El phishing durante las semanas de emergencia: mejores prácticas y autenticación para defenderse

Los ciberdelincuentes siempre se aprovechan de los tiempos difíciles para tratar de transmitir sus estafas, ya sea phishing, timos u otros tipos de abuso. Las semanas que estamos vivimos no son una excepción, sino todo lo contrario.

¿Cuáles el “impulso” de los cibercriminales? Con la esperanza de que en esas semanasse afloje algún filtro de recepción, una hipótesis que no tiene una respuestareal, y que los destinatarios sean más vulnerables e inclines aparticipar activamente en las comunicaciones que reciben en su bandeja deentrada.

La última es una hipótesis que se basa, como se demostró en nuestra anterior publicación del blog, en el aumento significativo de las tasas de apertura y clics  que se registró en las semanas de marzo en relación al promedio del resto del año.

Siemprehemos liderado nuestra lucha contra todo tipo de abuso por correo electrónico,contribuyendo a la discusión y haciendo todo lo que está en nuestras manos paraevitar la propagación de comunicaciones fraudulentas. Hoy queremos darte unaidea más precisa de cómo se presentan los intentos de phishing y darte algunasindicaciones sobre cómo alzar lasbarreras contra el delito cibernético.

Aunqueno pasó por la infraestructura de MailUp, conocemos sobre numerosos intentos deabuso. Se pueden agrupar en dos categoríasmacro:

1.Intentos de phishing disfrazados de comunicacionesinstitucionales. En estapublicación encontrarás varios ejemplos.

2. Malware transmitido a través de un sitio similar al mapa de infección publicado por la Universidad Johns Hopkins.

La situación general está bien resumida en esta publicación del blog de los amigos de SpamHaus.

Apesar de que sabemos que no puede haber soluciones definitivaspara el phishing, vemos lasmejores prácticas para desalentar (sino prevenir) este tipo deproblema:

1. Siempre trata de hacer que la identidad de tu marca sea reconocible en los mensajes que envías. Parece trivial, pero no lo es: aquellos que hacen phishing, incluso si intentan replicar tu logotipo, nunca pueden copiar al 100 % todos los detalles que forman parte de tu identidad digital
2. No utilices el dominio “similar” o “pariente” en sus comunicaciones oficiales. Si los destinatarios pueden esperar comunicaciones de dominios como “brandname-email.com”, podrían considerar por error dominios legítimos aquellos que no lo son (por ejemplo, “brand-name-email.com” o “brandname-mail.com”) . Utiliza siempre tu dominio y, si deseas diferenciar los flujos, adopta subdominios (email.brandname.com) como se indica en las mejores prácticas publicadas por el M3AAWG
3. Ten en cuenta qué dominio se usa en la firma DKIM y, si es posible, intenta alinear este dominio con el que usas como remitente
4. Publica una política DMARC adecuada (cuarentena / rechazo) para salvaguardar la reputación de tus dominios. Los maleantes continuarán usando dominios similares, pero de esta manera reducirán significativamente la posibilidad de engañar a los destinatarios y, en el futuro, estarás listo para usar de la mejor manera las noticias del ecosistema del Marketing por correo electrónico (BIMI, por ejemplo).

¿Tepreguntas qué significan las abreviaturas DKIM, DMARC, BIMI? Hagamos un poco deorden y claridad.

DKIM

DKIM(acrónimo de DomainKeys Identified Mail) es un sistema de autenticación decorreo electrónico que permite a quienes reciben los correos electrónicospoder verificar que el mensaje noha sido alterado, al menos en sus campos fundamentales, desde el momentodel envío hasta la recepción, agregando una firma encriptada a los correos electrónicos.

Específicamente,nuestra clave pública DKIM debe agregarse a la configuración de tu dominio weby se agrega una  firmaespecífica a todos los correos electrónicos que enviamos por ti.
Esta firma se cifra en función de algunos elementos de cada correo electrónicoenviado y, por lo tanto, es única para cada correo electrónico. Cuando elservidor del correo receptor analiza tu correo electrónico, descifrará la firmautilizando la clave pública mencionada anteriormente y generará una nueva cadena de hash basada en losmismos elementos. Si la firma descifrada coincide con la nueva cadena hash, elcorreo electrónico se considerará autenticado con DKIM. Un ejemplo de una firmaDKIM es el siguiente:

Siel mensaje tiene una firma válida (no manipulada), el dominio de firma,identificado por la etiqueta d=tag, comunicará quién eres a los receptores,quienes manejarán el correo en consecuencia. Con el tiempo, los sistemas deevaluación de reputación de los principalesproveedores de buzones han dado cada vez más importancia a esteidentificador en comparación con otros (IP) y hoy en día algunos proveedores(como Gmail) permiten monitorear la reputación en función de este identificadory básicamente se convierte en un elemento obligatorio para la entrega de comunicaciones.

Laconfiguración del DKIM se lleva a cabo mediante la configuración de registrosDNS, no es una operación muy compleja pero, al ser precisamente obligatoriotener una firma DKIM, es impensable tener una firma personalizada como estándarpara todos los clientes.

Poresta razón, todos los ESP principales usan una o más firmas de sus dominios deservicio. Esto permite cumplir con las mejores prácticas, pero crea una especiede “reputación compartida” entretodos los clientes en ese clúster que puede no ser óptimal en ciertos casos(especialmente si hay clientes que tienen volúmenes mucho más grandes que otroso tienen un rendimiento más bajo).

Por esta razón, la plataforma MailUp ofrece la posibilidad de usar tu propio dominio como una firma DKIM. Para todos los clientes que necesitan más información o necesitan ayuda para configurar los registros DKIM, estamos disponibles con nuestra consultoría de entregabilidad.

Enpocas palabras, DMARC permite al propietario de un dominio, que también es elremitente de los mensajes de correo electrónico, solicitar a los proveedores decorreo electrónico que no entreguenmensajes no autorizados que parezcan provenir de tu dominio. Como habrásadivinado, este es un mecanismo útil para prevenir ataques de phishing yspoofing.

Desdeun punto de vista técnico, el DMARC (Autenticación, informe y conformidad demensajes basados en el dominio) es un sistema basado en la autenticación DKIM ySPF que ayuda a los servidores receptores (por ejemplo, Gmail, Yahoo, Libero) asaber qué hacer cuando un mensajeno puede ser autenticado. Para hacer esto, permite al remitente de uncorreo electrónico publicar una “política”para instruir a los servidores receptores sobre cómo gestionar cualquierproblema de autenticación. Además, el DMARC proporciona un mecanismo de informe para las acciones tomadas,basado en la política. De esta manera, coordina los resultados del DKIM y elSPF y especifica en qué circunstancias la dirección de correo electrónico delremitente, que a menudo es visible para el destinatario final, puedeconsiderarse legítima.

Laconfiguración incorrecta de un registro DMARC puede tener un efectosustancialmente negativo para la capacidad de entrega, no solo para los correoselectrónicos enviados a través de nosotros sino para todas las comunicacionesenviadas por el dominio con DMARC habilitado (por ejemplo, correos electrónicosde empleados hacia el exterior). Por lo tanto, te recomendamos que consultes a un experto en entrega para implementar adecuadamente unapolítica DMARC.

BIMI(Indicadores de marca para la identificación de mensajes) representa el futuro cercano  del marketing porcorreo electrónico.

Actualmenteadoptado solo por Verizon Media Group (Yahoo! & AOL para ser claros), perocon el compromiso de Google, BIMI es un estándar independiente del proveedor que permite a lasmarcas de visualizar el propriologotipo verificado  en la bandeja de entrada del destinatario en el caso decorreos electrónicos totalmente autenticados (DMARC).

Laintención de BIMI es alentar a las principales marcas a adoptar unaautenticación de correo electrónico adecuada, en particular DMARC, cuandoenvían mensajes masivos a los consumidores. Los remitentes que se comprometen aimplementar DMARC son recompensados con la visualización de su logotipo,esto ayuda a reconocer y a aumentar la confianza.

Nuestroconsejo, como habrás entendido, es tomar la situación por adelantado. Estas sonuna serie de implementaciones que, estamos seguros, darán frutos en términos de protección contra el abuso y de calidaddel envío.

Por qué enviar no es suficiente. El spam, las bases de datos desactualizadas, las configuraciones incorrectas pueden reducir la tasa de entrega y dañar la reputación de tu marca. Para protegerte de los riesgos,  puedes contar con los servicios de Deliverability Suite: gracias a configuraciones personalizadas y monitoreo constante, tu capacidad de entrega siempre estará segura.