La difusión de bulos sobre el COVID-19, las conjeturas acerca de las medidas del estado de alarma o la posible manipulación de documentos oficiales preocupa también estas semanas al Gobierno. Según expertos de ciberseguridad, a la vigilancia digital externa, deberían sumarse medidas con las que proteger a los ciudadanos de posibles amenazas online que hacen un uso fraudulento de los dominios de correo de fuentes oficiales.
En España, la adopción de sistemas de autenticación por parte de empresas e instituciones sigue sin alcanzar todavía el grado de madurez necesario para garantizar la fiabilidad de sus comunicaciones por correo electrónico.
El protocolo DMARC (Autenticación de Mensajes, Informes y Conformidad basada en Dominios) es hasta el momento la mejor tecnología para frenar potenciales amenazas a través de email, en las que los atacantes suplantan a entidades o marcas de confianza para los usuarios, haciéndoles creer que el dominio remitente es legítimo.
Esto es lo que podría pasar actualmente en España, de acuerdo a un análisis de Proofpoint, a la mayor parte de los ministerios que componen el Ejecutivo, donde “la muy limitada adopción de DMARC para proteger el servicio de correo electrónico se hace además en modo básico, monitorizando los posibles casos y no ejecutando ninguna medida adicional”, comentan desde la compañía de ciberseguridad.
En cuanto a los gobiernos de comunidades autónomas, a cuyos portales también acuden los ciudadanos de forma telemática para conocer la repercusión más cercana del coronavirus, hay asimismo cierto riesgo de exposición a que sus dominios sean utilizados para enviar emails fraudulentos.
Según Proofpoint, en 8 de las 17 regiones se ha activado el sistema DMARC en sus servidores de correo. No obstante, la protección frente a suplantaciones de identidad continúa siendo insuficiente: en la mayor parte de los despliegues de DMARC no se adopta el modo estricto de bloqueo, sino de notificación o cuarentena.
También estarían en el punto de mira de los ciberdelincuentes las empresas pertenecientes al Ibex 35, con miles de clientes con cierta predisposición estos días a realizar algún trámite a través de su página web, como por ejemplo ver facturas, contratar productos y servicios, o acceder a información sobre alguna ayuda económica.
De esa amenaza para el usuario podrían librarse solo seis de las 35 compañías que componen el listado gracias a la implementación de DMARC en sus dominios en modo bloqueo o cuarentena. Todo esto dejaría al 83% de las firmas más destacadas del país expuesto al fraude por correo electrónico o suplantación de identidad.
Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal apunta:
Ahora más que nunca tiene una importancia crítica que la ciudadanía pueda confiar en la veracidad de las comunicaciones electrónicas por parte de grandes empresas e instituciones públicas, y que éstas protejan a todos aquellos usuarios que recurren a sus páginas en Internet para informarse debidamente de la situación o iniciar algún tipo de solicitud online.
Los atacantes saben que los usuarios están accediendo a estos dominios y pueden aprovecharse de su credibilidad como fuentes oficiales para lanzar sus amenazas. Por ello, DMARC supone la herramienta idónea para proteger el email como canal de comunicación de cualquier organización en estos momentos.
Concienciación de los usuarios y soluciones adicionales de seguridad para organizaciones
Hasta el momento, Proofpoint ha detectado más de 200 estafas relacionadas con el COVID-19, que contienen más de 500.000 mensajes, 300.000 enlaces y 200.000 archivos adjuntos maliciosos en todo el mundo. Las tácticas empleadas por los atacantes pueden llegar a ser muy convincentes, hasta el punto de que sea casi imposible que un usuario medio diferencie un correo electrónico falso de uno real; y el despliegue del protocolo DMARC permite verificar la identidad de los remitentes.
Aun así, dado que las barreras de acceso a los registros de dominio son bajas, empresas e instituciones deben permanecer vigilantes ante acciones sospechosas e infracciones que pongan en riesgo tanto su seguridad interna como la de sus clientes. Desde Proofpoint, se insiste además en la necesidad de concienciación de los usuarios acerca de las principales amenazas para reconocer y defenderse ante posibles ataques, poniendo en práctica estos consejos de ciberseguridad:
- Siempre que sea posible, a la hora de consultar una fuente oficial, debe escribirse cuidadosamente la dirección del sitio web en el navegador para mayor seguridad.
- Desconfiar de cualquier comunicación que inste a dar datos personales o bancarios. En caso de duda, consultar la información desde un canal de comunicación fiable.
- Ignorar cualquier solicitud de información inesperada por email, teléfono, SMS o redes sociales. No suele pedirse información sensible a los usuarios a través de estos canales.
- Evitar hacer clic en enlaces desconocidos, incluso de aquellos que vengan de remitentes aparentemente oficiales. Si la información contenida en el correo parece verídica, habrá que cotejarla además con una fuente oficial.
- Estar atento a posibles errores ortográficos y gramaticales. Si un correo electrónico o una carta contiene estas deficiencias, habrá muchas probabilidades de que sean fraudulentos.
- Desconfiar si en el mensaje se habla de límites de tiempo. Los bancos o las entidades públicas no presionan de esa manera a los usuarios para que entreguen ciertos datos.
- Utilizar cada vez una contraseña única a fin de disminuir los riesgos de robo de credenciales. Conviene además explorar el uso de un gestor de contraseñas para facilitar estos procesos.
Para identificar a los responsables de estos dominios fraudulentos y campañas de phishing, así como frenarles en su intento de atacar marcas, clientes y empleados, organizaciones de todo el mundo confían además en la solución Digital Risk Protection, de Proofpoint. Gracias al machine learning y la inteligencia artificial, esta solución analiza un amplio conjunto de datos con los que detectar posibles infracciones. Sus alertas en tiempo real permiten a las empresas saber cuándo expiran sus dominios y certificados SSL, a fin de ayudarlas a garantizar la seguridad de su marca en todo momento.