Suscríbete para recibir notificaciones de nuevas publicaciones:

Evita la suplantación de marca con Cloudflare DMARC Management

2023-03-17

6 min de lectura
Esta publicación también está disponible en English, Français, Deutsch, 日本語 y 简体中文.

A finales de 2021, Cloudflare lanzó Security Center, una solución unificada que combina nuestro conjunto de productos de seguridad y nuestra información única sobre Internet. Permite a los equipos de seguridad identificar con rapidez los posibles riesgos y amenazas de seguridad de sus organizaciones, trazar su superficie de ataque y mitigar estos riesgos con solo unos clics. El objetivo principal de Security Center era inicialmente la seguridad de las aplicaciones, pero ahora estamos añadiendo información Zero Trust esencial para mejorar aún más sus funciones.

Stop brand impersonation with Cloudflare DMARC Management.

Cuando tu marca es apreciada y cuenta con la confianza de los clientes y clientes potenciales, estos están deseando leer los correos electrónicos que les envías. Imagínate ahora que reciben un correo electrónico tuyo: tiene tu marca, el asunto es interesante y tiene un enlace para registrarse para alguna oportunidad exclusiva. ¿Cómo se pueden resistir?

Sin embargo, ¿qué pasaría si no fueras tú el remitente de ese correo? ¿Y si hacer clic en ese enlace supone una estafa y resultan víctimas de un fraude o del robo de identidad? ¿Y si creyeran que tú has sido el responsable? La realidad es que incluso las personas a las que les preocupa la seguridad en ocasiones son víctimas de correos electrónicos de suplantación ingeniosamente diseñados.

Esto supone un riesgo para tu empresa y para tu reputación. Un riesgo que no deseas correr. Nadie quiere. La suplantación de marca es un problema importante para organizaciones de todo el mundo. Por este motivo, hemos desarrollado DMARC Management, ya disponible en la versión beta.

Con DMARC Management, cuentas con completa información sobre quién está enviando correos electrónicos en tu nombre. Con un solo clic puedes aprobar cada origen que sea un remitente legítimo para tu dominio. A continuación, puedes definir tu política DMARC para rechazar los correos electrónicos enviados por clientes no aprobados.

Cuando la plataforma de encuestas que utiliza tu empresa envía correos electrónicos desde tu dominio, no hay nada de lo que preocuparse, ya que lo has configurado de esa forma. Sin embargo, si un servicio de correo desconocido de un país remoto está enviando correos electrónicos utilizando tu dominio, eso podría ser muy preocupante, y lo querrás resolver. Veamos cómo.

On the DMARC Management one can see trends of messages passing or failing DMARC, and a breakdown by sending client (source)

Mecanismos contra la suplantación

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication Reporting and Conformance (DMARC) son tres métodos comunes de autenticación del correo electrónico. Juntos, ayudan a evitar que los spammers, los usuarios de phishing y otras personas no autorizadas envíen correos electrónicos en nombre de un dominio del que no son propietarios.

SPF es una forma para que un dominio liste todos los servidores desde los que la empresa envía mensajes de correo electrónico. Lo podríamos considerar como un directorio de empleados disponible públicamente que ayuda a confirmar si un empleado trabaja para una organización. Los registros SPF listan todas las direcciones IP de todos los servidores que pueden enviar correos electrónicos desde el dominio.

DKIM permite que los propietarios de dominios "firmen" automáticamente los correos electrónicos de sus dominios. Específicamente, DKIM utiliza criptografía de clave pública:

  1. Un registro DKIM almacena la clave pública del dominio, y los servidores de correo que reciben los correos electrónicos del dominio pueden comprobar este registro para obtener la clave pública.

  2. La clave privada la mantiene en secreto el remitente, que firma el encabezado del correo electrónico con esta clave.

  3. Los servidores de correo que reciben el correo electrónico pueden verificar que la clave privada del remitente se ha utilizado aplicando la clave pública. Esto también garantiza que el correo electrónico no se ha manipulado indebidamente mientras estaba en tránsito.

DMARC indica al servidor de correo electrónico receptor qué hacer después de evaluar los resultados de SPF y DKIM. La política DMARC de un dominio se puede definir de distintas formas: puede indicar a los servidores de correo que pongan en cuarentena los correos electrónicos que no pasen SPF o DKIM (o ambos), que rechacen estos correos electrónicos, o bien que no los entreguen.

Sin embargo, es importante configurar y mantener SPF y DMARC. Si tu configuración es demasiado estricta, los correos electrónicos legítimos se descartarán o se marcarán como correo no deseado. Si es demasiado laxa, es posible que tu dominio se utilice indebidamente para la suplantación de correo electrónico. Prueba de ello es que estos mecanismos de autenticación (SPF/DKIM/DMARC) han existido durante más de 10 años, y aún hay menos de 6 millones de registros DMARC activos.

Los informes DMARC pueden ayudarte, y una solución integral como DMARC Management reduce la carga de creación y mantenimiento de la configuración adecuada.

Informes DMARC

Todos los proveedores de buzones compatibles con DMARC admiten los informes DMARC agregados a una dirección de correo electrónico que elijas. Estos informes especifican los servicios que han enviado correos electrónicos, así como el porcentaje de mensajes que han pasado DMARC, SPF y DKIM. Tienen gran importancia, ya que proporcionan a los administradores la información que necesitan para decidir cómo ajustar sus políticas DMARC. Por ejemplo, de esta forma los administradores saben si sus correos electrónicos legítimos no pasan SPF y DKIM, o si un spammer está intentando enviar correos electrónicos ilegítimos.

Sin embargo, debes tener cuidado. Probablemente no quieras enviar informes DMARC a una dirección de correo electrónico supervisada por personas, ya que estos entrarán con rapidez e intensidad procedentes de prácticamente cada uno de los proveedores de correo electrónico a los que tu organización envíe mensajes, y se entregan en formato XML. Los administradores suelen configurar los informes para que se envíen a un servicio como nuestra solución DMARC Management, que los reduce a un formato más utilizable. Nota: Estos informes no contienen información de identificación personal.

Email messages reach their destination, and an action is taken by the server according to the DMARC policies published in our DNS records. Then, the receiver sends a report back to the source.

DMARC Management crea automáticamente una dirección de correo electrónico a la que enviar esos informes, y añade el registro RUA correspondiente a tu DNS de Cloudflare para anunciar a los proveedores de buzones dónde enviar los informes. Y, efectivamente, si te interesa saberlo, estas direcciones de correo electrónico se crean utilizando el enrutamiento del correo electrónico de Cloudflare.

Nota: Hoy, el DNS de Cloudflare es un requisito de DMARC Management.

Cuando se reciben los informes en esta dirección de correo electrónico dedicada, un Worker los procesa y extrae los datos relevantes, que analiza y envía a nuestra solución de análisis. Y, has vuelto a acertar, eso se implementa mediante Workers de correo electrónico. Puedes obtener más información sobre la implementación técnica aquí.

There is a preview of the DMARC record being created with this RUA

Acción

Ahora que los informes están entrando, puedes revisar los datos y actuar según corresponda.

Nota: Es posible que los proveedores de buzones tarden hasta 24 horas en empezar a enviar informes y a que estos análisis estén a tu disposición.

En la parte superior de DMARC Management puedes consultar de un vistazo la configuración de seguridad de salida de tu dominio, más concretamente, DMARC, DKIM y SPF. En breve, DMARC Management empezará a crear informes sobre la seguridad del correo electrónico de entrada, y esto incluye informes STARTTLS, MTA-STS, DANE y TLS.

La sección central muestra el volumen de correo electrónico a lo largo del tiempo, con líneas individuales que muestran los mensajes que han pasado DMARC y los que no.

Banner showing the DMARC, SPF and DKIM configuration status for this domain.

A continuación, encontrarás información adicional que incluye el número de mensajes de correo electrónico que ha enviado cada origen (por informe DMARC), así como las estadísticas de DMARC, SPF y DKIM correspondientes. Puedes aprobar (es decir, incluir en SPF) cualquiera de estos orígenes haciendo clic en "…", y detectar fácilmente las aplicaciones que es posible que no tengan DKIM correctamente configurado.

Email volume accounted for in DMARC reports, over time, and separated between DMARC pass and fail.

Al hacer clic en cualquier origen obtienes las mismas estadísticas de DMARC, SPF y DKIM por dirección IP de ese origen. Así es cómo identificas si hay alguna dirección IP adicional que deberías incluir en tu registro SPF, por ejemplo.

Volume of emails sent by each source, and the corresponding DMARC, SPF and DKIM statistics.

Las que no han pasado serán sobre las que querrás actuar, ya que será necesario aprobarlas (lo que técnicamente significa incluirlas en el registro SPF) si son legítimas, o bien dejarlas sin aprobar y que el servidor receptor las rechace cuando la política DMARC esté configurada como p=reject.

Source view shows each individual IP address that was identified for that source, and the corresponding DMARC, SPF and DKIM statistics.

El objetivo es obtener una política DMARC de rechazo. Sin embargo, no querrás aplicar una política tan restrictiva hasta que tengas un nivel de confianza alto de que SPF (y DKIM, si corresponde) da cuenta de todos los servicios de envío legítimos. Esto puede requerir unas semanas, en función del número de servicios que tengas enviando mensajes desde tu dominio, pero con DMARC Management sabrás rápidamente cuándo estás listo para hacerlo.

Qué más necesitas

Cuando hayas aprobado todos los remitentes de correo electrónico autorizados (orígenes) y configurado DMARC para poner en cuarentena o rechazar, podrás estar seguro de que tu marca y tu organización están mucho más seguras. A partir de entonces, la supervisión de tu lista de orígenes aprobados será una operación muy sencilla que no llevará a tu equipo más de unos minutos al mes. Idealmente, cuando se implementen en tu empresa nuevas aplicaciones que envíen correos electrónicos desde tu dominio, incluirás proactivamente las direcciones IP correspondientes en tu registro SPF.

Sin embargo, incluso si no haces esto, encontrarás en la pestaña Security Insights de Security Center avisos acerca de nuevos remitentes no aprobados, junto con otros aspectos importantes de la seguridad que puedes revisar y gestionar.

O bien, puedes comprobar la lista de direcciones no aprobadas en DMARC Management cada ciertas semanas.

The Insights Overview section of Cloudflare Security Center will show a notice when you have new unapproved senders

Siempre que veas un origen de remitente legítimo que se muestre como no aprobado, ya sabes qué hacer: hacer clic en "…" y marcarlo como aprobado.

¿Qué será lo siguiente?

DMARC Management lleva la seguridad del correo electrónico un paso más allá. Y esto es solo el comienzo.

Nos complace demostrar nuestras inversiones en funciones que proporcionan a los clientes aún más información de su seguridad. Más adelante, conectaremos los análisis de seguridad del agente de seguridad de acceso a la nube (CASB) de Cloudflare a Security Center.

Esta integración de producto proporcionará a los clientes una manera de comprender el estado de su seguridad SaaS más amplia de un solo vistazo. Descubriendo la composición de los resultados de CASB (o los problemas de seguridad identificados en populares aplicaciones SaaS) por la gravedad, el estado de la integración SaaS y el número de problemas ocultos, los administradores de TI y de seguridad tendrán una forma de comprender el estado de su superficie de seguridad más amplia desde una única fuente.

Sigue atento a más noticias acerca de CASB en el Centro de seguridad. Mientras tanto, puedes unirte hoy mismo, de forma gratuita, a la lista de espera del programa beta de DMARC Management. Si no lo has hecho aún, te recomendamos que también eches un vistazo a Cloudflare Area 1 y que solicites una evaluación del riesgo de phishing para impedir que los correos electrónicos de phishing, suplantación y no deseados accedan a tu entorno.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Security Week (ES)SeguridadEmail Security (ES)DMARC (ES)

Síguenos en X

João Sousa Botto|@jsbotto
Cloudflare|@cloudflare

Publicaciones relacionadas

08 de octubre de 2024, 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

06 de octubre de 2024, 23:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...

02 de octubre de 2024, 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....