Convendría, en primer lugar, explicar qué es el protocolo DMARC. Se trata de un sistema en favor de la ciberseguridad que evita que los ciberdelincuentes suplanten un dominio para perpetrar fraudes a través de correo electrónico.
Esta herramienta, cuyas siglas proceden del acrónimo en inglés Domain-based Message Authentication, Reporting and Conformance, debería ser clave, pues, para la protección de todo tipo de organizaciones, entre las que, lógicamente, se debe incluir a las administraciones públicas.
No conviene olvidar que es a través de las instituciones por donde se cuelan muchos de estos ciberataques.
Las primeras especificaciones de DMARC se publicaron justo hace ahora 10 años y, según los expertos en la materia, "todavía no está tan generalizado como debiera, algo que contrasta fuertemente con el propósito y con el resultado principal de la implementación de esta herramienta: proteger un dominio de ser utilizado por los cibercriminales en sus amenazas basadas en el correo electrónico".
Con motivo del décimo aniversario de la primera publicación del protocolo DMARC, Proofpoint, empresa líder en ciberseguridad y cumplimiento normativo, ha realizado recientemente un análisis para examinar el uso del protocolo DMARC por parte de las principales administraciones públicas españolas.
En concreto, se ha centrado en las páginas web de los ministerios y la presidencia del gobierno, así como en los portales de Internet de las 17 comunidades autónomas y los principales organismos gubernamentales.
Los ciberdelincuentes utilizan regularmente el método de suplantación de dominio para hacerse pasar por organizaciones y empresas conocidas, enviando correos electrónicos desde una dirección aparentemente legítima.
Diseñados para engañar
Estos correos electrónicos están diseñados para engañar a los usuarios y conseguir que hagan clic en enlaces o compartan datos personales, que luego pueden ser utilizados para robar dinero o identidades.
Para un usuario normal de internet puede ser casi imposible distinguir entre un remitente falso de uno real. Al implementar el nivel más estricto de DMARC, las organizaciones pueden bloquear activamente los correos electrónicos fraudulentos para que no lleguen a sus destinatarios, protegiendo a los usuarios de los ciberdelincuentes que buscan suplantar su marca.
Pero ¿qué nivel de protección tienen en la actualidad nuestras administraciones públicas en relación con este fraude? Si bien, por razones obvias, el informe no ofrece en detalle qué regiones son más vulnerables, sí aporta datos interesantes.
Así, advierte que sólo 10 de las 17 comunidades autónomas españolas (el 59%) han publicado registros DMARC, lo que significa que el 41% no protege proactivamente a los ciudadanos del riesgo de fraude por correo electrónico.
Es más, sólo 3 regiones (el 18%) han implementado el grado más alto de protección de servicios del sector público, el que bloquea cualquier intento de suplantación de la manera más fiable posible.
Para acabar con los datos negativos, el análisis concluyó que no hay datos de registro DMARC para algunos de los principales servicios de la administración electrónica en España, lo que significa que el 100% está dejando a los usuarios expuestos al fraude por correo electrónico.
Presidencia del Gobierno, ¿en peligro?
El estudio también analiza la situación de los sitios web de los diferentes ministerios y el de la Presidencia del Gobierno. El 83% de estos portales no tienen implantada ninguna política de DMARC, lo que significa que no están tomando ninguna medida para proteger proactivamente a los ciudadanos contra los riesgos del fraude por correo electrónico.
Sólo 4 (el 17%) de los 23 dominios analizados a nivel estatal han implementado el nivel recomendado y más estricto de protección DMARC, que realmente bloquea los correos electrónicos fraudulentos para que no lleguen a sus destinatarios.
El análisis de Proofpoint permite conocer de primera mano cómo algunos de los principales organismos públicos han puesto ya en marcha mecanismos de defensa para una autenticación efectiva de sus comunicaciones por correo electrónico.
De esta forma, protegen sus comunicaciones dentro de la organización y con los ciudadanos frente a amenazas que puedan suplantar la identidad de las administraciones y resultar en una pérdida de control sobre los datos de los usuarios. Sin embargo, todavía hay mucho margen de mejora.
"Nuestra investigación ha demostrado que muchas instituciones del sector público en España siguen dejando a los usuarios expuestos a los intentos de robo de datos sensibles por parte de los ciberdelincuentes, al no implementar las mejores prácticas de autenticación de correo electrónico, simples pero eficaces. El correo electrónico sigue siendo el vector elegido por los ciberdelincuentes y el sector público sigue siendo un objetivo clave", comenta Nuria Andrés, estratega de ciberseguridad de Proofpoint en España.
En este sentido, según explica, "DMARC garantiza una autenticación correcta de los remitentes, verificando que son quienes dicen ser y protegiendo a empleados públicos, empresas y ciudadanos en sus comunicaciones por correo electrónico durante sus gestiones con la administración".
"Nuestra investigación ha demostrado que muchas instituciones dejan a los usuarios expuestos a los intentos de robo de datos sensibles"
La estratega admite que "para una administración pública, y para cualquier organismo o empresa en general, el principal beneficio de implementar DMARC reside en prevenir la suplantación de identidad de sus dominios legítimos por parte de terceros no autorizados. Los ciberdelincuentes utilizan temas de actualidad, de interés general y, habitualmente, temas que requieren actuar de forma urgente para intentar engañar a los usuarios".
Así, cualquier organización que no tenga implementado el protocolo DMARC "es susceptible de ser víctima de un ataque de suplantación de nombre de dominio, que permitirá al atacante enviar correos aparentemente legítimos, utilizando su dominio, como parte de campañas de distinto tipo dirigidas a los ciudadanos, como campañas de phishing para robarles datos de acceso a servicios web, o información relacionada con sus tarjetas de crédito o cuentas bancarias".
Desde esta empresa, no obstante, prefieren ver el vaso medio lleno. "Tenemos la sensación de que la conciencia sobre la ciberseguridad ha aumentado notablemente entre administraciones, empresas y usuarios finales. Notamos una sensibilización y concienciación cada vez mayor, en buena parte porque en los últimos meses se han producido múltiples incidentes relacionados con la ciberseguridad, y se les ha dado visibilidad en prensa", reflexiona.
Ataques de ramsonware como el que sufrió Adif o los intentos de phishing relacionados con el SEPE que se produjeron el año pasado han hecho que aumente la conciencia sobre ciberseguridad, ya que muchos ciudadanos, empresas y administraciones han sido conscientes de las consecuencias que tienen.
En cuanto al contexto actual, Nuria Andrés resalta que "la pandemia ha impulsado nuevas realidades para empresas y administraciones. El teletrabajo y los entornos de trabajo híbridos plantean nuevos retos desde el punto de vista de ciberseguridad, ya que el perímetro habitual de las organizaciones, definido frecuentemente mediante firewalls, se ha sustituido por un nuevo perímetro personal debido a que los empleados ya no trabajan siempre desde el mismo sitio o desde los mismos dispositivos".
En su opinión, "cada vez es más común que los ciberdelincuentes se dirijan directamente a los empleados, por canales como el correo electrónico y, al mismo tiempo, estamos viendo cómo las amenazas internas no dejan de aumentar año tras año, ya sea por empleados o proveedores malintencionados o por simples negligencias", resume.