Ciberseguridad en Black Friday: España es el país europeo más estricto para proteger dominios de ecommerce (frente a suplantaciones con Dmarc)

Sin él, los consumidores corren el riesgo de sufrir phishing por correo electrónico de sus marcas favoritas y pueden ser blanco de falsas ofertas o avisos de disponibilidad de artículos durante esta ajetreada temporada de compras. Los resultados de 2023 revelan que el 90% de los principales ecommerce en España ha adoptado algún nivel de DMARC, frente al 75% registrado en 2021. En estos dos años también se ha endurecido esta medida de seguridad entre los retailers: con un 65% implementando DMARC en su nivel más estricto en 2023 respecto al 35% de 2021.
 
DMARC es el acrónimo en inglés para las directivas de Autenticación de Mensajes, Informes y Conformidad basada en Dominios[[1]], un protocolo de validación de correo electrónico diseñado para proteger los nombres de dominio de su uso indebido por parte de ciberdelincuentes. Autentica la identidad del remitente antes de permitir que un mensaje llegue a su destino. DMARC tiene tres niveles de protección: monitorización, cuarentena y rechazo[[2]], siendo este último el más seguro para evitar que los correos sospechosos lleguen a la bandeja de entrada.
 
Entre las conclusiones de esta investigación de Proofpoint en 2023 sobre DMARC en los principales sitios de ecommerce españoles destacan:
 
- 18 empresas ecommerce del top 20 en España (90%) han publicado un registro DMARC, lo que significa que el 10% no está tomando medidas para evitar que su marca sea suplantada ante los usuarios.
- 13 de estas empresas (65%) han implementado el nivel más estricto y recomendado de DMARC, mediante el cual se bloquea el email antes de ser entregado al destinatario. Sin embargo, el 35% deja todavía a sus clientes muy expuestos al fraude por correo electrónico.
- Cuatro de estas tiendas online aplican un nivel intermedio de DMARC, con el que el mensaje sospechoso se envía automáticamente a una carpeta de cuarentena.
- Dos de los 20 retailers analizados no tienen ningún protocolo DMARC establecido, por lo que sus clientes quedarían desprotegidos frente ataques de suplantación de dominio.
- Sólo una de las compañías analizadas tiene implementada la política más básica de DMARC. Con ella, aunque el email no se bloquea y llega al destinatario, se envía un informe de lo ocurrido al propietario del dominio. Se considera el primer paso a la hora de implementar este protocolo.
 
“La mayoría de los grandes retailers en España se ha dado cuenta de la importancia de proteger a sus clientes de correos electrónicos maliciosos mediante medidas como la adopción del protocolo de autenticación DMARC”, explica Fernando Anaya, country manager de Proofpoint. “Nuestra recomendación para todas las empresas, no obstante, sigue siendo implementar el nivel DMARC más estricto, a fin de que esos correos sean bloqueados activamente antes de llegar a la bandeja de entrada de los consumidores”.
 
Por otro lado, como consejo principal para los usuarios, Proofpoint insiste en evitar hacer clic en enlaces o descargar adjuntos de mensajes no solicitados, aunque procedan supuestamente de empresas conocidas. Hay que comprobar los posibles anuncios y ofertas que llegan por email en la página web oficial del comercio, escribiendo la URL en el navegador y, en caso de querer utilizar un código promocional, introducirlo también directamente en la página. Asimismo, la compañía de ciberseguridad recomienda utilizar contraseñas robustas y diferentes si se quiere comprar en varios ecommerce durante estas fechas, recurriendo a generadores y gestores de contraseñas y, si es posible, usando la autenticación multifactor (MFA) como una capa adicional de seguridad.
 
“Dado el riesgo de las compras online, los consumidores deben permanecer muy atentos y comprobar la validez de los correos electrónicos que reciben, especialmente en fechas como el Black Friday o Cyber Monday en las que podemos bajar la guardia y centrarnos únicamente en aprovechar las ofertas. Además, se debe tener cuidado con páginas web que imitan las de marcas reconocidas con dominios fraudulentos, porque podrían vender productos falsificados o inexistentes, infectar con malware, o bien robar dinero y datos de los usuarios”, añade Fernando Anaya.
 
El reciente anuncio de Google y Yahoo!, que pedirán a partir de 2024 autenticar el correo electrónico para poder enviar mensajes desde sus plataformas, avisa de que se están tomando importantes medidas para evitar el spam y las estafas. Estas exigencias de seguridad se aplicarán sobre todo a cuentas que envíen un volumen masivo de emails al día, como puede pasar con grandes empresas, que tendrán que disponer del protocolo de seguridad DMARC, garantizar la alineación SPF y DKIM y facilitar a los destinatarios la baja de suscripción.