Usa dmarc, por un correo más seguro.

Lectura Tiempo de lectura: 6 minutos.
Tomás Ledo
21 de marzo de 2023

¿Quien de vosotros no ha escuchado que un cliente, proveedor ha sido estafado pagando una supuesta factura de un cliente proveedor habitual?
Esto te interesa saberlo, da igual si ya lo escuchaste o no, voy a intentar explicar nuestro punto de vista sobre el estado del arte en Internet en esta cuestión y porqué debes usar SPF DKIM y DMARC con el correo. Los nombres y las empresas son ficticios pero la historia está basada en hechos reales.

algovamalmujer

La historia.

Todo empezó una mañana de Abril, Gema Expósito estaba leyendo su correo atendiendo las diferentes solicitudes y gestiones varias, vaya el correo de las rusas otra vez y no, no quiero un seguro ni comprar una casa en las bahamas… uff que pesado el príncipe nigeriano con sacar el dinero de su país. Borar, borrar, borrar. Voy a escribir a la empresa frutícola que no no ha pagado la factura del último pedido.

Estimada empresa frutícola, no hemos recibido el pago de la factura 202103894/04 por importe de 14.328,04 euros, por favor rogamos realicen el ingreso lo antes posible ya que está vencida y nos hagan llegar el justificante de ingreso. Muchas gracias por su comprensión.

Unos minutos mas tarde, ding. Has recibido un correo de empresa frutícola ¡Hombre ya era hora! que despistados son…

Estimado proveedor, la factura 202103894/04 por importe de 14.328,04 ya fue abonada en su cuenta hace días, no entendemos el motivo por el que nos reclama la factura, adjuntamos justificante de pago.

Cuando Gema verifica el justificante de pago, un sudor frio recorre su cuerpo, esa no es su cuenta, piensa que debe tratarse de un error, pero no. El consiguiente intercambio de correos tratando de explicar que ellos no han recibido el pago, el cliente que si ha pagado, que no es problema de ellos, que si lo es, que no lo es, el caso termina como es obvio en los juzgados, con peritos escribiendo informes periciales de ambas partes tratando de justificar todo lo justificable, a veces con una imaginación y creatividad dignas de mención.

Finalmente la empresa frutícola tuvo que pagar, ya que su proveedor realmente no recibió su compensación por los servicios y ellos fueron claramente los estafados, el proveedor no tuvo culpa alguna en este caso. Lo que sucedió realmente ni siquiera fue una suplantación usando la dirección real del remitente, era un burdo correo del estilo gema.exposito@mail.com, claro que el cliente de correo mostraba from: «Gema Expósito» y el cliente no se percató del detallito @mail.com y no @proveedorcualquiera.es que es desde donde siempre escriben sus correos.

Las causas.

En esta ocasión, y en la mayoría de ellas sucede por la falta de pericia de los usuarios, no verificar el origen del correo y la cuenta de pago no habitual. En la mayoría de los casos, previo al desarrollo de la estafa hay un estudio minucioso del correo de la víctima, esto suele ocurrir por una cuenta de correo comprometida, que bien podría ser la de cualquiera de las partes. Suelen crear una redirección desde el servicio de correo web, todos los correos que se reciben son reenviados a una cuenta habitualmente de hotmail o gmail donde el atacante estudia cuando y como introducir el correo fraudulento, para recibir su tan preciado pago. Ahora pregúntate, ¿que hacen tus proveedores para tratar de minimizar estos riesgos y que puedes hacer tú?

En nuestro caso, ofrecemos servicios de correo a muchas compañías, en el momento de escribir este artículo gestionamos 50.671 buzones de correo, si bien no son muchos, es una cifra que empieza a ser respetable. Ofrecemos de serie la posibilidad de configurar desde nuestro panel de servicios dmarc.

El estado del arte en el correo. dmarc y otros sabores.

No es objetivo explicar en este artículo como funciona técnicamente dmarc, realizaremos una serie de entradas un poco más técnicas para explicarlo aunque puedes consultar otras fuentes, como el INCIBE (Instituto Nacional de Ciberseguridad). El caso es que en la industria, el servicio de correo se concentra en grandes jugadores como gmail de Google o Office365 de Microsoft y en multitud de empresas como la nuestra que ofrecen este servicio, unas usando herramientas como cPanel, Plesk u otras soluciones para ofrecer el servicio de correo usando el dominio de tu empresa. Otras como nosotros desarrollando herramientas propias para controlar mejor como ofrecemos los servicios.

El estándar dmarc no es algo nuevo, pero si en ser soportado de principio a fin. Para que dmarc sea realmente efectivo los proveedores de correo debe de soportar dmarc y además el proveedor que lo soporte debe enviar informes de cumplimiento dmarc, y esto último deja muchísimo que desear. Ninguno de los paneles o soluciones más extendidas como cPanel o Plesk lo soportan.

Para que nos hagamos una idea en este sentido, acerca de la posibilidad del cumplimiento del estándar de dmarc, un análisis superficial con la herramienta Shodan nos arroja las siguientes cifras… el asunto es para echarse a temblar teniendo en cuenta que cada uno de los servidores puede alojar unos cientos de dominios y miles de buzones de correos. Y esto solamente es una foto MUY parcial sobre lo vulnerable que es nuestro tan amado servicio de correo.

image 1
288.048 Servidores con Plesk
telegram cloud photo size 4 5827808422517654404 y
1.046.029 Servidores con cPanel

Muchos de nuestros clientes con dmarc activo han alertado de buzones comprometidos a sus clientes y proveedores al haber recibido un correo de error en la entrega, al haberse roto la cadena de dmarc cuando se reenvió el correo al atacante, nos han preguntado, estoy recibiendo correos de error cada vez que envío un correo a este cliente ¿porque sucede esto?. También generamos informes de error en su panel de cumplimiento de dmarc con su dominio e informamos a otras organizaciones enviado informes de cumplimiento. Los atacantes suelen usar servicios como hotmail, gmail o yahoo, para reenviarse el correos y estos proveedores al menos, soportan el estándar de envío de informes de cumplimiento dmarc.

image
Informes y gestión dmarc

¿Que otras cosas podemos hacer para tener un correo seguro? no pongas contraseñas sencillas, puedes activar o desactivar el servicio de redirecciones de tu buzón, nosotros por defecto lo tenemos desactivado, se puede activar y desactivar a voluntad desde nuestro panel. También se verifican que direcciones IP habituales son las que se usan para descargar y leer tu correo. Si estas no son las habituales ya tenemos una alerta de una posible cuenta comprometida. Asegúrate de que tu proveedor te permite configurar dmarc y que tipo de medidas extra aplica a tu servicio de correo, es vital para evitar este tipo de situaciones, así como verificar siempre el remitente del correo y las cuentas bancarias donde realizamos los pagos.

Exige siempre el uso de SPF DKIM y DMARC en tu servicio de correo, exige a tu proveedor implementar políticas dmarc por una Internet más segura. ¡En nuestro caso se configura con dos click!

Posts relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *