La empresa Proofpoint ha analizado las medidas de las empresas del Ibex 35 para detectar y evitar las técnicas de suplantación de dominio utilizados en el phishing, los ataques de compromiso de correo electrónico y otras amenazas llevadas a cabo por email. Aunque muchas de ellas están tomando medidas para proteger mejor su email, aún hay indicios de posibles vulnerabilidades en sus relaciones con la cadena de suministro.
Estos resultados se basan en el nivel de adopción de DMARC (Domain-based Message Authentication, Reporting and Conformance) entre las compañías del Ibex 35. DMARC[1] es un protocolo de validación de correo electrónico diseñado para proteger los nombres de dominio de un uso indebido por parte de ciberdelincuentes. Autentifica la identidad del remitente antes de permitir que un mensaje llegue a su destino. DMARC tiene tres niveles de protección: monitorización, cuarentena y rechazo[2], siendo este último el más seguro para evitar que los emails sospechosos aparezcan en la bandeja de entrada.
En los últimos años, la cadena de suministro, los ecosistemas de socios y proveedores de recursos críticos de las organizaciones se han convertido en el blanco perfecto para las ciberamenazas; y ninguna empresa se libra de ello. “Los atacantes se aprovechan de las relaciones establecidas entre empresas y terceros de confianza, en las que se suele hablar de condiciones o pagos por correo electrónico”, explica Fernando Anaya, country manager de Proofpoint para España y Portugal. “Si pueden interponerse en el momento adecuado en un intercambio de emails o entablar una nueva conversación haciéndose pasar por alguien, aumentan sus probabilidades de robar dinero o bienes, especialmente si se comunican desde una cuenta legítima que ha sido comprometida”. Una vez que los ciberdelincuentes se afianzan en la organización objetivo, intentan recopilar datos para realizar ataques de ransomware de doble o incluso triple extorsión, y así reclamar pagos a toda empresa que pueda verse afectada; o simplemente extraer fondos a través de ataques BEC, suplantando la identidad de un proveedor de confianza.
Estas son las principales conclusiones del análisis de Proofpoint sobre la adopción del protocolo de seguridad DMARC en empresas del Ibex 35 y su exposición a ciberfraudes:
- Aumenta la protección del Ibex 35 a nivel de dominio para sus canales de correo electrónico: en 2023, el 69% tiene implementado el protocolo DMARC en su nivel más básico, lo que significa que el 31% no toma ninguna medida para proteger a los usuarios de correos electrónicos fraudulentos que suplanten su dominio. La fiabilidad de las comunicaciones por email es ahora mayor que hace apenas tres años, en 2020, cuando más del 54% del Ibex 35 estaba desprotegido ante posibles suplantaciones.
- No obstante, actualmente, sólo 11 de 35 aplican la política DMARC más estricta y recomendada (“rechazar”, es decir, el mensaje no se entrega), lo que significa que un 69% no evita proactivamente que lleguen emails fraudulentos a los usuarios.
- Por sectores, las empresas de banca, energía y turismo tienen una mayor adopción del protocolo DMARC contra suplantaciones de dominio o correo electrónico. Por el contrario, los sectores de infraestructuras, propiedades, salud y servicios presentan mayor riesgo de que sean utilizados para enviar mensajes fraudulentos.
- En organizaciones más orientadas al consumidor se prioriza la autenticación del correo: el 88% ha publicado registros DMARC, de los cuales un 53% en su nivel más estricto (“rechazar”).
“La suplantación de dominios y los ataques basados en correo electrónico son un problema de gran magnitud que no va a desaparecer por el momento”, afirma Fernando Anaya. “Cualquier organización tiene que dar prioridad a la prevención de estafas con una estrategia de seguridad multicapa que incluya controles técnicos, desde configurar informes DMARC en sus registros DNS para dar visibilidad sobre quién envía emails en su nombre o usar herramientas para detectar dominios parecidos que puedan alertar de posibles fraudes, además de fomentar la educación en seguridad para garantizar que su gente pueda identificar un correo de phishing y denunciarlo fácilmente a todos los usuarios”.