Escrito por Laurent G. y Gyorgy J.
Desde su aparición en el MIT en 1965, el correo electrónico ha revolucionado nuestras comunicaciones cotidianas, convirtiéndose en una herramienta fundamental para la colaboración y ocupando un lugar cada vez más importante en la esfera personal: ¡cada día se envían más de 306 000 millones de correos electrónicos en todo el mundo!
Cuando se creó, sus diseñadores ni siquiera podían imaginar los retos de ciberseguridad a los que nos enfrentamos hoy en día.
¿Lo sabías? Es posible hacerse pasar por cualquier persona al enviar un correo electrónico. Basta con utilizar un simple servidor SMTP.
Lanzado en 1982, el protocolo SMTP (Simple Mail Transfer Protocol) no ofrece ningún mecanismo de seguridad que garantice la identidad del remitente de un correo electrónico. Al enviar un correo electrónico, tu programa de correo convierte el mensaje y sus archivos adjuntos a formato «texto», antes de conectarse al servidor SMTP configurado. Se envía el texto.
Pero, por sorprendente que pueda parecer, ¡la información de la «dirección del remitente» se incluye en un simple campo de texto! La responsabilidad de la dirección del remitente recae íntegramente en el remitente. A continuación, el servidor SMTP se limita a enviar el correo electrónico al servidor del destinatario.
Así, los delincuentes han encontrado en el correo electrónico el punto de entrada ideal para aprovechar la vulnerabilidad contra la que es más difícil protegerse: el factor humano.
Ya se trate de suplantación de identidad selectiva o de campañas de phishing a gran escala, estos ataques tienen en común que se aprovechan de la dificultad para confirmar la identidad del remitente del correo electrónico —y, por tanto, su legitimidad— para inducir al destinatario a realizar una acción: hacer clic en un enlace que redirige a un sitio web malicioso, realizar una transferencia bancaria, facilitar información confidencial, etc. Hoy en día, se estima que más de 9 de cada 10 ciberataques utilizan correos electrónicos fraudulentos.
Este es, sin duda, el principal reto a la hora de proteger nuestros buzones de correo electrónico: garantizar la autenticación de los mensajes, teniendo en cuenta que casi uno de cada tres correos electrónicos de phishing es abierto por la persona a la que va dirigido. Es evidente que la formación de los usuarios por sí sola no basta, y que es necesario implementar soluciones técnicas de protección.
En lugar de una revisión profunda del SMTP para hacerlo más seguro —algo demasiado complejo de implementar en un protocolo que ya está ampliamente extendido—, hemos visto surgir nuevos protocolos destinados a mejorar la seguridad de las comunicaciones SMTP. ¿Los ha implementado?
¿Es DMARC la mejor solución técnica para garantizar la autenticidad de los correos electrónicos?
Ante el recrudecimiento de los ataques por correo electrónico, un grupo de empresas (Microsoft, Yahoo!, Google, etc.) creó DMARC en 2012. DMARC, acrónimo en inglés de «Domain-based Message Authentication, Reporting and Conformance», es una especificación técnica que garantiza la autenticación de los correos electrónicos y que, desde entonces, ha demostrado ser especialmente eficaz para prevenir los ataques de phishing.
Este protocolo se configura añadiendo directamente un registro DNS a sus dominios, con el fin de detectar y evitar el envío de correos electrónicos fraudulentos. En concreto, DMARC impide que remitentes no autorizados utilicen su nombre de dominio en el campo «remitente» de un correo electrónico. Su puesta en marcha requiere la implementación de SPF, que consiste en definir el remitente o remitentes autorizados para enviar correos electrónicos con un dominio determinado, así como de DKIM, que garantiza la «firma» de sus correos electrónicos. DMARC indica entonces a los proveedores de servicios de correo electrónico qué hacer al recibir un correo electrónico enviado con una dirección de su dominio. Pueden aceptarlo, si dicho correo electrónico está firmado con su nombre de dominio mediante los protocolosDKIM oSPF; o bien rechazarlo, si no es así.
Gracias a su éxito, DMARC se ha consolidado como una solución de seguridad imprescindible, y muchos proveedores de correo electrónico y filtros antispam están ahora configurados para excluir, de forma más o menos sistemática, los correos electrónicos no autenticados del correo deseado. La implementación de DMARC supone, por tanto, una nueva ventaja para su organización, ya que limita el riesgo de que los correos electrónicos procedentes de su dominio (en particular, sus campañas de marketing) sean clasificados como «spam» y contribuye a la buena «reputación» de su marca en este ámbito.
Hacia una implementación generalizada de DMARC
El Departamento de Seguridad Nacional de Estados Unidos (DHS) ha publicado una directiva operativa vinculante para exigir la implantación de DMARC en todas sus agencias a partir de 2018. En Europa, DMARC también se utiliza ampliamente: en el Reino Unido, el Servicio Digital del Gobierno Británico (GDS) también ha impuesto DMARC, al igual que en los Países Bajos, donde «todos los organismos gubernamentales neerlandeses deben aplicar una política estricta sobre DMARC antes de que finalice 2019». Tras las organizaciones públicas, ahora les toca a las empresas dar el salto a DMARC.
La implementación de DMARC requiere un trabajo previo para identificar una «lista blanca» de servidores emisores autorizados, con el fin de evitar el bloqueo de correos electrónicos legítimos procedentes de dominios y subdominios ajenos a su organización. Un punto muy importante: es posible que la mayoría de los correos electrónicos de su empresa no procedan de su sistema de correo de Outlook, sino que sean correos comerciales, de marketing, informativos o de encuestas, correos enviados desde sus aplicaciones internas o herramientas de terceros, en la nube, etc.
Por lo tanto, en su proyecto de implementación de DMARC, es fundamental colaborar con todas las partes interesadas de su organización para comprender sus necesidades operativas, replantearse las opciones de envío de correos electrónicos, reconfigurar las soluciones, plantearse cambios en las herramientas, migrar a nuevos subdominios… Se trata, en sí mismo, de un auténtico proyecto que va más allá de la simple dimensión técnica y que debe abarcar todos los usos dentro de su organización.
Una vez elaborada la lista de remitentes legítimos, llega el momento de activar DMARC configurándolo en tu dominio.
A partir de este momento, el dominio de su organización y sus subdominios estarán protegidos, lo que impedirá cualquier uso indebido de @suempresa.com y le protegerá contra ataques de compromiso de cuentas de correo electrónico, correos electrónicos de suplantación de identidad, correos electrónicos de phishing, estafas por correo electrónico y otros. Sus correos electrónicos se «autentificarán» de forma nativa. Los correos electrónicos falsos se bloquearán o se pondrán en cuarentena.
Con más de 100 000 nuevas activaciones de DMARC cada mes, la tendencia apunta a su generalización, con un crecimiento de casi el 50 % en 2020. Hemos observado, entre los clientes a los que hemos asesorado en este ámbito, una clara disminución de la tasa de apertura de los correos electrónicos de phishing y, por lo tanto, una reducción del riesgo de compromiso de la seguridad.
Para hacer una comparación con la actualidad, podríamos decir que, al igual que una campaña de vacunación, la implantación generalizada de DMARC por parte de las organizaciones y los proveedores de servicios de correo electrónico nos acercará a una inmunidad colectiva frente a los correos electrónicos maliciosos…
