Categories: Seguridad

Según el último análisis de Proofpoint, los usuarios no están protegidos frente al fraude por email

Hace diez años se publicaron las primeras especificaciones de DMARC, el acrónimo en ingles para Domain-based Message Authentication, Reporting and Conformance. A día de hoy el uso de DMARC como parte de las estrategias de seguridad de administraciones públicas y empresas aún no está tan generalizado como debiera. Algo que resulta un contraste fuerte con el propósito y con el resultado principal de la implementación de DMARC: proteger un dominio de ser utilizado por los cibercriminales en sus amenazas basadas en el correo electrónico.

Con motivo de este décimo aniversario, Proofpoint, especialistas en ciberseguridad y cumplimiento normativo, ha llevado a cabo un análisis para examinar el uso que hacen del protocolo DMARC las administraciones públicas españolas; especialmente los ministerios y la presidencia del gobierno, así como las páginas web de las CCAA.

Es habitual que los ciberdelincuentes utilicen el método de suplantación de dominio para hacerse pasar por organizaciones y empresas conocidas enviando emails desde una dirección que aparentemente es legítima. Estos correos están especialmente diseñados para que los usuarios compartan datos personales y así poder robarles dinero o la identidad.

A veces, para un usuario normal de Internet puede resultar casi imposible distinguir un remitente falso de uno real, por eso, al implementar el nivel más estricto de DMARC, las organizaciones pueden bloquear activamente los correos electrónicos que resulten fraudulentos para que así no lleguen a sus destinatarios, protegiendo a los usuarios de los ciberdelincuentes.

El análisis realizado por Proofpoint ha concluido en los siguientes puntos:

Ministerios y Moncloa

  • El 83% de los sitios web de los Ministerios y de la Presidencia del Gobierno no tienen implantada ninguna política de DMARC, lo que significa que no están tomando ninguna medida para proteger proactivamente a los ciudadanos contra los riesgos del fraude por correo electrónico.
  • Además, sólo 4 (17%) de los 23 dominios analizados a nivel estatal han implementado el nivel recomendado y más estricto de protección DMARC (reject), que realmente bloquea los correos electrónicos fraudulentos para que no lleguen a sus destinatarios, lo que significa que el 83% está dejando a los usuarios expuestos al fraude por correo electrónico.

Comunidades Autónomas

  • Sólo 10 de las 17 (59%) han publicado registros DMARC, lo que significa que el 41% no protege proactivamente a los ciudadanos del riesgo de fraude por correo electrónico.
  • Sin embargo, sólo 3 (18%) han implementado el grado más alto de protección.

Servicios del sector público

  • El análisis concluyó que no hay datos de registro DMARC para algunos de los principales servicios de la administración electrónica en España, lo que significa que el 100% está dejando a los usuarios expuestos al fraude por correo electrónico.

El análisis de Proofpoint permite conocer de primera mano cómo algunos de los principales organismos públicos han puesto ya en marcha mecanismos de defensa para una autenticación efectiva de sus comunicaciones por correo electrónico. De esta forma, protegen sus comunicaciones dentro de la organización y con los ciudadanos frente a amenazas que puedan suplantar la identidad de las administraciones y resultar en una pérdida de control sobre los datos de los usuarios. Sin embargo, todavía hay mucho margen de mejora.

“Nuestra investigación ha demostrado que muchas instituciones del sector público en España siguen dejando a los usuarios expuestos a los intentos de robo de datos sensibles por parte de los ciberdelincuentes, al no implementar las mejores prácticas de autenticación de correo electrónico, simples pero eficaces. El correo electrónico sigue siendo el vector elegido por los ciberdelincuentes y el sector público sigue siendo un objetivo clave”, comenta Nuria Andrés, estratega de ciberseguridad de Proofpoint en España. “DMARC garantiza una autenticación correcta de los remitentes, verificando que son quienes dicen ser y protegiendo a empleados públicos, empresas y ciudadanos en sus comunicaciones por correo electrónico durante sus gestiones con la administración”.

Ana Suárez

View Comments

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago