Artículo de blog
- 11 minutos de lectura
- Sendmarc
¿Qué es DMARC y cómo puede protegerte?
DMARC es un protocolo tecnológico que verifica el origen de un correo electrónico y se asegura de que solo lleguen a la bandeja de entrada correos electrónicos reales.
Todas las empresas son presa de los ciberdelincuentes del correo electrónico; la "estafa de los 26.000 millones de dólares". El 80% de las organizaciones siguen expuestas: DMARC puede tú.
La ciberdelincuencia es uno de los puntos principales de la agenda de muchas empresas, y el correo electrónico es un importante vector de ataque que se explota activamente. Sin embargo, la mayoría de las empresas creen erróneamente que cuentan con todos los protocolos de seguridad del correo electrónico necesarios para protegerse. Esta creencia errónea, y el hecho de que cuando se diseñó el correo electrónico no se tuvo en cuenta la idea de la falsificación, han sido factores que han contribuido al aumento de los ciberdelincuentes, que cada vez utilizan más el correo electrónico como herramienta de ataque.
Debido a su defecto de diseño de seguridad, el correo electrónico, tal como está, no ofrece ninguna protección contra ataques como:
- Suplantación de nombres de dominio
La suplantación de nombres de dominio implica que un ciberdelincuente utilice el nombre de dominio de una empresa para hacerse pasar por ella y engañar a un usuario para que le dé dinero o información confidencial, y también implica enlaces por correo electrónico a sitios web falsos. - Suplantación del nombre de usuario
La suplantación del nombre de usuario se produce cuando un correo electrónico tiene un nombre de usuario falsificado de un remitente de confianza conocido por el destinatario. - AtaquesPhishing
Los ciberdelincuentes utilizan los ataques dePhishing para engañar a las víctimas con el fin de que entreguen información o dinero, o instalen programas maliciosos, lo que se consigue mediante el envío de un correo electrónico malicioso.
El correo electrónico: el arma preferida de los ciberdelincuentes
Falsificar un correo electrónico (Display Name Spoofing) es relativamente rápido y no requiere conocimientos de codificación. Sin embargo, los correos electrónicos falsos que secuestran los nombres de los empleados y también imitan el formato y las características lingüísticas únicas del remitente o de la empresa, requieren más habilidad. Sin embargo, hay muchos sitios web que anuncian cómo falsificar un nombre para mostrar del remitente, y solo hacen falta unos sencillos pasos para que cualquiera pueda crear y enviar un correo electrónico falso y asumir la identidad de la persona real.
La creación de un nombre de dominio falsificado (Domain Spoofing), es más rápida y fácil que el registro de un dominio de apariencia, aunque ambos métodos son armas muy utilizadas en la caja de herramientas de los ciberdelincuentes. Esto debería preocupar enormemente a todas las empresas.
Mientras que es habitual implementar tecnología de seguridad centrada en proteger contra lo que entra en una organización, muchas organizaciones se olvidan de implementar los protocolos de seguridad necesarios para garantizar que sólo lleguen a la bandeja de entrada los correos electrónicos autenticados que llevan su nombre. Esta brecha de seguridad está costando muy cara a las empresas, tanto desde el punto de vista financiero como reputacional. La defensa contra estos ataques es la norma técnica mundial DMARC (Domain-based Message Authentication, Reporting and Conformance), y las empresas que carecen de ella están en peligro.
Todas las empresas deberían conocer su riesgo de exposición al DMARC ante los ciberdelincuentes.
Cualquier empresa que se tome en serio la seguridad del correo electrónico y la protección de su marca, sus empleados y sus socios puede conocer al instante su vulnerabilidad ante los estafadores del correo electrónico con un rápido análisis en línea autoadministrado.
Los ciberdelincuentes ganan miles de millones con el fraude por correo electrónico
En 2019 se enviaron diariamente la asombrosa cifra de 128.800 millones* de correos electrónicos empresariales. Sin embargo, todos ellos no eran necesariamente lo que parecían en un principio. La mayoría de las veces, cuando se recibe un correo electrónico, escaneamos para ver de quién procede. Nos fijamos en el nombre del remitente y/o en el nombre del dominio de la empresa y determinamos si lo reconocemos o no. Cuando los reconocemos, asumimos automáticamente la legitimidad del correo electrónico y confiamos en que es lo que parece ser; lo tomamos por su valor nominal.
Si buscas ejemplos de organizaciones que han sido víctimas de ciberdelincuentes que se han hecho pasar por ejecutivos, vendedores y proveedores, no tú faltará donde elegir. Está el caso de la tesorera de la ciudad de Ottawa, que recibió un correo electrónico de una dirección que creía que pertenecía al director de la ciudad y fue engañada para que transfiriera unos 100.000 dólares a un estafador, y el caso más conocido del ejecutivo financiero de Mattel, que creyó que un correo electrónico que había recibido era del director general, cuando en realidad era falso y había sido enviado por un delincuente que se hacía pasar por el director general. El ejecutivo financiero envió 3 millones de dólares al delincuente.
En Sudáfrica, la Universidad de Mpumalanga fue engañada para que transfiriera unos 6,5 millones de dólares (100 millones de ZAR) a un estafador. Recibieron un correo electrónico falsificado que utilizaba el nombre de su gestor de activos, así como el nombre de la empresa, que era Investec. El ciberdelincuente utilizó tanto la suplantación de nombres de pantalla como la suplantación de nombres de dominio en su ataque a la Universidad para obtener un beneficio fraudulento.
El correo electrónico indicaba que Investec, la empresa que gestionaba sus activos, había cambiado los datos bancarios; su nuevo banco era FNB y compartían el nuevo número de cuenta para que el dinero fuera abonado.
Los pagos fueron transferidos por la Universidad a la nueva cuenta bancaria. La actividad delictiva sólo salió a la luz cuando el corredor de bolsa real hizo consultas al director financiero de la Universidad sobre el estado del pago adeudado, y la Universidad respondió que ya habían transferido el dinero a su nuevo banco. Tras ser alertados del correo electrónico fraudulento y de la transferencia incorrecta de fondos, se contactó con los bancos para que detuvieran la transacción, y se tuvo la suerte de que la FNB había marcado los movimientos de la cuenta como sospechosos y la Universidad pudo recuperar la mayor parte del dinero.
UNICEF en Sudáfrica también ha sido blanco de los ciberdelincuentes que utilizan la suplantación de nombres de pantalla y nombres de dominio en un ataque phishing selectivo. A principios de 2021, se envió a los destinatarios un correo electrónico falsificado que simulaba proceder de UNICEF Sudáfrica y en el que se les pedía que participaran en un proceso de licitación para la construcción y renovación interior de una de sus instalaciones en Pretoria. La dirección de correo electrónico no pertenecía a UNICEF Sudáfrica, pero los ciberdelincuentes se habían apropiado del nombre de UNICEF en este ataque de phishing .
Estos correos electrónicos phishing con dominios de apariencia similar se dirigen a personas concretas con el objetivo específico de estafar a su empresa. El dominio de imitación puede tener solo una letra cambiada en el nombre de dominio, pero si no se tienen en cuenta las diferentes permutaciones de imitación a la hora de diseñar e implementar soluciones sólidas de seguridad de correo electrónico, los ciberdelincuentes pueden llevar a cabo sus delitos con éxito y sin obstáculos.
Desgraciadamente, hay decenas de miles de ejemplos de la vida real, desde pequeñas empresas hasta grandes corporaciones multinacionales, que han sido víctimas de estafas por correo electrónico que han sido posibles gracias a que los ciberdelincuentes se han aprovechado de una seguridad inexistente o débil del correo electrónico.
Según los informes, aproximadamente el 80% de las organizaciones no cuentan con los protocolos de seguridad necesarios para detener los ataques de phishing y spoofing, y para proteger su nombre de dominio de la explotación despiadada de los estafadores. El correo electrónico no se diseñó originalmente pensando en la seguridad, lo que permite a los delincuentes insertar fácilmente la dirección de cualquier remitente en un mensaje falsificado. Es este defecto el que proporciona a los ciberdelincuentes de hoy en día una herramienta para realizar actividades fraudulentas, a menos que se aplique la tecnología adecuada para detenerlo.
Los ciberataques contra empresas de alto perfil generan muchos titulares, pero todas las organizaciones tienen correo electrónico y las pequeñas y medianas empresas corren solo mismo riesgo que las grandes. Por ello, la implantación de DMARC debe ser una prioridad para las empresas de todos los tamaños.
El mejor estándar tecnológico de protección contra la actividad fraudulenta por correo electrónico
DMARC es un protocolo tecnológico que verifica el origen de un correo electrónico y se asegura de que sólo lleguen a la bandeja de entrada correos electrónicos reales de la empresa y la persona reales. Esta tecnología interroga a la fuente del correo electrónico y verifica si es realmente de quien dice proceder, y sólo entonces da permiso para que se entregue al destinatario previsto. Los correos que no se autentifican o no pueden autentificarse no se entregan.
Al implantar DMARC, los correos electrónicos auténticos de una empresa llegarán a la bandeja de entrada del destinatario, y su nombre no acabará asociado a estafas y fraudes. La entrega fluida y rápida de correos electrónicos legítimos contribuye de forma importante a la productividad, y con DMARC la entrega de correos electrónicos mejora considerablemente.
Hay dos elementos funcionales críticos de DMARC. En primer lugar, DMARC establece una política para los dominios que han sido autenticados por SPF (Sender-Policy Framework) y DKIM (Domain Keys Identified Mail). SPF proporciona la verificación de los correos electrónicos que coinciden con servidores y direcciones IP autorizadas vinculadas al propietario del dominio, mientras que DKIM verifica que un mensaje no ha sido manipulado, ni alterado ni falsificado, mediante una clave de cifrado y una firma digital. La política DMARC determina lo que debe ocurrir cuando se recibe un correo electrónico no autorizado procedente de este dominio. Aunque existen tres posibilidades de política -ninguna, cuarentena y rechazo-, sólo con una política de rechazo una empresa está realmente protegida.
Sendmarc tiene una garantía estándar de conseguir p=reject en 90 días para todos los clientes gestionados, y configura proactivamente los dominios para asegurar la defensa continua contra las nuevas amenazas que vayan surgiendo.
Sin embargo, las empresas no deben pensar que por el simple hecho de establecer una política de "rechazo" todo seguirá igual. A menos que haya un análisis completo y adecuado y un reporte del uso de todos los dominios registrados en una empresa, la entrega de correos electrónicos legítimos se verá gravemente afectada, ya que serán bloqueados, causando graves daños a la productividad, problemas de servicio operativo y experiencias negativas para los clientes.
En segundo lugar, DMARC permite a los ISP generar informes que proporcionan una visión completa del éxito o fracaso de la autenticación del dominio. La plataforma personalizada de Sendmarc es totalmente compatible con todos los ISP y la integración es perfecta, y su utilización del proceso automatizado y la implementación políticas permite la visibilidad en tiempo real y el reporte de todos los correos electrónicos legítimos e ilegítimos que utilizan el nombre de dominio de un cliente.
Mientras que DMARC es una combinación de SPF y DKIM, que añade las capas críticas del reporte configuración de políticas, Sendmarc ofrece una capa adicional sobrealimentada a la defensa DMARC con BIMIBrand Indicators for Message Identification) que se basa en DMARC y en los protocolos de autenticación de correo electrónico. BIMI permite a las organizaciones mostrar un logotipo o imagen junto al nombre del remitente en los mensajes de correo electrónico.
Un logotipo o una imagen deben "certificarse", lo que implica un proceso de verificación que asocia y bloquea el logotipo o la imagen a una empresa y un dominio, y la emisión de un Certificado de Marca Verificada (CMV). El VMC se añade al registro BIMI de una empresa para mostrar el elemento visual. Esto otorga a la empresa el control total sobre su logotipo o imagen asociada y añade una capa adicional de verificación a DMARC, proporcionando al destinatario una confianza visual sencilla en la autenticidad del correo electrónico.
Teniendo en cuenta que la suplantación de marca supone el 83 % de los ataques de spear phishing y que desde 2016 los ataques de email spoofing y phishing han costo las empresas de todo el mundo 26.000 millones de dólares, es vital que las empresas se aseguren no solo de implementar DMARC , sino de que los dominios estén correctamente configurados para utilizar DMARC y detener así a los ciberdelincuentes.
Detener a los ciberdelincuentes; los más altos estándares de seguridad
Además de que las características y funcionalidades del producto Sendmarc son idénticas para todos los clientes, también lo es su garantía. Y aunque el producto es idéntico para todos los clientes, cabe destacar que el análisis del dominio y del entorno de correo electrónico, laimplementación DMARC y el reporte continuo serán diferentes para cada empresa. Esto se debe a que el número de nombres de dominio registrados, así como el número de proveedores de servicios de terceros, varía para cada empresa de unos pocos a muchos cientos, y esto afecta a la complejidad de la implementación.
Todas las empresas, sea cual sea su tamaño, necesitan saber si están protegidas frente a los ciberdelincuentes que se hacen pasar por ellos. Estos ciberdelincuentes son estafadores a tiempo completo, centrados en robar a cualquier empresa que puedan, especialmente a aquellas que se lo ponen fácil. Las organizaciones, sin excepción, deben invertir en tecnología para evitar que los ataques tengan éxito y reforzar sus soluciones actuales de filtros de spam, software antivirus y otras soluciones de seguridad heredadas con DMARC, para impedir que los ciberdelincuentes intenten engañar al destinatario del correo electrónico haciéndole creer que procede de alguien en quien confía o a quien conoce. Puede tratarse de un colega, una marca o un socio/proveedor. Esta confianza puede entonces aprovecharse para obtener beneficios ilícitos.
Enviar un correo electrónico es rápido y fácil y la herramienta más utilizada para la comunicación empresarial. Ahora también es la herramienta más utilizada por los ciberdelincuentes, y las estafas que comprometen el correo electrónico de las empresas pueden durar meses o incluso años antes de ser detectadas, causando, para algunos, daños financieros y de reputación irreparables.
La ciberdelincuencia afecta a todas las empresas de todos los continentes. Un informe de la Interpol sobre la ciberdelincuencia en África señala que, entre enero de 2020 y febrero de 2021, "Sudáfrica... fue el país con más intentos de ransomware y BEC [business email compromise]". Sin DMARC , una empresa es más susceptible de ser víctima de estos ciberdelincuentes, que falsifican cuentas de correo electrónico o sitios web o envían correos electrónicos de spearphising.
Averigüe cuán susceptible es tú a los ciberdelincuentes que utilizan el correo electrónico como su arma preferida realizando la evaluación en línea autoadministrada de Sendmarc.
