Ningún ministerio español protege su dominio contra la suplantación de identidad
Y, según datos de Proofpoint, prácticamente 7 de cada 10 empresas del Ibex 35 están expuestas al fraude por correo electrónico.
¿Cómo de protegidas están las empresas e instituciones en España frente a la ciberdelincuencia? Y, concretamente, ¿se han blindado bien para frenar los intentos de suplantación de identidades?
De acuerdo con datos de Proofpoint, para quien el fraude por email es una de las grandes amenazas que existen, ni las empresas del Ibex 35 ni algunos organismos oficiales están implementando las medidas de seguridad debidas. Entre ellas, el sistema de verificación DMARC (Autenticación de Mensajes, Informes y Conformidad basada en Dominios), que “funciona como una especie de control de pasaportes en el ámbito de la seguridad del correo electrónico”, tal y como explica Ryan Kalember, vicepresidente sénior de Estrategia de Ciberseguridad de Proofpoint.
Este mecanismo “garantiza una autenticación correcta de los remitentes, verificando que son quienes dicen ser, de acuerdo con los estándares DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework), protegiendo a los empleados, clientes y socios frente a aquellos cibercriminales que quieren hacerse pasar por una compañía o marca de su confianza”, añade Kalember.
En líneas generales, España ha adoptado menos DMARC que otros países europeos, con un porcentaje del 31 % frente al 33 % de Alemania, el 38 % de Francia, el 42 % de Reino Unido o el 43 % de Suecia.
En cuanto a las empresas de mayor tamaño, las del Ibex 35, Proofpoint desvela que prácticamente 7 de cada 10 están expuestas al fraude por email con la suplantación de dominios. De ellas, menos de un tercio (31 % o un total de 11) se protege con la adopción de DMARC. Y solamente 3 bloquean correos fraudulentos donde se falsifica su dominio de una forma proactiva.
De entre todas las compañías analizadas, las que conforman el sector bancario son las que más destacan en protección vía DMARC. El 45 % de las empresas del Ibex 35 que han implementado este sistema se enmarca en el entorno financiero.
Mientras, ninguno de los ministerios españoles protege sus dominios frente a la suplantación de identidad, dejándolos en riesgo para el envío de correos fraudulentos. Y únicamente Cataluña, Castilla-La Mancha y las Islas Canarias se identifican como comunidades autónomas con implementación DMARC a nivel gubernamental, si bien en el modo más básico de protección.
“Con este análisis, queríamos tener una idea aproximada de si en nuestro país las organizaciones habían puesto ya en marcha los mecanismos de defensa para una autenticación efectiva de sus comunicaciones por correo electrónico”, dice Fernando Anaya, responsable de desarrollo de negocio de Proofpoint para España y Portugal. “Aunque queda mucho por hacer”, indica, “es alentador ver cómo desde ciertos sectores entienden la necesidad de protegerse proactivamente con medidas de ciberseguridad como DMARC”.