Artículo del blog
2 de agosto de 2022 | 11 minutos de lectura

¿Qué es DMARC y cómo puede protegerle?

DMARC es un protocolo tecnológico que verifica el origen de un correo electrónico y se asegura de que sólo lleguen a la bandeja de entrada correos electrónicos reales.

Todas las empresas son presa de los ciberdelincuentes del correo electrónico; la "estafa de los 26.000 millones de dólares".

 

El 80% de las organizaciones siguen estando expuestas: DMARC puede protegerle.

La ciberdelincuencia es uno de los puntos principales de la agenda de muchas empresas, y el correo electrónico es un importante vector de ataque que se explota activamente. Sin embargo, la mayoría de las empresas creen erróneamente que cuentan con todos los protocolos de seguridad del correo electrónico necesarios para protegerse. Esta creencia errónea, y el hecho de que cuando se diseñó el correo electrónico no se tuvo en cuenta la idea de la falsificación, han sido factores que han contribuido al aumento de los ciberdelincuentes, que cada vez utilizan más el correo electrónico como herramienta de ataque.

Debido a su defecto de diseño de seguridad, el correo electrónico, tal como está, no ofrece ninguna protección contra ataques como:

  1. Suplantación de nombres de dominio
    La suplantación de nombres de dominio implica que un ciberdelincuente utilice el nombre de dominio de una empresa para hacerse pasar por ella y engañar a un usuario para que le dé dinero o información confidencial, y también implica enlaces de correo electrónico a sitios web falsos.
  2. Falsificación del nombre de usuario
    La suplantación del nombre de usuario se produce cuando un correo electrónico tiene un nombre de usuario falsificado de un remitente de confianza conocido por el destinatario.
  3. Ataques de phishing
    Los ataques de phishing son utilizados por los ciberdelincuentes para engañar a las víctimas para que entreguen información o dinero, o instalen malware, lo que se consigue mediante el envío de un correo electrónico malicioso.

El correo electrónico: el arma preferida de los ciberdelincuentes

Falsificar un correo electrónico (Display Name Spoofing) es relativamente rápido y no requiere ninguna habilidad de codificación. Sin embargo, los correos electrónicos falsos que secuestran los nombres de los empleados y también imitan el formato y las características lingüísticas únicas del remitente o de la empresa, requieren más habilidad. Sin embargo, hay muchos sitios web que anuncian cómo falsificar un nombre de remitente, y cualquiera puede crear y enviar un correo electrónico falso y asumir la identidad de la persona real en pocos pasos.

La creación de un nombre de dominio falsificado (Domain Spoofing), es más rápida y fácil que el registro de un dominio de apariencia, aunque ambos métodos son armas muy utilizadas en la caja de herramientas de los ciberdelincuentes. Esto debería preocupar enormemente a todas las empresas.

Mientras que es habitual implementar tecnología de seguridad centrada en la protección de lo que entra en una organización, muchas organizaciones se olvidan de implementar los protocolos de seguridad necesarios para garantizar que sólo lleguen a la bandeja de entrada los correos electrónicos autentificados que llevan su nombre. Esta brecha de seguridad está costando caro a las empresas, tanto en términos económicos como de reputación. La defensa contra estos ataques es la norma técnica global llamada DMARC (Domain-based Message Authentication, Reporting and Conformance), y las empresas que no la utilizan están en peligro.

Todas las empresas deberían conocer su riesgo de exposición al DMARC ante los ciberdelincuentes.

Cualquier empresa que se tome en serio la seguridad del correo electrónico y la protección de su marca, sus empleados y sus socios puede conocer al instante su vulnerabilidad ante los estafadores del correo electrónico con un rápido análisis en línea autoadministrado.

Compruebe su dominio

Los ciberdelincuentes ganan miles de millones con el fraude por correo electrónico

En 2019 se enviaron diariamente la asombrosa cifra de 128.800 millones* de correos electrónicos empresariales. Sin embargo, todos ellos no eran necesariamente lo que parecían en un principio. La mayoría de las veces, cuando se recibe un correo electrónico, escaneamos para ver de quién procede. Nos fijamos en el nombre del remitente y/o en el nombre del dominio de la empresa y determinamos si lo reconocemos o no. Cuando los reconocemos, asumimos automáticamente la legitimidad del correo electrónico y confiamos en que es lo que parece ser; lo tomamos por su valor nominal.

Busque ejemplos de organizaciones que han sido atacadas por ciberdelincuentes que se han hecho pasar por ejecutivos, vendedores y proveedores, y tendrá muchas opciones. Está el caso de la tesorera de la ciudad de Ottawa, que recibió un correo electrónico de una dirección que creía que pertenecía al director de la ciudad y fue engañada para que transfiriera unos 100.000 dólares a un estafador, y el caso más conocido del ejecutivo financiero de Mattel, que creyó que un correo electrónico que había recibido era del director general, cuando en realidad era una falsificación que había sido enviada por un delincuente que se hacía pasar por el director general. El ejecutivo financiero envió 3 millones de dólares al delincuente.

En Sudáfrica, la Universidad de Mpumalanga fue engañada para que transfiriera unos 6,5 millones de dólares (100 millones de ZAR) a un estafador. Recibieron un correo electrónico falsificado que utilizaba el nombre de su gestor de activos, así como el nombre de la empresa, que era Investec. El ciberdelincuente utilizó tanto la suplantación de nombres de pantalla como la suplantación de nombres de dominio en su ataque a la Universidad para obtener un beneficio fraudulento.

El correo electrónico indicaba que Investec, la empresa que gestionaba sus activos, había cambiado los datos bancarios; su nuevo banco era FNB y compartían el nuevo número de cuenta para que el dinero fuera abonado.

Los pagos fueron transferidos por la Universidad a la nueva cuenta bancaria. La actividad delictiva sólo salió a la luz cuando el corredor de bolsa real hizo consultas al director financiero de la Universidad sobre el estado del pago adeudado, y la Universidad respondió que ya habían transferido el dinero a su nuevo banco. Tras ser alertados del correo electrónico fraudulento y de la transferencia incorrecta de fondos, se contactó con los bancos para que detuvieran la transacción, y se tuvo la suerte de que la FNB había marcado los movimientos de la cuenta como sospechosos y la Universidad pudo recuperar la mayor parte del dinero.

UNICEF en Sudáfrica también ha sido blanco de los ciberdelincuentes que utilizan la suplantación de nombres de pantalla y de dominio en un ataque de phishing dirigido. A principios de 2021, se envió a los destinatarios un correo electrónico falsificado que simulaba ser de UNICEF Sudáfrica y en el que se les pedía que participaran en un proceso de licitación para la construcción y renovación interior de una de sus instalaciones en Pretoria. La dirección de correo electrónico no pertenecía a UNICEF Sudáfrica, pero los ciberdelincuentes habían secuestrado el nombre de UNICEF en este ataque de phishing.

Correo electrónico DMARC

Estos correos electrónicos de phishing con dominios de apariencia se dirigen a personas concretas con el objetivo específico de estafar a su empresa. El dominio de apariencia puede tener sólo una letra cambiada en el nombre del dominio, sin embargo, si no se tienen en cuenta las diferentes permutaciones de apariencia en el diseño e implementación de soluciones robustas de seguridad de correo electrónico, los ciberdelincuentes pueden llevar a cabo sus delitos con éxito y sin obstáculos.

Desgraciadamente, hay decenas de miles de ejemplos de la vida real, desde pequeñas empresas hasta grandes corporaciones multinacionales, que han sido víctimas de estafas por correo electrónico que han sido posibles gracias a que los ciberdelincuentes se han aprovechado de una seguridad inexistente o débil del correo electrónico.

Según los informes, aproximadamente el 80% de las organizaciones no cuentan con los protocolos de seguridad necesarios para detener los ataques de phishing y spoofing, y para proteger su nombre de dominio de la explotación despiadada de los estafadores. El correo electrónico no se diseñó originalmente pensando en la seguridad, lo que permite a los delincuentes insertar fácilmente la dirección de cualquier remitente en un mensaje falsificado. Es este defecto el que proporciona a los ciberdelincuentes de hoy en día una herramienta para realizar actividades fraudulentas, a menos que se aplique la tecnología adecuada para detenerlo.

Los ciberataques contra empresas de alto perfil generan muchos titulares, sin embargo, todas las organizaciones tienen correo electrónico y las pequeñas y medianas empresas corren el mismo riesgo que una gran empresa. Por ello, la implementación de DMARC debe ser una prioridad para las empresas de todos los tamaños.

Compruebe su dominio

El mejor estándar tecnológico de protección contra la actividad fraudulenta por correo electrónico

DMARC es un protocolo tecnológico que verifica el origen de un correo electrónico y se asegura de que sólo lleguen a la bandeja de entrada los correos electrónicos reales de la empresa y la persona reales. Esta tecnología interroga a la fuente del correo electrónico, y verifica si quien dice serlo es realmente el caso, y sólo entonces da permiso para que se entregue al destinatario previsto. Los correos electrónicos que no son o no pueden ser autentificados no se entregan.

Al implementar DMARC, los correos electrónicos genuinos de una empresa llegarán a la bandeja de entrada del destinatario, y su nombre no acabará asociado a estafas y fraudes. La entrega rápida y sin problemas de correos electrónicos legítimos es un factor importante para la productividad, y con DMARC la entrega de correos electrónicos mejora considerablemente.

Hay dos elementos funcionales críticos de DMARC. En primer lugar, DMARC establece una política para los dominios que han sido autentificados por SPF (Sender-Policy Framework) y DKIM (Domain Keys Identified Mail). SPF proporciona la verificación de los correos electrónicos que coinciden con los servidores y las direcciones IP autorizadas vinculadas al propietario del dominio, mientras que DKIM verifica que un mensaje no ha sido manipulado, ni alterado ni falsificado, utilizando una clave de cifrado y una firma digital. La política DMARC determina lo que debe suceder cuando se recibe un correo electrónico no autorizado de este dominio. Aunque hay tres posibilidades de políticas -ninguna, cuarentena y rechazo-, sólo con una política de rechazo una empresa está realmente protegida.

Sendmarc tiene una garantía estándar de conseguir p=rechazo en 90 días para todos los clientes gestionados, y configura proactivamente los dominios para asegurar la defensa continua contra las nuevas amenazas que surjan.

Sin embargo, las empresas no deben pensar que por el simple hecho de establecer una política de "rechazo" todo seguirá igual. A menos que haya un análisis completo y adecuado y un informe constante del uso de todos los dominios registrados en una empresa, la entrega de correos electrónicos legítimos se verá gravemente afectada, ya que se bloquearán, causando graves daños a la productividad, problemas de servicio operativo y experiencias negativas para los clientes.

En segundo lugar, DMARC permite que los ISPs generen informes que proporcionen una visión completa del éxito o fracaso de la autenticación del dominio. La plataforma personalizada de Sendmarc es totalmente compatible con todos los ISP y la integración es perfecta, y su utilización del proceso automatizado y la implementación de políticas permite la visibilidad en tiempo real y la presentación de informes de todos los correos electrónicos legítimos e ilegítimos que utilizan el nombre de dominio de un cliente.

Mientras que DMARC es una combinación de SPF y DKIM, añadiendo las capas críticas de informes de configuración de políticas, Sendmarc ofrece una capa adicional sobrecargada a la defensa de DMARC con BIMI (Indicadores de marca para la identificación de mensajes) que se basa en DMARC y en los protocolos de autenticación de correo electrónico. BIMI permite a las organizaciones hacer que se vea un logotipo o una imagen junto al nombre del remitente en los mensajes de correo electrónico.

Un logotipo o una imagen deben ser "certificados", lo que implica un proceso de verificación en el que el logotipo o la imagen se asocian y bloquean a una empresa y un dominio, y se emite un Certificado de Marca Verificada (VMC). El VMC se añade al registro BIMI de una empresa para mostrar el visual. Esto permite a la empresa tener un control total sobre su logotipo o una imagen asociada y añade una capa adicional de verificación a DMARC, proporcionando al destinatario una confianza visual fácil en la autenticidad del correo electrónico.

Teniendo en cuenta que la suplantación de marca es el 83 % de los ataques de spear phishing y que desde 2016 los ataques de suplantación de correo electrónico y phishing han costado a las empresas de todo el mundo 26.000 millones de dólares, es vital que las empresas se aseguren no solo de implementar DMARC, sino que se aseguren de que los dominios están correctamente configurados para usar DMARC para detener a los ciberdelincuentes.

Compruebe su dominio

Detener a los ciberdelincuentes; los más altos estándares de seguridad

Sendmarc fue construido con el objetivo de implementar DMARC de forma fácil y completa. Tiene un único producto universal, lo que significa que cada cliente recibe el mismo conjunto completo de características y funcionalidad. Dado que todas las empresas se enfrentan a las mismas amenazas, Sendmarc cree que todas las empresas deberían recibir el mismo estándar de protección.

Además de que las características y funcionalidades del producto Sendmarc son idénticas para todos los clientes, también lo es su garantía. Y aunque el producto es idéntico para todos los clientes, cabe destacar que el análisis del dominio y del entorno de correo electrónico, la implementación de DMARC y los informes continuos serán diferentes para cada empresa. Esto se debe a que el número de nombres de dominio registrados, así como el número de proveedores de servicios de terceros, varía para cada empresa desde unos pocos hasta muchos cientos, y esto afecta a la complejidad de la implementación.

Todas las empresas de cualquier tamaño necesitan saber si están protegidas de los ciberdelincuentes. Estos ciberdelincuentes son defraudadores a tiempo completo, centrados en robar a cualquier empresa que puedan, especialmente a aquellas que se lo ponen fácil. Las organizaciones, sin excepción, deben invertir en tecnología para evitar que los ataques tengan éxito y reforzar sus soluciones actuales de filtros de spam, software antivirus y otras soluciones de seguridad heredadas con DMARC, para impedir que los ciberdelincuentes intenten engañar al destinatario del correo electrónico haciéndole creer que proviene de alguien de confianza o conocido. Puede tratarse de un colega, una marca o un socio/proveedor. Esta confianza puede entonces ser explotada para obtener ganancias ilícitas.

Enviar un correo electrónico es rápido y fácil y la herramienta más utilizada para la comunicación empresarial. Ahora también es la herramienta más utilizada por los ciberdelincuentes, y las estafas que comprometen el correo electrónico de las empresas pueden durar meses o incluso años antes de ser detectadas, causando, para algunos, daños financieros y de reputación irreparables.

La ciberdelincuencia está afectando a todas las empresas de todos los continentes. Un informe de la Interpol sobre la ciberdelincuencia en África afirma que, entre enero de 2020 y febrero de 2021, "Sudáfrica fue el país con más intentos de ransomware y BEC [business email compromise]". Sin DMARC, una empresa es más susceptible de ser víctima de estos ciberdelincuentes, que falsifican cuentas de correo electrónico o sitios web o envían correos electrónicos de spearphising.

Averigüe hasta qué punto es usted susceptible de que los ciberdelincuentes utilicen el correo electrónico como su arma preferida realizando la evaluación online autoadministrada de Sendmarc.

Compruebe su dominio
Compartir
mail share
Conoce tu puntaje

Todo el mundo corre el riesgo de ser víctima de estafadores por correo electrónico. Qué seguridad tiene su marca frente a los estafadores por correo electrónico?

Si corre riesgo de suplantación de identidad, uno de nuestros expertos se pondrá en contacto con usted para ayudarle.