Las instituciones públicas españolas no protegen adecuadamente a los usuarios contra el phishing

Recomendados:  Informe de Ciberamenazas y Tendencias 2021 del Centro Criptológico Nacional (CCN) Leer Estudio sobre la necesidad de requisitos de ciberseguridad para productos TIC Leer

A finales de enero de 2012, se publicaron las primeras especificaciones de DMARC, acrónimo en inglés de Domain-based Message Authentication, Reporting and Conformance. Sin embargo, una década después, el uso de DMARC como parte de las estrategias de seguridad de administraciones públicas y empresas todavía no está tan generalizado como debiera. Algo que contrasta fuertemente con el propósito del proyecto, que no es otro que proteger un dominio de ser utilizado por los cibercriminales en sus amenazas basadas en el correo electrónico.
 
Con motivo del décimo aniversario de la primera publicación del protocolo DMARC, la empresa Proofpoint ha realizado un análisis para determinar su uso por parte de las principales administraciones públicas españolas. En concreto, se ha centrado en las páginas web de los ministerios y la presidencia del gobierno, así como en los portales de Internet de las 17 comunidades autónomas y los principales organismos gubernamentales.
 
Los ciberdelincuentes utilizan regularmente el método de suplantación de dominio para hacerse pasar por organizaciones y empresas conocidas, enviando correos electrónicos desde una dirección aparentemente legítima. Estos emails están diseñados para engañar a los usuarios y conseguir que hagan clic en enlaces o compartan datos personales, que luego pueden ser utilizados para robar dinero o identidades.
 
Para un usuario normal de Internet puede ser casi imposible distinguir entre un remitente falso de uno real. Al implementar el nivel más estricto de DMARC (‘rechazo’ o ‘reject’ en inglés), las organizaciones pueden bloquear activamente los correos electrónicos fraudulentos para que no lleguen a sus destinatarios, protegiendo a los usuarios de los ciberdelincuentes que buscan suplantar su marca.
 
Estas son las principales conclusiones del análisis:
 
Ministerios y Moncloa         
o  El 83% de los sitios web de los Ministerios y de la Presidencia del Gobierno no tienen implantada ninguna política de DMARC, lo que significa que no están tomando ninguna medida para proteger proactivamente a los ciudadanos contra los riesgos del fraude por correo electrónico.
o  Sólo 4 de los 23 dominios analizados en España (el 17%) han implementado el nivel recomendado y más estricto de protección DMARC (reject), que realmente bloquea los correos electrónicos fraudulentos para que no lleguen a sus destinatarios. O sea, que el 83% está dejando a los usuarios expuestos al fraude por phishing.

Comunidades Autónomas
o  Únicamente 10 de las 17 (59%) han publicado registros DMARC, lo que significa que el 41% no protege proactivamente a los ciudadanos del riesgo de fraude por correo electrónico.
o  Sólo 3 (18%) han implementado el grado más alto de protección

Servicios del sector público
o  El análisis concluyó que no hay datos de registro DMARC para algunos de los principales servicios de la administración electrónica en España, lo que significa que el 100% está dejando a los usuarios expuestos al fraude por correo electrónico
  
“Nuestra investigación ha demostrado que muchas instituciones del sector público en España siguen dejando a los usuarios expuestos a los intentos de robo de datos sensibles por parte de los ciberdelincuentes, al no implementar las mejores prácticas de autenticación de correo electrónico, simples pero eficaces. El correo electrónico sigue siendo el vector elegido por los ciberdelincuentes y el sector público, un objetivo clave”, comenta al respecto Nuria Andrés, estratega de ciberseguridad de Proofpoint en España. “DMARC garantiza una autenticación correcta de los remitentes, verificando que son quienes dicen ser y protegiendo a empleados públicos, empresas y ciudadanos en sus comunicaciones por correo electrónico durante sus gestiones con la administración”.