El correo electrónico sigue siendo la forma de comunicación predominante para las organizaciones y uno de los canales preferidos por los consumidores. Por este motivo, los ciberdelincuentes continúan explotando esta herramienta universal para enviar phishing o spam, vulnerar emails corporativos (BEC) y realizar otras estafas. Sin embargo, Google y Yahoo van a contraatacar con nuevos requisitos de autenticación del correo electrónico, diseñados para impedir estos ciberataques, que se empezarán a aplicar en el primer trimestre de 2024.

La autenticación del correo electrónico es una práctica recomendada desde hace tiempo. Por ejemplo, el protocolo DMARC (Domain-based Message Authentication Reporting and Conformance) está disponible desde hace una década y es el estándar de referencia para la protección contra la suplantación de identidad, una técnica clave en los ataques BEC y de phishing. Aun así, muchas empresas todavía no lo han implantado, por lo que tendrán que ponerse al día rápidamente si quieren seguir enviando emails a direcciones de Gmail y Yahoo. Su implantación, sin embargo, puede suponer un reto, ya que requiere una serie de pasos técnicos y un mantenimiento continuo, y no todas las organizaciones disponen internamente de los recursos o conocimientos necesarios para cumplir estos requisitos a tiempo.

Qué significan los nuevos requisitos del correo electrónico para las empresas

Según el informe State of the Phish 2023 de Proofpoint, el 90% de las organizaciones encuestadas en España se enfrentó al menos a un ataque de phishing exitoso durante 2022. Por su parte, el FBI califica el BEC como “el fraude de los 26.000 millones de dólares” por las tremendas pérdidas económicas que tienen sus víctimas.

La autenticación del email ofrece protección rompiendo la cadena de ataque en las amenazas basadas en el correo electrónico. DMARC y sus mecanismos de autenticación asociados, como los protocolos SPF (Sender Policy Framework) y DKIM (Domain Key Identified Mail), protegen el correo electrónico y evitan técnicas como la suplantación de identidad, una táctica habitual en los ataques de phishing. SPF, por ejemplo, permite al servidor receptor verificar si el correo entrante procede de una dirección IP autorizada para una organización. Esta verificación impide que un ciberdelincuente se haga pasar por una marca, proporcionando así protección tanto a empleados como a clientes.

Si una empresa se comunica con sus clientes a través de Gmail y Yahoo y aún no ha implementado protocolos de autenticación como SPF, DKIM y DMARC, el mayor reto al que se enfrenta es el tiempo. La implantación requiere varios pasos para cada protocolo y puede ser complicada, especialmente si se tienen varios dominios. Una vez implantados los protocolos, se deben mantener los registros DMARC, SPF y DKIM a lo largo del tiempo.

Trabajar con un partner de seguridad

Los nuevos requisitos no son iguales para los dos proveedores de email. En el caso de Google, tiene unas medidas adicionales para las organizaciones que envían 5.000 o más mensajes al día. De todas formas, es recomendable implementar las mejores prácticas más allá de las especificaciones que están haciendo Google y Yahoo para reforzar la seguridad y mitigar los riesgos del correo electrónico.

“Aunque los plazos de Google y Yahoo ejerzan ahora presión sobre las empresas para poner en marcha estas medidas, al final adoptar esta práctica ayudará a proteger a empleados, equipos y a todas las partes de una organización”, explica Rob Holmes, vicepresidente de grupo y director general de seguridad y autenticación de remitentes en Proofpoint.

Reforzar las defensas con la tecnología adecuada

Las personas siguen siendo el eslabón más débil de la cadena de ataque, y el error humano es la principal causa de los incidentes cibernéticos. Aunque la concienciación y la educación de los usuarios desempeñan un papel importante en el refuerzo de esta capa de seguridad, los controles técnicos como DMARC son extremadamente importantes para proteger una organización frente a los ciberataques basados en el correo electrónico y el fraude.

“Como cualquier herramienta de seguridad, el protocolo DMARC no es infalible, pero añade otra capa de protección y contribuye a hacer más fuertes las defensas”, añade Holmes.