En la última década, la proliferación de ciberataques vía correo electrónico se ha disparado hasta comprometer la seguridad de grandes y pequeñas empresas. De hecho, en 2022, el 75% de las compañías españolas fueron víctimas de un ciberataque efectivo a través de correo electrónico.
El ataque más común destinado a la suplantación de identidad de perfiles de usuarios públicos, páginas web de instituciones, canales de servicios o soportes técnicos, es el llamado spoofing. Estos correos electrónicos son enviados a usuarios en busca de un clic que instalará un malware en su equipo o simplemente exfiltrará su información y datos confidenciales. Se trata de una metodología que lleva en práctica desde 1970 con el nacimiento de los spammers, personas o entidades que utilizan técnicas engañosas para enviar mensajes masivos a través de correo electrónico evadiendo los filtros antispam.
En Factum disponemos del servicio Domain-based Message Authentification Reporting and Conformance (DMARC), que garantiza la protección del dominio de una organización frente a posibles ataques de suplantación de identidad o spoofing. Mediante un protocolo de validación y autenticación diseñado para detectar y bloquear correos electrónicos, permite verificar la autenticidad del mensaje y garantizar que provenga de un remitente legítimo. Su actuación opera bajo los estándares del Convenio de Remitentes (SPF) y el Correo Identificado por Claves de Dominio (DKIM).
¿Qué es SPF y DKIM?
· SPF(Sender Policy Framework)
o La autenticación SPF permite verificar la dirección IP origen del mensaje y compararla con una lista de direcciones IP aprobadas para enviar mensajes desde el dominio de origen. Publicar y verificar registros SPF es una manera fiable de detener el phishing y otras amenazas basadas en correo electrónico que son forjadas desde direcciones y dominios de remitente.
· DKIM (Domain Keys Identified Mail)
o Es un protocolo de autenticación de correo electrónico que le permite al destinatario comprobar que un correo electrónico de un dominio específico realmente estuvo autorizado por el propietario de ese dominio. Permite a las organizaciones hacerse responsables de la transmisión de un mensaje adjuntándole una firma digital. La verificación se realiza mediante autenticación criptográfica usando la clave pública del firmante, publicada en el DNS. La firma garantiza que las partes interesadas del correo electrónico no han sido modificadas desde el momento en que se adjuntó la firma digital.
El proceso de la autentificación se controla por dos claves: una pública y otra privada.
· La clave privada es el código secreto que está en el servidor del proveedor de correo. Al usarlo, el servidor remitente firma cada mensaje con el DKIM que contiene en forma encriptada email y nombre del destinatario, tiempo de envío e información relacionada al remitente.
· La clave pública está en el campo TXT del registro DNS. Al usarla, el servidor destinatario descifra la firma DKIM y compara la información que está adentro con el contenido del correo. Si encuentra cualquier inconsistencia , dirige el mensaje a la carpeta de Spam.
¿Cómo funciona DMARC?
Los propietarios del dominio establecen una serie de procedimientos que determinan el modo de actuación de las tecnologías SPF y DKIM tras la llegada de un correo electrónico. DMARC determina qué va a pasar con los emails que se han considerado falsificados. A continuación, te mostramos las tres posibles políticas que ofrece DMARC:
· “Ninguno”. Representa la política menos restrictiva del servicio, ya que únicamente monitorea, permitiendo la entrada de cualquier correo electrónico que no cumpla con los requisitos establecidos por DMARC.
· "Cuarentena". Es un escalón más restrictiva que la anterior, todo correo electrónico que no disponga de clasificación es considerado sospechoso y, por lo tanto, es aislado en una zona de cuarentena. Normalmente, estos correos son enviados al buzón de spam o correo no deseado.
· "Rechazo”. Es la más restrictiva, los mecanismos de autenticación son los encargados de bloquear automáticamente los correos electrónicos que no cumplen con las políticas establecidas. De este modo, el contenido no llegará a su destinatario a través de ninguna carpeta, a diferencia de la política “cuarentena”.
La política DMARC “ninguno” es un excelente primer paso. Así, el propietario del dominio puede garantizar que todos los correos electrónicos legítimos se están autenticando adecuadamente. Los administradores del dominio reciben reportes que garantizan que los correos electrónicos legítimos son identificados y superan la autenticación. De este modo, se puede proporcionar visibilidad de forma ágil y permite saber cuál es el volumen de correos falsificados que se manejan en la organización.
Una vez que los administradores del dominio están seguros de que se ha identificado a todos los remitentes legítimos y se han resuelto los problemas de autenticación, podría avanzar hacia una política de “rechazo” y bloquear el phishing, el compromiso de email empresarial (BEC) y otros ataques de correo electrónico fraudulento. Como destinataria de un correo electrónico, una organización puede garantizar que su puerta de enlace protegida de correo electrónico sea válida en la política DMARC, implementada al propietario del dominio. Esto protege a los empleados contra amenazas en el correo electrónico entrante.
En definitiva, la implementación de DMARC es esencial para garantizar la seguridad de los correos electrónicos de una empresa y proteger su información confidencial frente a las posibles amenazas que atentan contra el ecosistema digital de empresas y particulares.
