.

Días 1 a 7: Bloqueo de la comunicación

Establezca restricciones temporales para las aprobaciones por correo electrónico y las transacciones financieras. Las infracciones cometidas por los proveedores crean las condiciones ideales para los ataques de suplantación de identidad empresarial (BEC), que se aprovechan de las relaciones de confianza.

Establecer la verificación fuera de banda para:

  • Autorizaciones de pago en las que se menciona al proveedor afectado
  • Cambios en los datos de pago o en la información bancaria del proveedor
  • Solicitudes urgentes relacionadas con el incidente de seguridad
  • Mensajes que afirman proceder de los directivos o del equipo de seguridad del proveedor

Los ataques se disparan inmediatamente después de que se produzcan filtraciones en los proveedores, ya que los atacantes disponen de información reciente sobre las relaciones y los patrones de comunicación.

Medidas proactivas de protección de dominios

Una seguridad del correo electrónico independiente del proveedor requiere controles que funcionen independientemente del nivel de seguridad de terceros. Estas medidas protegen su dominio incluso cuando los proveedores de confianza sufren un ataque que compromete por completo su seguridad.

Refuerzo de DMARC

Trasladar los dominios críticos a p=reject antes de que se produzcan brechas de seguridad por parte de los proveedores. Las empresas con p=none o p=quarantine siguen siendo vulnerables a la suplantación de dominio incluso después de que se hayan revelado y corregido las brechas de seguridad de los proveedores.

Ejemplo de registro:

HostTipoValor
_dmarc.yourdomain.comTXTv=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-failures@yourcompany.com;

Una política de rechazo impide que los atacantes suplanten con éxito tu dominio, independientemente de la información que hayan obtenido a raíz de las brechas de seguridad de los proveedores. Esto genera una protección independiente de los proveedores que se mantiene incluso ante ataques a la cadena de suministro.

Aislamiento de subdominios

Implementa subdominios independientes para las integraciones de proveedores con el fin de limitar los posibles riesgos. Crea subdominios específicos para:

  • Comunicaciones iniciadas por el proveedor
  • Herramientas de marketing de terceros
  • Sistemas de asistencia y gestión de incidencias
  • Sistemas financieros y de facturación

Este aislamiento limita la capacidad de un atacante para aprovechar la vulnerabilidad de un proveedor con el fin de suplantar dominios de mayor alcance. Aunque los atacantes accedan a los sistemas del proveedor, no pueden suplantar fácilmente su dominio principal.

Marco de evaluación de riesgos para las integraciones de correo electrónico de proveedores

No todas las relaciones con los proveedores entrañan el mismo riesgo para la seguridad del correo electrónico. Establezca criterios de evaluación sistemáticos para identificar las integraciones de alto riesgo antes de que se produzcan incidentes.

Auditoría de privilegios de correo electrónico de proveedores

Documenta los permisos de correo electrónico concedidos a cada proveedor:

  • Acceso para enviar mensajes en nombre de otros en tus dominios
  • Acceso a las direcciones de correo electrónico de los empleados y a las listas de distribución
  • Integración con su infraestructura de seguridad del correo electrónico
  • Autorización para modificar registros DNS o políticas de autenticación de correo electrónico
  • Almacenamiento del contenido o los metadatos del correo electrónico

Los proveedores con amplios privilegios de correo electrónico crean superficies de ataque más extensas cuando se ven comprometidos.

Asignación de dependencias de integración

Analiza cómo un ataque a un proveedor podría propagarse por tu infraestructura de correo electrónico. Identifica:

  • Proveedores de los que dependen otros proveedores (riesgo de la cadena de suministro anidada)
  • Puntos únicos de fallo en la autenticación del correo electrónico
  • Proveedores con acceso a cuentas de correo electrónico administrativas

Este análisis pone de manifiesto vectores de ataque ocultos en la cadena de suministro que las evaluaciones de riesgos estándar pasan por alto.

Análisis del historial de incidentes

Realiza un seguimiento de los incidentes de seguridad de los proveedores a lo largo del tiempo para identificar patrones:

  • Frecuencia y gravedad de las violaciones de seguridad comunicadas
  • Tiempo transcurrido entre la ocurrencia del incidente y su notificación
  • Calidad de la comunicación sobre incidencias y la orientación al cliente
  • Pruebas de ataques a la cadena de suministro tras los incidentes

Los proveedores con un historial de incidentes deficiente deben aplicar controles de seguridad adicionales para el correo electrónico, independientemente de su nivel de seguridad actual.

Cómo te ayuda Sendmarc a mantenerte protegido

La forma más eficaz de prevenir los ataques a la cadena de suministro no depende de las prácticas de seguridad de los proveedores. Implemente controles de seguridad del correo electrónico que funcionen independientemente de los incidentes que puedan sufrir terceros.

DMARC integral DMARC de Sendmarc garantiza esta independencia respecto a los proveedores. Unas políticas de autenticación sólidas, una supervisión continua y funciones de respuesta automatizada protegen su dominio frente a los ataques a la cadena de suministro.

Reserva una demostración