Google, Yahoo y Apple van a empezar a aplicar los requisitos de autenticación del correo electrónico que anunciaron hace unos meses, diseñados para impedir el envío de phishing o spam, el ataque al correo electrónico corporativo (BEC) y otras estafas basadas en este canal de comunicación tan utilizado por organizaciones y consumidores.

Aunque parezca que las empresas tengan que actuar a contrarreloj debido a la imposición de estas medidas, la autenticación del correo electrónico es una práctica recomendada desde hace tiempo. Por ejemplo, el protocolo DMARC (Domain-based Message Authentication Reporting and Conformance) y sus mecanismos de autenticación asociados, como los protocolos SPF (Sender Policy Framework) y DKIM (Domain Key Identified Mail), están disponibles desde hace más de una década y son el estándar de referencia para la protección contra la suplantación de identidad, una técnica clave en los ataques BEC y de phishing.

DMARC es un protocolo de validación del correo electrónico diseñado para proteger los nombres de dominio de ser usados indebidamente por ciberdelincuentes, disminuyendo el riesgo de suplantación de las marcas. Autentica la identidad del remitente antes de permitir que el mensaje llegue a su destinatario. “Rechazar” es el nivel más estricto y recomendado de protección DMARC, una configuración que bloquea los correos electrónicos fraudulentos para que no lleguen a su destinatario. A modo de analogía, la protección DMARC es como los controles de identidad (DNI o pasaporte) en el aeropuerto que deben superarse antes de pasar a la siguiente fase para evaluar la seguridad.

Para evaluar si las principales compañías tienen implementadas medidas para proteger a sus clientes de ser víctimas de una estafa por email, Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha realizado un análisis DMARC de los dominios utilizados por las organizaciones de la lista The Global 2000 de Forbes. A continuación, los principales resultados del análisis:

• El 73% de las empresas de la lista global ha publicado un registro DMARC, lo que significa que el 27% no está tomando medidas para evitar que su marca sea suplantada ante los usuarios. En el caso de las organizaciones españolas de la lista, un 70% han publicado un registro DMARC.
• Menos de un tercio (31%) de estas empresas globales ha implementado el nivel más estricto y recomendado de DMARC, mediante el cual se bloquea el email antes de ser entregado al destinatario. Sin embargo, en el caso de las compañías españolas, este porcentaje aumenta hasta el 40%.
• Sólo un 15% del ranking global, y un 3% de las organizaciones de España incluidas, cuentan con un nivel intermedio de DMARC, en el que el mensaje sospechoso se envía automáticamente a una carpeta de cuarentena.

“Las personas siguen siendo el eslabón más débil de la cadena de ataque, y el error humano es la principal causa de los incidentes cibernéticos. Aunque la concienciación y la educación de los usuarios desempeñan un papel importante en el refuerzo de esta capa de seguridad, los controles técnicos como DMARC son extremadamente importantes para proteger una organización frente a los ciberataques basados en el correo electrónico y el fraude”, explica Fernando Anaya, director regional de Proofpoint para Iberia. “Como cualquier herramienta de seguridad, el protocolo DMARC no es infalible, pero añade otra capa de protección y contribuye a hacer más fuertes las defensas y minimiza el riesgo de suplantación para las organizaciones. Los requisitos de correo electrónico de Google, Apple y Yahoo son una gran oportunidad para que las organizaciones cubran sus carencias en la seguridad del correo electrónico, preferiblemente recurriendo a los expertos y recursos que tengan a su disposición para garantizar que están cumpliendo con las mejores prácticas y asegurarse de que están abordando las amenazas del correo electrónico de forma integral”.

###

Más información sobre este tema en el blog de Proofpoint: https://www.proofpoint.com/es/blog/email-and-cloud-threats/google-and-yahoo-set-new-email-authentication-requirements

###

Metodología

El análisis DMARC se realizó sobre la lista completa The Global 2000 de Forbes en enero del 2024. El análisis abarca empresas de 56 países de todo el mundo.

Acerca de Proofpoint, Inc.

Proofpoint, Inc. es una empresa líder en ciberseguridad y cumplimiento normativo que protege los mayores activos y los mayores riesgos de las organizaciones: su gente. Con un conjunto integrado de soluciones basadas en la nube, Proofpoint ayuda a las empresas de todo el mundo a detener las amenazas dirigidas, proteger sus datos y hacer que sus usuarios sean más resistentes a los ciberataques. Organizaciones líderes de todos los tamaños, incluyendo el 85 por ciento de la lista Fortune 100, confían en las soluciones de seguridad y cumplimiento centradas en las personas de Proofpoint, que mitigan sus riesgos más críticos en el correo electrónico, la nube, las redes sociales y la web. Más información en www.proofpoint.com.  

Conecte con Proofpoint: X | LinkedIn | Facebook | YouTube

Proofpoint es una marca registrada o un nombre comercial de Proofpoint, Inc. en EE.UU. y/o en otros países. Todas las demás marcas comerciales aquí contenidas pertenecen a sus respectivos propietarios.