Article
Calendar white icon
2021-03-11

Seguridad de emails: protege tu empresa del "Fraude del CEO" y de otro tipo de suplantaciones de identidad

Te damos recomendaciones prácticas que minimizarán tu riesgo de sufrir una suplantación de identidad a través de correo electrónico.

¿Por qué es importante la seguridad de tu correo electrónico?

El correo electrónico es un método de comunicación esencial para la mayoría de las empresas, sobre todo dada la situación actual. Por lo tanto, no es de extrañar que los emails se hayan convertido en un canal explotado por los ciberdelincuentes para atacar a sus víctimas. F5 Labs (el área de inteligencia de amenazas del proveedor de servicios de aplicaciones F5) ha revelado que los incidentes de phishing han aumentado un asombroso 220% durante la pandemia del Covid-19. 

¿Qué es el Fraude del CEO?

Es un tipo de ataque de phishing muy común en el que un ciberdelincuente se aprovecha del dominio de una organización para hacerse pasar por ejecutivos de alto nivel, como directores generales o directores financieros. Los correos electrónicos de este tipo suelen transmitir una sensación de urgencia, presionando a los empleados para que divulguen datos confidenciales, hagan clic en enlaces maliciosos o incluso paguen facturas falsas. 

Este es un ejemplo de un correo electrónico real (con el nombre cambiado) que ilustra un Fraude del CEO:


Ejemplo real de un correo electrónico de Fraude del CEO

¿Qué es la suplantación de identidad por correo electrónico?

En un ataque de suplantación de correo electrónico, un atacante se hace pasar por una persona conocida o de confianza para que el correo electrónico parezca proceder de esta persona. Este tipo de ataque también se conoce como email spoofing.

Aunque los correos electrónicos de Fraude del CEO son los que más estragos causan, hay muchas otras formas de suplantación de correos electrónicos, como fingir ser un proveedor que pide el pago de una factura o fingir ser un cliente que pide que se haga clic en un enlace o se rellene un formulario.

Los correos electrónicos que suplantan a alguien de tu misma organización son un riesgo para tu empresa - porque tus empleados pueden caer ellos mismos -, así como para tus clientes y socios comerciales.

¿Cómo puedes tu empresa contra los ataques de suplantación de identidad por correo electrónico?

Hay una serie de protecciones que una organización puede configurar para reducir los riesgos de la suplantación de identidad por correo electrónico:

Formar a tu personal sobre cómo detectar los correos electrónicos fraudulentos a través de la formación de phishing puede contribuir a reducir el riesgo que corre tu empresa. Te recomendamos encarecidamente que formes a tus empleados con regularidad para que se mantengan alerta. La plataforma de Bewica te permite comprobar cómo de vulnerables son tus empleados a los ataques de phishing mediante simulaciones periódicas y formación.

Los servicios de correo electrónico son cada vez más sofisticados a la hora de detectar correos electrónicos de phishing, incluidas las suplantaciones. Los correos electrónicos detectados suelen ir a parar a la carpeta de correos no deseados directamente o incluso ni llegan a ser visibles para el usuario. Se calcula que cada día se envían 165.000 millones de correos electrónicos de spam y phishing, es decir, el 84% de todos los correos electrónicos, según Talos Intelligence, y sólo una pequeña parte acaban en bandejas de entrada. Nuestras propias investigaciones demuestran que Google y Outlook son especialmente eficaces a la hora de bloquear correos electrónicos no deseados y peligrosos.
Varios proveedores, como Symantec, Mimecast, Proofpoint, Cisco, Barracuda y Forcepoint, ofrecen paquetes adicionales de pago que van mas allá a la hora de bloquear los correos electrónicos de phishing para que no lleguen a las bandejas de entrada.

Por último, pero no por ello menos importante, puedes proteger su dominio de correo electrónico con medidas de protección técnicas que analizaremos en más detalle en este artículo.


¿Por qué deberías proteger tu dominio de correo electrónico?

Si tu dominio está desprotegido, puede ser técnicamente sencillo para un ciberdelincuente enviar un correo electrónico que simula proceder de tu organización. Por ejemplo, si su dominio es qwerty.com, un delincuente puede enviar fácilmente un correo electrónico que aparezca proceder de "[email protected]". Desde el punto de vista de tus empleados, el correo electrónico parecería auténtico.

Implementar protecciones técnicas en tu dominio de correo electrónico hace que sea mucho más difícil para los delincuentes hacerse pasar por la dirección de correo electrónico de tu organización, reduciendo el riesgo de que ataques de phishing se produzcan internamente, así como a clientes u otros socios comerciales.

¿Cómo puedes proteger tu dominio de correo electrónico?

Puedes hacerlo configurando mecanismos sencillos de protección, como SPF, DKIM y DMARC, que proporcionan seguridad adicional y evitan que tu dominio sea suplantado y, por tanto, utilizado para actividades fraudulentas. 

Sender Policy Framework (o SPF) es un protocolo de autenticación de correo electrónico que permite al propietario de un dominio especificar qué servidores de correo se pueden utilizar para enviar correos electrónicos desde tu dominio. El registro SPF contiene información sobre quién está autorizado para enviar correos electrónicos en nombre de tu organización. Si una entidad no autorizada intenta enviar un correo electrónico en el nombre de tu empresa, el servidor de correo electrónico receptor, dependiendo del registro SPF, rechaza o marca el correo electrónico como spam.

El DomainKeys Identified Mail (DKIM) es un protocolo que permite asociar un nombre de dominio a un mensaje mediante técnicas criptográficas. Al enviar un correo electrónico se incluye una firma o huella digital en su cabecera. Se trata de una marca única e intransferible que es muy difícil de falsificar. De esta forma, cuando el destinatario recibe un mensaje verifica la firma incluida en la cabecera, validando el mensaje y su procedencia. Algunos proveedores de servicios de correo electrónico utilizan su DKIM por defecto para firmar los correos electrónicos (por ejemplo, Gmail o Microsoft Office 365), mientras que otros deben habilitarlo.

Domain-based Message Authentication, Reporting & Conformance, también conocida como DMARC, proporciona una capa adicional de seguridad al indicar a los servidores de correo electrónico qué hacer en caso de que un correo electrónico no supere las verificaciones de autenticación SPF y DKIM. Con la política DMARC configurada, el correo electrónico entrante se somete a las comprobaciones de autenticación SPF y DKIM. Si el correo electrónico pasa cualquiera de estas verificaciones, el correo electrónico se envía a la bandeja de entrada del destinatario. Para aquellos correos que no superen las verificaciones, dependiendo de las reglas DMARC que hayan sido configuradas, estos correos se rechazan o se ponen en cuarentena (marcados como spam).


DMARC también proporciona un mecanismo de supervisión en el que se puede ordenar al servidor de correo electrónico receptor que genere informes con información sobre los correos electrónicos que no han superado las verificaciones de autenticación y que se envían de vuelta al dominio remitente. Por lo tanto, al tener DMARC implementado podrás detectar y evitar que se envíen correos electrónicos fraudulentos utilizando tu dominio.

La buena noticia es que no necesitas comprar nada ni suscribirte a ninguna herramienta para implementar estas medidas de protección. Sólo hay que configurarlas.

Tendria sentido que todas las empresas configuren estas protecciones, pero no es así, como demuestra este análisis sobre una muestra aleatoria de 324 pequeñas empresas y escuelas del Reino Unido realizado en marzo de 2021:

Pequeña empresa SPF configurado (%) Política SPF fuerte (%) DMARC configurado (%) Política DMARC fuerte (%)
Colegios 73 72 15 5
Bufetes de abogados 100 91 36 18
Seguros y finanzas 84 84 30 6

Aunque la mayoría de las organizaciones que participaron en esta muestra han configurado SPF, muchas menos tienen implementado DMARC. La seguridad del correo electrónico puede mejorar significativamente si se aplica DMARC junto con SPF.

Además, configurando SPF y DMARC de tal manera que permita a un servidor de correo electrónico rechazar correos electrónicos sospechosos (es decir, una política fuerte de SPF / DMARC) reduce aún más el riesgo y, por lo tanto, debería aplicarse.

¿Cómo se configuran estas protecciones?

SPF y DMARC pueden implementarse con poco esfuerzo, mientras que la mayoría de los proveedores de correo electrónico ya cuentan con una protección básica DKIM. Estas políticas pueden contribuir en gran medida a proteger la infraestructura de tu correo electrónico y, por tanto, tu organización.

Ambos mecanismos se pueden configurar mediante la publicación de determinados registros DNS (Domain Name System). Son un conjunto de instrucciones que se publican y son visibles públicamente para todos los dominios (como qwerty.com). Estos registros instruyen a los servidores sobre cómo interactuar con tu dominio. Los registros SPF y DMARC proporcionan información sobre cómo manejar los correos electrónicos enviados con tu dominio.

Por lo general, el responsable de informática publica los registros SPF, DKIM y DMARC necesarios en el servidor DNS a través de tu proveedor de servicios de hosting (un proveedor de servicios que le permite crear páginas web en Internet. Por ejemplo, Cloudflare, GoDaddy, etc.). 

Aunque estas protecciones no son infalibles pueden hacer que tu dominio sea menos susceptible de sufrir ataques de suplantación de identidad o fraude por correo electrónico. En Bewica, nos comprometemos a ayudar a tu organización a implementar estas protecciones. Nuestra herramienta de seguridad del correo electrónico comprueba el estado de tu configuración de DMARC y SPF y te ayuda a implementar las protecciones que faltan.

Mariyam Koshy

Cyber security analyst
Linkedin Icon - black background