• Según un análisis de Proofpoint, la adopción de medidas básicas de ciberseguridad entre el top 20 de retailers ha mejorado de un 75% en 2021 a un 90% en 2023
• Los resultados también son muy positivos en cuanto a bloqueo de correos fraudulentos antes de que lleguen a los usuarios, subiendo desde un 35% al 65% durante el mismo periodo
• A partir de 2024, Google y Yahoo! solicitarán la autenticación de correo electrónico para enviar mensajes desde sus plataformas

Madrid, 14 de noviembre de 2023 – La protección del correo electrónico ante mensajes no solicitados, o incluso maliciosos, cobra cada vez más importancia. Ante fechas señaladas en las que aumenta el consumo, como los próximos Black Friday y Cyber Monday, Proofpoint —compañía líder en ciberseguridad y cumplimiento normativo— ha realizado un análisis entre las 20 mayores tiendas online en España con el objetivo de conocer si tienen implementado DMARC, un protocolo ampliamente reconocido que protege los nombres de dominio de la suplantación de identidad por parte de los ciberdelincuentes. Sin él, los consumidores corren el riesgo de sufrir phishing por correo electrónico de sus marcas favoritas y pueden ser blanco de falsas ofertas o avisos de disponibilidad de artículos durante esta ajetreada temporada de compras. Los resultados de 2023 revelan que el 90% de los principales ecommerce en España ha adoptado algún nivel de DMARC, frente al 75% registrado en 2021. En estos dos años también se ha endurecido esta medida de seguridad entre los retailers: con un 65% implementando DMARC en su nivel más estricto en 2023 respecto al 35% de 2021.

DMARC es el acrónimo en inglés para las directivas de Autenticación de Mensajes, Informes y Conformidad basada en Dominios[[1]], un protocolo de validación de correo electrónico diseñado para proteger los nombres de dominio de su uso indebido por parte de ciberdelincuentes. Autentica la identidad del remitente antes de permitir que un mensaje llegue a su destino. DMARC tiene tres niveles de protección: monitorización, cuarentena y rechazo[[2]], siendo este último el más seguro para evitar que los correos sospechosos lleguen a la bandeja de entrada.

Entre las conclusiones de esta investigación de Proofpoint en 2023 sobre DMARC en los principales sitios de ecommerce españoles destacan:

• 18 empresas ecommerce del top 20 en España (90%) han publicado un registro DMARC, lo que significa que el 10% no está tomando medidas para evitar que su marca sea suplantada ante los usuarios.
• 13 de estas empresas (65%) han implementado el nivel más estricto y recomendado de DMARC, mediante el cual se bloquea el email antes de ser entregado al destinatario. Sin embargo, el 35% deja todavía a sus clientes muy expuestos al fraude por correo electrónico.
• Cuatro de estas tiendas online aplican un nivel intermedio de DMARC, con el que el mensaje sospechoso se envía automáticamente a una carpeta de cuarentena.
• Dos de los 20 retailers analizados no tienen ningún protocolo DMARC establecido, por lo que sus clientes quedarían desprotegidos frente ataques de suplantación de dominio.
• Sólo una de las compañías analizadas tiene implementada la política más básica de DMARC. Con ella, aunque el email no se bloquea y llega al destinatario, se envía un informe de lo ocurrido al propietario del dominio. Se considera el primer paso a la hora de implementar este protocolo.

“La mayoría de los grandes retailers en España se ha dado cuenta de la importancia de proteger a sus clientes de correos electrónicos maliciosos mediante medidas como la adopción del protocolo de autenticación DMARC”, explica Fernando Anaya, country manager de Proofpoint. “Nuestra recomendación para todas las empresas, no obstante, sigue siendo implementar el nivel DMARC más estricto, a fin de que esos correos sean bloqueados activamente antes de llegar a la bandeja de entrada de los consumidores”.

Por otro lado, como consejo principal para los usuarios, Proofpoint insiste en evitar hacer clic en enlaces o descargar adjuntos de mensajes no solicitados, aunque procedan supuestamente de empresas conocidas. Hay que comprobar los posibles anuncios y ofertas que llegan por email en la página web oficial del comercio, escribiendo la URL en el navegador y, en caso de querer utilizar un código promocional, introducirlo también directamente en la página. Asimismo, la compañía de ciberseguridad recomienda utilizar contraseñas robustas y diferentes si se quiere comprar en varios ecommerce durante estas fechas, recurriendo a generadores y gestores de contraseñas y, si es posible, usando la autenticación multifactor (MFA) como una capa adicional de seguridad.

“Dado el riesgo de las compras online, los consumidores deben permanecer muy atentos y comprobar la validez de los correos electrónicos que reciben, especialmente en fechas como el Black Friday o Cyber Monday en las que podemos bajar la guardia y centrarnos únicamente en aprovechar las ofertas. Además, se debe tener cuidado con páginas web que imitan las de marcas reconocidas con dominios fraudulentos, porque podrían vender productos falsificados o inexistentes, infectar con malware, o bien robar dinero y datos de los usuarios”, añade Fernando Anaya.

El reciente anuncio de Google y Yahoo!, que pedirán a partir de 2024 autenticar el correo electrónico para poder enviar mensajes desde sus plataformas, avisa de que se están tomando importantes medidas para evitar el spam y las estafas. Estas exigencias de seguridad se aplicarán sobre todo a cuentas que envíen un volumen masivo de emails al día, como puede pasar con grandes empresas, que tendrán que disponer del protocolo de seguridad DMARC, garantizar la alineación SPF y DKIM y facilitar a los destinatarios la baja de suscripción.

***

Acerca de Proofpoint, Inc. 

Proofpoint, Inc. es una empresa líder en ciberseguridad y cumplimiento normativo que protege los mayores activos y los mayores riesgos de las organizaciones: su gente. Con un conjunto integrado de soluciones basadas en la nube, Proofpoint ayuda a las empresas de todo el mundo a detener las amenazas dirigidas, proteger sus datos y hacer que sus usuarios sean más resistentes a los ciberataques. Organizaciones líderes de todos los tamaños, incluyendo el 85 por ciento de la lista Fortune 100, confían en las soluciones de seguridad y cumplimiento centradas en las personas de Proofpoint, que mitigan sus riesgos más críticos en el correo electrónico, la nube, las redes sociales y la web. Más información en www.proofpoint.com.  

Conecte con Proofpoint: Twitter | LinkedIn | Facebook | YouTube  

Proofpoint es una marca registrada o un nombre comercial de Proofpoint, Inc. en Estados Unidos y/o en otros países. Todas las demás marcas comerciales contenidas en este documento son propiedad de sus respectivos dueños. 

Metodología 

Para evaluar el nivel de adopción de DMARC en el sector de ecommerce en España, Proofpoint realizó durante el mes de octubre de 2023 un análisis de los dominios de los 20 principales comercios online según el ránking de comercio electrónico Top 100 eCommerce España, presentado por Digital1to1, EGI Group y Netrica.  

Más información de Proofpoint sobre DMARC 

https://www.proofpoint.com/es/products/email-protection/email-fraud-defense 

^[[1]]¿Qué es DMARC?

^[[2]] Monitorización (permite que los correos electrónicos no cualificados vayan a la bandeja de entrada del destinatario o a otras carpetas), cuarentena (dirige los correos electrónicos no cualificados a la carpeta de correo no deseado o spam) y rechazo, el nivel más alto de protección (bloquea los correos electrónicos no cualificados para que no lleguen al destinatario).