Problemas de ciberseguridad: suplantación de dominios de correo electrónicos

Desde onBRANDING hemos alertado en numerosas ocasiones de las consecuencias de ser víctima de  Phishing, suplantación de identidad, problemas en materia de ciberseguridad,  y ciberriesgos asociados a una baja protección de los dispositivos y canales digitales. En esta ocasión vamos a desgranar el motivo por el que los dominios de correo electrónico de organismos oficiales y empresas son suplantados por ciberdelincuentes con el fin de engañar y estafar a usuarios y empleados.

¿Qué es el «email spoofing»?

Es uno de los principales problemas que pueden derivarse de no contar con un dominio de correo electrónico totalmente seguro.

Consiste en la suplantación de identidad del dominio de correo electrónico afectado, con la finalidad de conseguir una acción por parte de las víctimas: ceder datos de acceso a cuentas personales o bancarias; descargar o abrir archivos; instalar softwares etc.

Un claro ejemplo de organismo al que este ciberataque ha pasado factura por la incorrecta configuración de su dominio es la Agencia Tributaria.

Los usuarios recibieron un email suplantando la identidad del organismo oficial, invitándoles a «Descargar» un archivo adjunto que tendría que devolver firmado en un plazo máximo 7 días en el contexto de las nuevas medidas tributarias instauradas durante la crisis COVID-19.

Al hacer clic en «Descargar», la aplicación les deriva a un formulario donde el usuario debe introducir sus credenciales de acceso a la Agencia Tributaria. De esta forma, los ciberdelincuentes que están detrás de esta acción obtienen la llave para acceder a los datos de las empresas de forma directa.

Menos del 2% de los dominios analizados por Marc Almeida tienen activados los filtros de seguridad correspondientes en sus dominios de correo electrónico.

Marc Almeida, analista técnico de onBRANDING, ha analizado en torno a 40 millones de dominios de correo electrónico, comprobando que menos de 53.000 estaban configurados de forma segura.

En la entrevista que Marc ha concedido a la revista Business Insider confirma que el 99% de la muestra analizada para el estudio es vulnerable de ser victima de phishing.

El artículo recalca que esta técnica es la puerta de entrada de los ciberdelincuentes para atacar a empresas y organismos públicos. Los trabajadores son un eslabón fundamental y, a la vez, uno de los más débiles frente al ciberataque, ya que se necesita del recurso humano para descargar o acceder al contenido malicioso.

Sin embargo, puede resultar desproporcionado pensar que es el empleado el responsable de que los ciberdelincuentes consigan acceder a los equipos o datos. Es más lógico pensar, y de hecho, es la realidad, que la configuración de seguridad de los dominios del correo no está completa.

La importancia de los filtros SPF, DKIM y DMARC en la configuración de los dominios de correo electrónico.

Estos filtros son tres estándares con los que se persigue incrementar o reforzar los tres principios fundamentales en el terreno de la ciberseguridad: 

  • Confidencialidad: los datos permanecen protegidos, evitando accesos no deseados.
  • Disponibilidad: la información está disponible para los destinatarios.
  • Integridad: la información ofrecida es exacta y no sufre variación en su acceso o entrega.

El dominio del correo electrónico es lo que genera la confianza en el usuario que recibe un email. Si este dominio está manipulado o ha sido suplantado será fácil que las víctimas puedan caer en la trampa.

Para evitar que este dominio pueda ser duplicado o suplantado se deben activar los tres filtros de ciberseguridad aplicados al correo electrónico:

  • SPF (Sender Policy Framework): primer paso para securizar y legitimar el origen de los correos electrónicos. Su configuración radica en enumerar qué ip’s están autorizadas a enviar correos electrónicos usando el nombre del dominio que se esté tratando.
  • DKIM (DomainKeys Identified Mail): “firma” el correo saliente del dominio origen para que el receptor pueda validar que no ha sido modificado durante el recorrido.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance): SPF evolucionado, con más características. A destacar: la de proteger dominio y subdominios; así como generar reportes de forma automática de todos los correos enviados usando el dominio que se esté configurando. De esta forma, se puede disponer de un registro en caso necesario.

Existe un cuarto filtro que podríamos configurar:

  • BIMI – Aún en proceso de implementación, asigna una imagen con un formato concreto a un dominio.

¿Qué beneficios puede aportar la activación de estos filtros de seguridad?

Resultan obvios los beneficios y «por qués» que responden a esta pregunta.

Dejando a un lado la protección frente a suplantaciones de identidad, ataques de phishing, o ransomware, existen otros beneficios menos obvios pero igual de importantes para un negocio:

  • Posicionar la marca, organismo o empresa como fuente o emisor de confianza.
  • Permite que la organización pueda adelantarse a los problemas, evitando los riesgos descritos.
  • Es garante de seguridad al motivar la acción e interacción del usuario con el email y con los links o archivos enviados.
  • Previene y evita daños reputacionales derivados del robo de información confidencial de clientes o documentación interna.
  • Previene pérdidas económicas derivadas de accesos ilícitos a cuentas y movimientos bancarios.

Los dominios de correos electrónicos de empresas y corporaciones, como ha podido demostrar Marc Almeida, analista técnico de onBRANDING, no están configurados correctamente. Esto implica problemas en materia de ciberseguridad que pueden llegar a ser graves, generando costes incalculables en reputación y en materia económica.

El riesgo de suplantación de identidad o «email spoofing» es más elevado cuanto menor es la prevención en seguridad digital. En onBRANDING somos especialistas en Identidad Digital, Ciberseguridad, Ciberinvestigación y Reputación online.

Si la identidad de tu empresa ha sido suplantada, o estás siendo víctima de ciberdelincuentes en tu entorno privado o corporativo puedes contactar con nosotros a través de este formulario.