Recientemente, Proofpoint ha llevado a cabo un análisis de las estrategias empleadas por las empresas del Ibex 35 para identificar y contrarrestar técnicas de suplantación de dominio que se utilizan en prácticas de phishing, ataques de compromiso del correo electrónico corporativo (BEC) y otras amenazas a través del correo electrónico. Aunque se descubrió que el 69% de estas empresas están tomando medidas para fortalecer la seguridad de sus correos electrónicos, especialmente las que ofrecen servicios directamente a los consumidores, aún queda mucho por hacer. En particular, las empresas del Ibex 35 podrían ser vulnerables en sus interacciones con la cadena de suministro, un vector de ataque preferido por los ciberdelincuentes en estos días, tal y como hemos leído en Open Security.
Los hallazgos se basan en la adopción del protocolo DMARC (Domain-based Message Authentication, Reporting and Conformance) por parte de las empresas del Ibex 35. DMARC es un protocolo diseñado para la validación del correo electrónico con el fin de proteger los nombres de dominio de un uso indebido por parte de ciberdelincuentes. Este protocolo autentica la identidad del remitente antes de permitir que un mensaje llegue a su destino. DMARC ofrece tres niveles de protección: monitorización, cuarentena y rechazo, siendo este último el más seguro para prevenir que los correos electrónicos sospechosos lleguen a la bandeja de entrada.
En los últimos años, la cadena de suministro, los ecosistemas de socios y proveedores de recursos críticos de las organizaciones se han convertido en el blanco perfecto para las ciberamenazas; y ninguna empresa se libra de ello. “Los atacantes se aprovechan de las relaciones establecidas entre empresas y terceros de confianza, en las que se suele hablar de condiciones o pagos por correo electrónico”, explica Fernando Anaya, country manager de Proofpoint para España y Portugal. “Si pueden interponerse en el momento adecuado en un intercambio de emails o entablar una nueva conversación haciéndose pasar por alguien, aumentan sus probabilidades de robar dinero o bienes, especialmente si se comunican desde una cuenta legítima que ha sido comprometida”. Una vez que los ciberdelincuentes se afianzan en la organización objetivo, intentan recopilar datos para realizar ataques de ransomware de doble o incluso triple extorsión, y así reclamar pagos a toda empresa que pueda verse afectada; o simplemente extraer fondos a través de ataques BEC, suplantando la identidad de un proveedor de confianza.
Estas son las principales conclusiones del análisis de Proofpoint sobre la adopción del protocolo de seguridad DMARC en empresas del Ibex 35 y su exposición a ciberfraudes:
- Aumenta la protección del Ibex 35 a nivel de dominio para sus canales de correo electrónico: en 2023, el 69% tiene implementado el protocolo DMARC en su nivel más básico, lo que significa que el 31% no toma ninguna medida para proteger a los usuarios de correos electrónicos fraudulentos que suplanten su dominio. La fiabilidad de las comunicaciones por email es ahora mayor que hace apenas tres años, en 2020, cuando más del 54% del Ibex 35 estaba desprotegido ante posibles suplantaciones.
- No obstante, actualmente, sólo 11 de 35 aplican la política DMARC más estricta y recomendada (“rechazar”, es decir, el mensaje no se entrega), lo que significa que un 69% no evita proactivamente que lleguen emails fraudulentos a los usuarios.
- Por sectores, las empresas de banca, energía y turismo tienen una mayor adopción del protocolo DMARC contra suplantaciones de dominio o correo electrónico. Por el contrario, los sectores de infraestructuras, propiedades, salud y servicios presentan mayor riesgo de que sean utilizados para enviar mensajes fraudulentos.
- En organizaciones más orientadas al consumidor se prioriza la autenticación del correo: el 88% ha publicado registros DMARC, de los cuales un 53% en su nivel más estricto (“rechazar”).
“La suplantación de dominios y los ataques basados en correo electrónico son un problema de gran magnitud que no va a desaparecer por el momento”, afirma Fernando Anaya. “Cualquier organización tiene que dar prioridad a la prevención de estafas con una estrategia de seguridad multicapa que incluya controles técnicos, desde configurar informes DMARC en sus registros DNS para dar visibilidad sobre quién envía emails en su nombre o usar herramientas para detectar dominios parecidos que puedan alertar de posibles fraudes, además de fomentar la educación en seguridad para garantizar que su gente pueda identificar un correo de phishing y denunciarlo fácilmente a todos los usuarios”.
