Son las 9:00 p.m. y a su móvil llega un email que dice: “Urgente”. Lo envía el área de sistemas de la empresa donde usted trabaja. Le piden descargar un parche de seguridad para terminar de repeler un posible ataque cibernético que ha sido detectado. Toca el enlace y lo descarga. Mientras usted cree que ha contribuido con su compañía, en realidad le ha dejado una puerta abierta a los ciberdelincuentes.
¿Cómo es posible, si el correo venía de una dirección real y usaba el dominio válido usado por su empresa? Se trata de un caso de ‘spoofing’ o suplantación, una técnica simple que aprovecha una vulnerabilidad en el servicio de email y puede afectar gravemente cualquier organización.
“Hay que tener en claro que con esta técnica no se entra al email de la persona a la que se suplanta, ni se compromete la cuenta de ese usuario, pues no se ingresa a la red. Con algunas líneas de código se elude el servidor que remite el correo y se envía finalmente. El servidor que recibe el correo no tiene forma de validar si el remitente dice la verdad sobre la identidad de la cuenta”, explica a El Comercio Gino Coquis, director de Estrategia de Producto de la empresa de ciberseguridad británica RedSift.
Aunque parezca que al enviar un email lo hacemos desde nuestra PC o móvil hacia el destinatario, en realidad el intercambio de mensajes se hace entre servidores. Es entonces que la vulnerabilidad se evidencia.
—LA SOLUCIÓN—En la actualidad se ha demostrado que el protocolo que permite brindar seguridad en ambos lados de la comunicación por email es el DMARC.
“Los gobiernos de EE.UU. y del Reino Unido lo consideran un elemento crítico para que el email tenga futuro. Es por eso que han hecho obligatorio el uso de este protocolo para todas las empresas e instituciones de gobierno”, detalla Coquis a este Diario.
¿Pero usar de manera fraudulenta los email es realmente una amenaza para cualquier organización? Básicamente desde que dejaron de ser solo un medio de mensajería con texto plano y puntual, y empezaron a conectarse con servicios webs y otros medios electrónicos aumentaron su peligrosidad.
Se pueden enviar email fraudulentos a todos los empleados de una empresa. Solo basta que uno caiga en el engaño para poner en riesgo a la empresa.
Por ejemplo, el ‘phishing’ es una técnica que usan los ciberdelincuentes para obtener información sensible de los usuarios (como contraseñas). Según Kaspersky Lab, en el segundo trimestre del 2018 esta empresa neutralizó 107’785.069 intentos de remitir a los usuarios a páginas fraudulentas. En el mundo, solo un 9,6% de usuarios únicos de productos de esa empresa fue afectado.
“El DMARC va a permitir que una organización bloquee todos los email que no estén configurados. Si alguien intenta suplantar una dirección de correo, el mensaje no llegará al destinatario. Pero aun así muy pocas empresas han implementado este protocolo y siguen en riesgo”, reflexiona Coquis.