Creado en 2012 por los principales operadores de mensajería, DMARC («Domain-based Message Authentication, Reporting and Conformance») es un protocolo que impide a los piratas informáticos suplantar el correo electrónico de una persona. Actúa más concretamente sobre el nombre de dominio de una organización.
El sistema DMARC identifica los correos electrónicos de phishing o los mensajes enviados por una persona que utiliza ilegalmente el nombre de dominio de una organización. Autentifica los correos electrónicos. Con DMARC, el remitente propietario del nombre de dominio es informado del éxito o el fracaso de la autenticación de un correo electrónico. Una vez informado, puede actuar si su nombre de dominio es usurpado por un tercero no autorizado a utilizarlo.
Por lo tanto, este protocolo permite reducir el uso abusivo del spam y los correos electrónicos de phishing. Especialmente cuando se trata de un tipo de fraude por phishing: la usurpación del nombre de dominio. Al equiparse con la solución DMARC, cualquier remitente protege a sus empleados, clientes y socios contra los ciberdelincuentes que envían correos electrónicos en su nombre.
¿Qué es un nombre de dominio?
Una dirección de Internet es el equivalente a la dirección postal de una organización en Internet. Permite a los contactos y clientes encontrar un sitio web en Internet. Un nombre de dominio forma parte integrante de la dirección de Internet, denominada «URL» (Uniform Resource Locator, en español «localizador uniforme de recursos»). Se compone de una cadena de caracteres y una extensión (.fr, .com, .org). En Francia, la AFNIC es la administradora histórica del dominio .fr.
Por ejemplo, en la dirección de Internet «www.avantdecliquer.com», hucency.com/ es el nombre de dominio.
La compra y el registro de un nombre de dominio se realizan a través de un registrador.
Para mayor profesionalidad, cuando una organización tiene un nombre de dominio, puede crear direcciones de correo electrónico con el formato «prenom.nom@nom-de-domaine.com». En nuestro ejemplo: prenom.nom@avantdecliquer.com.
¿Qué es el phishing?
El phishing o suplantación de identidad es una técnica de fraude por correo electrónico muy extendida. Los hackers la utilizan para infiltrarse en el sistema informático de una organización con el objetivo de obtener datos personales y/o profesionales.
El phishing y el spear phishing siguen siendo los ciberataques más frecuentes (fuentes: CESIN y Cybermalveillance.gouv.fr):
- 1 de cada 3 usuarios abre un correo electrónico de phishing.
- El 79 % de las organizaciones francesas han denunciado haber sido víctimas de phishing.
En todo el mundo, este tipo de fraude es la amenaza predominante. Los daños financieros, organizativos y de reputación pueden ser dramáticos.
Las consecuencias de hacer clic en un enlace corrupto o un archivo adjunto fraudulento son diversas: extorsión de datos, malware (virus, ransomware, etc.).
El spear phishing o «pesca con arpón» consiste, por su parte, en llevar a cabo el mismo tipo de fraude determinando un objetivo concreto.
Phishing y usurpación del nombre de dominio
Enviar correos electrónicos fraudulentos haciéndose pasar por un tercero se está convirtiendo en un acto de ciberdelincuencia habitual. Para un hacker experto, suplantar el campo «De» («from») de un correo electrónico es «pan comido». Este fraude se denomina «cibersquatting». Consiste en registrar nombres de dominio idénticos o similares a los nombres de dominio oficiales de las organizaciones que envían correos electrónicos.
El objetivo del pirata informático es vulnerar los derechos del titular para aprovecharse de su identidad o perjudicarlo.
A modo de ejemplo:
En junio de 2020, por ejemplo, la FNAC fue víctima de una campaña de phishing destinada a suplantar su identidad. La marca advirtió a sus clientes del riesgo de phishing. Precisa que «estos correos electrónicos informan de la confirmación de pedidos ficticios utilizando la identidad gráfica y el logotipo de nuestra marca».
En abril de 2020, una importante vulnerabilidad detectada en Gmail permitió a los piratas informáticos suplantar la identidad de cualquier usuario.
O también, en 2016, el ejemplo de Vinci, víctima de una suplantación de identidad por correo electrónico, lo que provocó la caída de su cotización en bolsa.
¿Cómo combate DMARC el phishing?
DMARC mejora la capacidad de entrega de los correos electrónicos de los remitentes. De hecho, el remitente, propietario del nombre de dominio, puede solicitar que los mensajes ilegítimos se dirijan automáticamente a la carpeta «correo no deseado» (o «spam») del buzón del destinatario. También puede solicitar un rechazo directo por parte del servidor receptor (eliminación directa desde el servidor de correo electrónico).
Como resultado, los correos electrónicos no deseados y, sobre todo, los correos electrónicos de phishing se eliminan automáticamente de la bandeja de entrada de los usuarios.
¿Cómo funciona DMARC?
DMARC funciona combinando otros dos protocolos:
- SPF (Sender Policy Framework): este protocolo permite a una organización transmitir a sus proveedores digitales la lista de servidores autorizados para enviar correos electrónicos con su nombre de dominio.
- DKIM (Domain Keys Identified Mail): este protocolo añade sistemáticamente una firma digital a los correos electrónicos enviados por una organización. La presencia de esta firma DKIM garantiza la integridad del correo electrónico durante su transporte.
Estos dos protocolos se complementan entre sí y, si uno de ellos no se respeta, DMARC propone una acción a realizar en caso de sospecha de ataque.
Por lo tanto, tres protocolos (SPF, DKIM y DMARC) autentifican el origen de un correo electrónico.
¿Es DMARC la solución al phishing?
DMARC ofrece una protección eficaz contra la suplantación de identidad en el correo electrónico, también conocida como «business email compromise».
Aunque es muy eficaz, su implementación sigue siendo bastante compleja para la mayoría de las organizaciones.
Además, no es la única respuesta al problema del phishing, ya que solo combate un tipo de phishing: la usurpación del nombre de dominio.
Como cualquier solución de ciberseguridad, es su combinación con otras soluciones técnicas (filtro antispam, cortafuegos...) y organizativas (sensibilización sobre ciberseguridad, formación de los usuarios para evitar las trampas del phishing) lo que la convierte en un activo adicional en la lucha contra el phishing.
