comercio electrónico

Comercio electrónico seguro: el rol del protocolo DMARC



Dirección copiada

Según los datos recopilados por Proofpoint, casi el 90 % de los sitios de comercio electrónico no protegen adecuadamente al cliente de los riesgos del fraude por correo electrónico en línea.

Actualizado el 27 de nov. de 2024



comercio electronico seguro protocolo dmarc

Proofpoint, una empresa que se dedica a la seguridad cibernética realizó un análisis exhaustivo de las medidas de protección adoptadas por los principales sitios de comercio electrónico italianos, verificando la presencia y la implementación completa de las mismas Protocolo DMARC (informes y conformidad de la autenticación de mensajes basados en el dominio).

Por otro lado, en el informe publicado por EasyDMARC en 2024, se muestra el tratamiento que hacen de la protección del correo electrónico las más importantes empresas manufactureras. La compañía analizó a 4.796 fabricantes de todo el mundo y encontró que un 61 % ha implantado el protocolo de autenticación de email DMARC (Domain-based Message Authentication, Reporting, and Conformance). Pero sólo el 19% tiene la política más estricta que proporciona protección total contra el phishing y la suplantación de identidad.

Este protocolo evita que los ciberdelincuentes se apoderen de la identidad de una organización y reduce el riesgo de que los clientes cometan fraudes por correo electrónico.

Los riesgos del comercio electrónico: Preste atención a los correos electrónicos

La digitalización y el comercio electrónico traen consigo una serie de factores riesgos de ciberseguridad que podrían comprometer las compras online de los usuarios y más.

Los clientes no siempre van directamente al sitio de un minorista en particular. Tal vez decidan visitarlo después de recibir un mensaje sobre una promoción o una oferta especial.

Pero, ¿cuántos correos electrónicos prometen descuentos todos los días, a los que se puede acceder a través de un enlace incluido en el texto? ¿Son todos legítimos y seguros? Quizás sea prudente no confiar siempre ciegamente.

Los ciberdelincuentes utilizan habitualmente el método de suplantación de identidad o suplantación de los dominios para hacerse pasar por organizaciones, como sitios de comercio electrónico, mediante el envío de un correo electrónico desde una dirección que parece ser la misma que la del remitente legítimo.

Esto hace que sea prácticamente imposible para un usuario normal de Internet identificar un remitente falso de uno real.

Las marcas más conocidas traen consigo una actitud generalmente positiva por parte del consumidor, que tiende a aceptar con confianza las comunicaciones que provienen de una marca que conoce. Los hackers lo saben y tratan de aprovecharse de esta predisposición, haciéndose pasar por las marcas más conocidas y conocidas para cada uno de nosotros. Existen medidas para defenderse a sí mismos y a los consumidores, pero es muy preocupante que no se estén adoptando de forma más generalizada“, compartió Luca Maiocchi, director nacional de Proofpoint en Italia,

¿Qué es el protocolo DMARC?

Para muchas organizaciones, la posibilidad de reducir el riesgo de fraude por correo electrónico está vinculada al uso del DMARC (Domain-based Message Authentication, Reporting and Conformance), un protocolo de correo electrónico adoptado a nivel mundial como un verdadero ‘control de pasaportes’ en el mundo de la seguridad del correo electrónico.

El protocolo verifica que el dominio del remitente no se utilice de forma ilegítima. DMARC realiza una verificación basada en los estándares DKIM (DomainKeys Identified Mail) y SPF (Sender Policy Framework) para garantizar que el mensaje de correo electrónico no muestre un dominio suplantado de forma ilegítima. Esta autenticación protege a empleados, clientes y socios de los ciberdelincuentes que pretenden utilizar un dominio conocido y de confianza.

¿Qué ocurre en los principales sitios de comercio electrónico?

El análisis de Proofpoint consideró 40 sitios, analizó las empresas que forman parte del FTSE-MIB 40 y verificó su adopción del protocolo DMARC.

El resultado no es alentador: 31 empresas, es decir, el 78 %, han adoptado el protocolo DMARC, lo que representa un aumento en comparación con las 23 empresas (es decir, el 57 %) en 2020. Mientras que las que introdujeron el protocolo DMARC en el nivel más seguro, es decir, lo rechazaron, representan el 38 % de las empresas. Sin duda, un paso por delante del 13 % de las empresas en 2020. Pero precisamente, todavía no es del todo suficiente.

El modo de ‘rechazo’ proporciona el nivel de protección más estricto y recomendado, ya que implica proteger activamente a los clientes contra el fraude por correo electrónico. Básicamente, el modo de rechazo impide que un mensaje de correo electrónico que utilice un dominio determinado llegue al destinatario si no lo envió físicamente el remitente legítimo.

Sitios de comercio electrónico: Sólo 70 de cada 100 minoristas tienen el protocolo DMARC

Proofpoint realizó un análisis de los 100 minoristas más populares de Italia y 70 de cada 100 minoristas (el 70%) han implementado el protocolo DMARC. Sin embargo, solo 30 de cada 100 han adoptado el nivel de «rechazo».

En Colombia, aunque no hay estudios específicos, varias empresas y sectores han adoptado el protocolo DMARC para reforzar la seguridad de sus correos electrónicos y protegerse contra amenazas como el phishing y la suplantación de identidad. DMARC se utiliza especialmente en sectores críticos como financiero, salud, gobierno, comercio electrónico y tecnología, dado que permite garantizar la autenticidad de los correos enviados desde sus dominios, protegiendo tanto a clientes como a partes interesadas externas.

Empresas como Davivienda y Bancoomeva están fortaleciendo sus sistemas contra el fraude y la suplantación mediante medidas avanzadas de ciberseguridad, que pueden incluir protocolos como DMARC, aunque su uso específico no siempre se detalla públicamente​. Por otro lado, instituciones gubernamentales y del sector salud también han mostrado interés en adoptar medidas como DMARC para proteger datos sensibles y comunicaciones electrónicas​.

Reglas de autenticación DMARC obligatorias con Gmail y Yahoo Mail

Desde febrero de 2024, Google ha introducido estándares nuevos y más estrictos para garantizar una mejor seguridad y capacidad de entrega del correo electrónico. Según el volumen de correos electrónicos, se deben cumplir requisitos específicos:

Requisitos comunes a todos:

  • Autenticación: Es esencial verificar la identidad del remitente para evitar ataques de suplantación de identidad y spam. Google exige la implementación del SPF y el DKIM, protocolos que confirman la autenticidad de los correos electrónicos.
  • Bajos índices de spam: Si demasiados destinatarios denuncian tus correos electrónicos como spam, es posible que estén bloqueados. Es importante mantener una tasa de spam muy baja.

Requisitos para quienes envían más de 5000 correos electrónicos al día:

  • Implemente el DMARC: Este protocolo añade una capa de protección adicional, al verificar que el dominio indicado en el correo electrónico coincide realmente con el remitente.
  • Garantice la alineación del DMARC: Toda la información relacionada con el dominio debe ser coherente.
  • Ofrezca una opción para cancelar la suscripción: Cada correo electrónico debe contener un enlace claro y sencillo que permita a los destinatarios cancelar la suscripción en cualquier momento.

Requisitos específicos del correo de Yahoo

  • Implementación de DMARC: Los remitentes deben publicar un registro DMARC en su DNS (sistema de nombres de dominio) para indicar a Yahoo y a otros proveedores de correo electrónico cómo gestionar los correos electrónicos que no pasen la autenticación.
  • Política DMARC: el registro DMARC debe incluir una política que especifique las medidas que se deben tomar en caso de una discrepancia, por ejemplo:
    • Ninguna: No se toma ninguna medida.
    • Cuarentena: Los correos electrónicos no auténticos se aíslan en una carpeta de correo no deseado o de cuarentena.
    • Rechazar: Los correos electrónicos no auténticos se bloquean por completo.
  • Alineación DMARC: El dominio remitente de Envelope-From o el dominio DKIM deben coincidir con el dominio indicado en el encabezado «De».

Para implementar el protocolo DMARC de manera efectiva, se recomienda iniciar con una evaluación del estado actual de los registros SPF y DKIM de la organización, ya que son componentes esenciales para su funcionamiento. A continuación, configure un registro DMARC en el sistema DNS de su dominio, estableciendo inicialmente una política de monitoreo (“p=none”) para analizar cómo los correos electrónicos están siendo manejados. Luego, ajuste gradualmente la política hacia “cuarentena” o “rechazo” según los resultados obtenidos. Además, revise regularmente los reportes generados por DMARC para identificar y mitigar intentos de suplantación de identidad. En Colombia, entidades como COLCERT recomiendan adoptar políticas estrictas de autenticación y trabajar en conjunto con proveedores de correo electrónico para garantizar una implementación alineada con los estándares internacionales de ciberseguridad.

Fuente: Zerounoweb.it, Network Digital360

Artículos relacionados

Artículo 1 de 4