El 69% de empresas IBEX 35 aplican el protocolo DMARC

Proofpoint ha llevado a cabo un análisis de las medidas adoptadas por las empresas pertenecientes al Ibex 35 para detectar y prevenir las técnicas de suplantación de dominio utilizadas en el phishing, así como los ataques de compromiso de correo electrónico corporativo (BEC) y otras amenazas por medio del correo electrónico.

A pesar de que el 69% de estas empresas está tomando medidas para fortalecer la seguridad del correo electrónico, especialmente aquellas que ofrecen servicios directamente a los clientes finales, aún queda mucho por hacer. Existen posibles vulnerabilidades en las relaciones de las empresas del Ibex 35 con su cadena de suministro, que se han convertido en uno de los vectores de ataque preferidos por los ciberdelincuentes en la actualidad. Estos resultados se fundamentan en el nivel de adopción de DMARC (Domain-based Message Authentication, Reporting and Conformance) por parte de las empresas del Ibex 35.

Protocolo DMARC

DMARC es un protocolo de validación de correo electrónico diseñado para proteger los nombres de dominio contra el uso indebido por parte de ciberdelincuentes. Verifica la identidad del remitente antes de permitir que un mensaje llegue a su destino. DMARC ofrece tres niveles de protección: monitoreo, cuarentena y rechazo, siendo este último el más efectivo para evitar que los correos electrónicos sospechosos aparezcan en la bandeja de entrada.

En los últimos años, la cadena de suministro y los ecosistemas de socios y proveedores de recursos críticos han sido objetivos perfectos para las ciberamenazas, sin ninguna empresa exenta de ello. Una vez que los ciberdelincuentes se infiltran en la organización objetivo, intentan recopilar datos para llevar a cabo ataques de ransomware con doble o incluso triple extorsión, exigiendo pagos a todas las empresas afectadas y obteniendo fondos mediante ataques de suplantación de identidad de proveedores de confianza.

“Los atacantes se aprovechan de las relaciones establecidas entre empresas y terceros de
confianza, en las que se suele hablar de condiciones o pagos por correo electrónico. Si pueden interponerse en el momento adecuado en un intercambio de emails o entablar una nueva conversación haciéndose pasar por alguien, aumentan sus probabilidades de robar dinero o bienes, especialmente si se comunican desde una cuenta legítima que ha sido comprometida”, ha explicado Fernando Anaya, country manager de Proofpoint para España y Portugal.

Conclusiones principales

Estas son las principales conclusiones del análisis realizado por Proofpoint sobre la adopción del protocolo de seguridad DMARC en las empresas del Ibex 35 y su exposición a ciberfraudes:

• El nivel de protección del Ibex 35 en cuanto a dominio para sus canales de correo electrónico ha aumentado. En 2023, el 69% de las empresas ha implementado el protocolo DMARC en su nivel más básico, lo que significa que el 31% no ha tomado medidas para proteger a los usuarios de posibles correos electrónicos fraudulentos que suplanten su dominio. En comparación con 2020, la fiabilidad de las comunicaciones por correo electrónico ha mejorado significativamente, ya que más del 54% de las empresas del Ibex 35 estaban desprotegidas en ese momento.
• Sin embargo, actualmente solo 11 de las 35 empresas aplican la política DMARC más estricta y recomendada, que implica el rechazo de los mensajes, lo que significa que el 69% de las empresas no evitan activamente la entrega de correos electrónicos fraudulentos a los usuarios.
• En cuanto a los sectores, las empresas de banca, energía y turismo son las que tienen una mayor adopción del protocolo DMARC para protegerse contra la suplantación de dominios o correos electrónicos. Por otro lado, los sectores de infraestructuras, propiedades, salud y servicios presentan un mayor riesgo de ser utilizados para enviar mensajes fraudulentos.
• En las organizaciones más enfocadas en el consumidor, se prioriza la autenticación del correo electrónico. El 88% de ellas ha publicado registros DMARC, y de ese porcentaje, el 53% ha optado por el nivel más estricto de “rechazar”.

Fernando Anaya ha concluido: “La suplantación de dominios y los ataques basados en correo electrónico son un problema de gran magnitud que no va a desaparecer por el momento. Cualquier organización tiene que dar prioridad a la prevención de estafas con una estrategia de seguridad multicapa que incluya controles técnicos, desde configurar informes DMARC en sus registros DNS para dar visibilidad sobre quién envía emails en su nombre o usar herramientas para detectar dominios parecidos que puedan alertar de posibles fraudes, además de fomentar la educación en seguridad para garantizar que su gente pueda identificar un correo de phishing y denunciarlo fácilmente a todos los usuarios”.