NoticiasCiberseguridad

Fernando Anaya, Proofpoint: “La clave está en proteger a las personas”

Fernando Anaya, country manager de Proofpoint, explica cómo funciona un sistema de securización del correo electrónico que puede evitar cualquier tipo de fraude por suplantación.

E l espectro de compañías de ciberseguridad es cada vez más amplio y ahí caben una legión entre las que se encuentran las de una aproximación más global y las puramente de nicho. Fernando Anaya, country manager de Proofpoint para España y Portugal, explica las raíces de su firma: “Nuestro punto de partida fue la protección del correo electrónico. Con el paso de los años y mediante adquisiciones de compañías especializadas, nos hemos posicionado en torno a las personas, versus al habitual enfoque de las infraestructuras”.

Su objetivo es proteger a las personas en sus diferentes ámbitos de actuación, y es el correo electrónico el que concentra la actividad. “Un informe reciente señala que el 96% de las amenazas nos llegan a través del email. Si antes los objetivos eran las infraestructuras y las aplicaciones, son ahora los usuarios el objetivo, y quienes activan los ataques”.

Los cibercriminales ‘conocen’ nuestras actividades en redes sociales y nuestro status dentro de una empresa. Fernando Anaya ilustra esta situación a continuación: “Ellos saben si tienes una posición concreta dentro de una farmacéutica, por ejemplo, y sospechan que tienes acceso a una máquina donde reside propiedad intelectual de tu empresa. Y saben que una de tus aficiones es la pesca y te envían un correo ‘inocente’ que informa sobre la apertura de la veda de un río. Entonces picas el cebo haciendo clic y estás instalando el malware que les servirá de entrada a tus datos corporativos”. 

Además, como destaca Anaya, el fraude del CEO se ha convertido en una lacra y causado muchos ‘rotos’ en las cuentas de las empresas, al autorizar pagos inconscientemente de facturas aparentemente correctas.  Especialmente dañino es el ransomware, que está evolucionando para encontrar el camino para llegar a los servidores de las empresas. “Estamos viendo ataques de ransomware que no conllevan payload (se refiere a la parte del malware que realiza la acción maliciosa después de haber realizado una penetración exitosa). Por tanto, pasarían desapercibidos ante cualquier estructura de seguridad”.

¿Indefensión en el Ibex 35?

El protocolo DMARC es hasta el momento la mejor tecnología para frenar potenciales ame- nazas a través de email, en las que los atacantes suplantan a entidades o marcas de confianza para los usuarios, haciéndoles creer que el dominio remitente es legítimo. Esto es lo que podría pasar actualmente en España, de acuerdo a un análisis de Proofpoint, a la mayor parte de los ministerios que componen el Ejecutivo, donde “la muy limitada adopción de DMARC para proteger el servicio de correo electrónico se hace además en modo básico, monitorizando los posibles casos y no ejecutando ninguna medida adicional”, puntualiza el directivo.    

Este análisis señala que el 83% de las empresas del Ibex está en riesgo de que los ciberdelincuentes envíen correos electrónicos falsos a usuarios en su nombre. En cuanto a los gobiernos de comunidades autónomas, a cuyos portales también acuden los ciudadanos de forma telemática para conocer la repercusión más cercana del coronavirus, hay asimismo cierto riesgo de exposición a que sus dominios sean utilizados para enviar emails fraudulentos.

Según Proofpoint, en ocho de las 17 regiones se ha activado el sistema DMARC en sus servidores de correo. No obstante, la protección frente a suplantaciones de identidad continúa siendo insuficiente: en la mayor parte de los despliegues de DMARC no se adopta el modo estricto de bloqueo, sino de notificación o cuarentena. También estarían en el punto de mira de los ciberdelincuentes las empresas pertenecientes al Ibex 35, con miles de clientes con cierta predisposición estos días a realizar algún trámite a través de su página web, como por ejemplo ver facturas, contratar productos y servicios, o acceder a información sobre alguna ayuda económica. De esa amenaza para el usuario podrían librarse solo 6 de las 35 compañías que componen el listado  gracias a la implementación de DMARC en sus dominios en modo bloqueo o cuarentena. Todo esto dejaría al 83% de las firmas más destacadas del país expuesto al fraude por correo electrónico o suplantación de identidad.

“Ahora más que nunca tiene una importancia crítica que la ciudadanía pueda confiar enla veracidad de las comunicaciones electrónicas  por parte de grandes empresas e instituciones públicas, y que estas protejan a todos aquellos usuarios que recurren a sus páginas en Internet para informarse debidamente de la situación o  iniciar algún tipo de solicitud online”, concluye  el directivo.   

DMARC, la barrera contra el fraude

DMARC es un protocolo de extrema necesidad bastante desconocido y de escasa adopción. Su aparición se remonta a 2015; ante la apremiante necesidad de autenticar el correo electrónico, los principales proveedores a nivel mundial desarrollaron de forma conjunta este protocolo. DMARC responde a las siglas inglesas Domain-based Message Authentication, Reporting and Conformance, es decir, automatización de mensajes basada en dominio, informes y conformidad. Este protocolo garantiza que el mensaje proviene del dominio del cual indica proceder, por ejemplo, la dirección @mibanco.es. En otras palabras, si el remitente de un correo no tiene implementado DMARC, el destinatario no tendrá la certeza de que la identidad del remitente no está siendo suplantada. Este tipo de ataques se denomina  domain spoofing, una técnica conocida por los delincuentes que la emplean  ampliamente en campañas de phishing. DMARC tiene diferentes maneras de  actuar ante un correo que cumpliera con la política definida por la empresa:  en modo bloqueo (el mensaje no sería recibido, protegiendo el dominio); en  modo cuarentena (el correo se deriva a una bandeja de spam) y en modo  non (solo válido a efectos de reporte). DMARC se apoya en dos protocolos  que son SPF, que comprueba si el mail es enviado desde una dirección IP  válida, y DKIM verifica que los correos están firmados por el dominio que  los envía. Con más de 300.000 millones de correos diarios, es uno de los  servicios más usados incluso en cloud. Resulta increíble a día de hoy que su  adopción sea tan limitada. Estudios llevados a cabo por Proofpoint muestran  que solo seis empresas en el Ibex 35 tienen DMARC en modo bloqueo, es  decir, casi el 86% de ellas podrían ser víctimas de un spoofing de dominio.  Cualquiera puede preguntarse, si es tan peligroso no disponer de DMARC  por qué tan pocas organizaciones lo implementan. Las razones son diversas,  según explica Fernando Anaya. “La identificación de las áreas de interés  dentro de la organización, conocer el ecosistema del correo de la empresa  con detalle y saber cuándo aplicar la política, especialmente si buscamos  aplicarla en modo bloqueo”.

Computing 793