El correo electrónico es, lleva siéndolo varios años, el principal vector de ataque que utilizan los ciberdelincuentes a la hora de comprometer una empresa. En más de un 70% de los casos confirmados de ciberataques en 2019, el correo electrónico ha sido el medio por el que los ciberdelincuentes han conseguido ejecutar sus exploits y vulnerar la seguridad de las víctimas.
Es, por tanto, evidente, que la protección del correo debería ser una de las principales prioridades de cualquier organización. En una doble vertiente, además: por un lado, garantizando que ninguno de sus usuarios cae en la trampa de un ataque de suplantación de identidad a través de mail y, por otro, implementando las configuraciones necesarias para que el dominio corporativo no pueda ser suplantado fácilmente por los ciberdelincuentes, lo que supondría una crisis reputacional importante para la empresa.
Establecidas esas dos prioridades, vamos a ver cómo una adecuada configuración del correo electrónico puede ayudarnos a tenerlas cubiertas.
Y es que, precisamente por el aumento del uso del correo electrónico como vector de ataque se ha demostrado la necesidad de implementar medidas y políticas de comprobación de la identidad para tratar de minimizar el número de suplantaciones.
Estamos hablando de SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting and Conformance) que, si bien pueden resultar ininteligibles a primera vista, trataremos de explicar de un modo más o menos sencillo.
Para intentar hacerlo más comprensible, vamos a utilizar un símil que todos conocemos (bueno, los millennials seguramente menos 🙂 ): las cartas postales.
Cuando el correo postal era lo habitual, a ninguno de nosotros se nos ocurriría confiar en una carta en la que el remitente del sobre no fuera el mismo que el remitente de la carta interior. Ni tampoco de un envío en el que el remitente del encabezado fuera distinto de quien firmaba la carta al final de la misma, ¿no?
Pues en el correo electrónico es lo mismo. Esas 3 siglas que hemos citado lo que hacen para dar validez a un mensaje, en realidad, es:
- comprobar que esos tres remitentes son quienes dicen ser, y
- que son todos el mismo
Repasemos el recorrido que hace un correo.
Cuando se realiza un envío de un correo electrónico, en el servidor de salida al mensaje en sí se le asigna el dominio (@dominio.com), se envía y llega al servidor de correo del destinatario.
Hasta ahí todo normal. Si no tuviéramos un anti spam ni nada más configurado, el mail se entregaría al destinatario, que ya podrá cruzar los dedos para que sea legítimo.
Sin embargo, afortunadamente las cosas no son así y se realizan comprobaciones adicionales.
SPF (Sender Policy Framework)
Por un lado, se comprueba que el dominio desde el que se envía ese correo (@dominio.com) se hace desde una IP autorizada para enviar con ese nombre de dominio. Eso lo definimos en nuestro ISP estableciendo, a nivel de DNS, la configuración correspondiente.
¿Qué nos proporciona esto? Pues comprobar que el return-path es el mismo que el from, del correo. Es decir, que el remitente del sobre es el mismo que el remitente del encabezado de la carta.
DKIM (Domain Keys Identified Mail)
Por otro lado, otra comprobación (que es independiente de la anterior, y esto es importante), lo que hace es añadir una firma electrónica al mensaje para garantizar que no ha sufrido modificaciones durante el envío y que, quien firma el correo (@dominio.com) es, realmente, quien dice ser.
¿Qué nos proporciona esto? Pues que @dominio.com es realmente @dominio.com. es decir, que quien firma la carta al final del mensaje es, realmente, quien dice ser en el encabezado.
Sin embargo, estas dos comprobaciones se hacen de manera independiente. Y, además, no siempre se hacen al no estar siempre configuradas.
Porque para que el servidor de correo del destinatario pueda hacer esas comprobaciones, deben estar previamente definidas a nivel de DNS en el servidor de salida, es decir, deben ir incorporadas en las cabeceras del correo.
Si no tenemos bien configurado el SPF y el DKIM en nuestro servidor, el destinatario no podrá comprobar que nuestro correo es legítimo y lo enviará a spam (o lo entregará aunque haya sido suplantado y sea ilegítimo), con las consecuencias obvias a nivel de reputación y de pérdida de negocio al no llegar a su destinatario nuestros mails.
No solo eso, dejamos en manos del ISP el que haga la comprobación de SPF o la de DKIM. O ambas. O ninguna. En cualquiera de los casos perdemos el control de la seguridad de nuestro propio correo.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
La solución se llama DMARC. Es una política de configuración en la que definimos que, para que nuestro correo sea legítimo (seamos verdaderamente nosotros), aunque SPF esté ok, compruebe DKIM (o viceversa, aunque DKIM esté correcto, compruebe SPF) y si, y solo si, ambas comprobaciones son correctas, entonces el correo es legítimo y es nuestro.
De hecho, podemos definir el grado de “severidad” con que se debe cumplir con esos parámetros, lo que debe hacerse con los que no cumplan (que vayan a cuarentena o eliminarlos) o incluso recibir informes de intentos de suplantación de identidad.
En una palabra, DMARC lo que hace es devolvernos la capacidad frente a los ISP de garantizar que nuestro mail es legítimo y, por extensión, qué hacer con los que no lo sean.
Una configuración correcta de nuestro correo electrónico es vital de cara a garantizar que nuestro correo llega a nuestros clientes y, a su vez, que nuestro mail corporativo no pueda ser suplantado fácilmente.
Somos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan.