Suscríbete para recibir notificaciones de nuevas publicaciones:

Evita la suplantación de marca con Cloudflare DMARC Management

17/03/2023

8 min de lectura
Stop brand impersonation with Cloudflare DMARC Management

A finales de 2021, Cloudflare lanzó Security Center, una solución unificada que combina nuestro conjunto de productos de seguridad y nuestra información única sobre Internet. Permite a los equipos de seguridad identificar con rapidez los posibles riesgos y amenazas de seguridad de sus organizaciones, trazar su superficie de ataque y mitigar estos riesgos con solo unos clics. El objetivo principal de Security Center era inicialmente la seguridad de las aplicaciones, pero ahora estamos añadiendo información Zero Trust esencial para mejorar aún más sus funciones.

Cuando tu marca es apreciada y cuenta con la confianza de los clientes y clientes potenciales, estos están deseando leer los correos electrónicos que les envías. Imagínate ahora que reciben un correo electrónico tuyo: tiene tu marca, el asunto es interesante y tiene un enlace para registrarse para alguna oportunidad exclusiva. ¿Cómo se pueden resistir?

Sin embargo, ¿qué pasaría si no fueras tú el remitente de ese correo? ¿Y si hacer clic en ese enlace supone una estafa y resultan víctimas de un fraude o del robo de identidad? ¿Y si creyeran que tú has sido el responsable? La realidad es que incluso las personas a las que les preocupa la seguridad en ocasiones son víctimas de correos electrónicos de suplantación ingeniosamente diseñados.

Esto supone un riesgo para tu empresa y para tu reputación. Un riesgo que no deseas correr. Nadie quiere. La suplantación de marca es un problema importante para organizaciones de todo el mundo. Por este motivo, hemos desarrollado DMARC Management, ya disponible en la versión beta.

Con DMARC Management, cuentas con completa información sobre quién está enviando correos electrónicos en tu nombre. Con un solo clic puedes aprobar cada origen que sea un remitente legítimo para tu dominio. A continuación, puedes definir tu política DMARC para rechazar los correos electrónicos enviados por clientes no aprobados.

En DMARC Management, puedes ver las tendencias de los mensajes que pasan o no DMARC, y un desglose por cliente remitente (origen)

Cuando la plataforma de encuestas que utiliza tu empresa envía correos electrónicos desde tu dominio, no hay nada de lo que preocuparse, ya que lo has configurado de esa forma. Sin embargo, si un servicio de correo desconocido de un país remoto está enviando correos electrónicos utilizando tu dominio, eso podría ser muy preocupante, y lo querrás resolver. Veamos cómo.

Mecanismos contra la suplantación

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication Reporting and Conformance (DMARC) son tres métodos comunes de autenticación del correo electrónico. Juntos, ayudan a evitar que los spammers, los usuarios de phishing y otras personas no autorizadas envíen correos electrónicos en nombre de un dominio del que no son propietarios.

SPF es una forma para que un dominio liste todos los servidores desde los que la empresa envía mensajes de correo electrónico. Lo podríamos considerar como un directorio de empleados disponible públicamente que ayuda a confirmar si un empleado trabaja para una organización. Los registros SPF listan todas las direcciones IP de todos los servidores que pueden enviar correos electrónicos desde el dominio.

DKIM permite que los propietarios de dominios "firmen" automáticamente los correos electrónicos de sus dominios. Específicamente, DKIM utiliza criptografía de clave pública:

  1. Un registro DKIM almacena la clave pública del dominio, y los servidores de correo que reciben los correos electrónicos del dominio pueden comprobar este registro para obtener la clave pública.
  2. La clave privada la mantiene en secreto el remitente, que firma el encabezado del correo electrónico con esta clave.
  3. Los servidores de correo que reciben el correo electrónico pueden verificar que la clave privada del remitente se ha utilizado aplicando la clave pública. Esto también garantiza que el correo electrónico no se ha manipulado indebidamente mientras estaba en tránsito.

DMARC indica al servidor de correo electrónico receptor qué hacer después de evaluar los resultados de SPF y DKIM. La política DMARC de un dominio se puede definir de distintas formas: puede indicar a los servidores de correo que pongan en cuarentena los correos electrónicos que no pasen SPF o DKIM (o ambos), que rechacen estos correos electrónicos, o bien que no los entreguen.

Sin embargo, es importante configurar y mantener SPF y DMARC. Si tu configuración es demasiado estricta, los correos electrónicos legítimos se descartarán o se marcarán como correo no deseado. Si es demasiado laxa, es posible que tu dominio se utilice indebidamente para la suplantación de correo electrónico. Prueba de ello es que estos mecanismos de autenticación (SPF/DKIM/DMARC) han existido durante más de 10 años, y aún hay menos de 6 millones de registros DMARC activos.

Los informes DMARC pueden ayudarte, y una solución integral como DMARC Management reduce la carga de creación y mantenimiento de la configuración adecuada.

Informes DMARC

Todos los proveedores de buzones compatibles con DMARC admiten los informes DMARC agregados a una dirección de correo electrónico que elijas. Estos informes especifican los servicios que han enviado correos electrónicos, así como el porcentaje de mensajes que han pasado DMARC, SPF y DKIM. Tienen gran importancia, ya que proporcionan a los administradores la información que necesitan para decidir cómo ajustar sus políticas DMARC. Por ejemplo, de esta forma los administradores saben si sus correos electrónicos legítimos no pasan SPF y DKIM, o si un spammer está intentando enviar correos electrónicos ilegítimos.

Los mensajes de correo electrónico llegan a su destino, y el servidor realiza una acción según las políticas DMARC publicadas en nuestros registros DNS. A continuación, el destinatario envía un informe de vuelta al origen.

Sin embargo, debes tener cuidado. Probablemente no quieras enviar informes DMARC a una dirección de correo electrónico supervisada por personas, ya que estos entrarán con rapidez e intensidad procedentes de prácticamente cada uno de los proveedores de correo electrónico a los que tu organización envíe mensajes, y se entregan en formato XML. Los administradores suelen configurar los informes para que se envíen a un servicio como nuestra solución DMARC Management, que los reduce a un formato más utilizable. Nota: Estos informes no contienen información de identificación personal.

DMARC Management crea automáticamente una dirección de correo electrónico a la que enviar esos informes, y añade el registro RUA correspondiente a tu DNS de Cloudflare para anunciar a los proveedores de buzones dónde enviar los informes. Y, efectivamente, si te interesa saberlo, estas direcciones de correo electrónico se crean utilizando el enrutamiento del correo electrónico de Cloudflare.

Nota: Hoy, el DNS de Cloudflare es un requisito de DMARC Management.

Hay una vista previa del registro DMARC creado con este registro RUA

Cuando se reciben los informes en esta dirección de correo electrónico dedicada, un Worker los procesa y extrae los datos relevantes, que analiza y envía a nuestra solución de análisis. Y, has vuelto a acertar, eso se implementa mediante Workers de correo electrónico. Puedes obtener más información sobre la implementación técnica aquí.

Acción

Ahora que los informes están entrando, puedes revisar los datos y actuar según corresponda.

Nota: Es posible que los proveedores de buzones tarden hasta 24 horas en empezar a enviar informes y a que estos análisis estén a tu disposición.

En la parte superior de DMARC Management puedes consultar de un vistazo la configuración de seguridad de salida de tu dominio, más concretamente, DMARC, DKIM y SPF. En breve, DMARC Management empezará a crear informes sobre la seguridad del correo electrónico de entrada, y esto incluye informes STARTTLS, MTA-STS, DANE y TLS.

Banner que muestra el estado de configuración de DMARC, SPF y DKIM para este dominio.

La sección central muestra el volumen de correo electrónico a lo largo del tiempo, con líneas individuales que muestran los mensajes que han pasado DMARC y los que no.

Volumen de correos electrónicos representado en los informes DMARC, a lo largo del tiempo, con distinción entre los que han pasado DMARC y los que no.

A continuación, encontrarás información adicional que incluye el número de mensajes de correo electrónico que ha enviado cada origen (por informe DMARC), así como las estadísticas de DMARC, SPF y DKIM correspondientes. Puedes aprobar (es decir, incluir en SPF) cualquiera de estos orígenes haciendo clic en "…", y detectar fácilmente las aplicaciones que es posible que no tengan DKIM correctamente configurado.

Volumen de correos electrónicos enviados por cada origen, y las estadísticas de DMARC, SPF y DKIM correspondientes.

Al hacer clic en cualquier origen obtienes las mismas estadísticas de DMARC, SPF y DKIM por dirección IP de ese origen. Así es cómo identificas si hay alguna dirección IP adicional que deberías incluir en tu registro SPF, por ejemplo.

La vista del origen muestra cada dirección IP individual identificada para ese origen, y las estadísticas de DMARC, SPF y DKIM correspondientes.

Las que no han pasado serán sobre las que querrás actuar, ya que será necesario aprobarlas (lo que técnicamente significa incluirlas en el registro SPF) si son legítimas, o bien dejarlas sin aprobar y que el servidor receptor las rechace cuando la política DMARC esté configurada como p=reject.

El objetivo es obtener una política DMARC de rechazo. Sin embargo, no querrás aplicar una política tan restrictiva hasta que tengas un nivel de confianza alto de que SPF (y DKIM, si corresponde) da cuenta de todos los servicios de envío legítimos. Esto puede requerir unas semanas, en función del número de servicios que tengas enviando mensajes desde tu dominio, pero con DMARC Management sabrás rápidamente cuándo estás listo para hacerlo.

Qué más necesitas

Cuando hayas aprobado todos los remitentes de correo electrónico autorizados (orígenes) y configurado DMARC para poner en cuarentena o rechazar, podrás estar seguro de que tu marca y tu organización están mucho más seguras. A partir de entonces, la supervisión de tu lista de orígenes aprobados será una operación muy sencilla que no llevará a tu equipo más de unos minutos al mes. Idealmente, cuando se implementen en tu empresa nuevas aplicaciones que envíen correos electrónicos desde tu dominio, incluirás proactivamente las direcciones IP correspondientes en tu registro SPF.

Sin embargo, incluso si no haces esto, encontrarás en la pestaña Security Insights de Security Center avisos acerca de nuevos remitentes no aprobados, junto con otros aspectos importantes de la seguridad que puedes revisar y gestionar.

Cuando tengas nuevos remitentes no aprobados, la sección Insights Overview de l Centro de seguridad de Cloudflare mostrará un aviso

O bien, puedes comprobar la lista de direcciones no aprobadas en DMARC Management cada ciertas semanas.

Siempre que veas un origen de remitente legítimo que se muestre como no aprobado, ya sabes qué hacer: hacer clic en "…" y marcarlo como aprobado.

¿Qué será lo siguiente?

DMARC Management lleva la seguridad del correo electrónico un paso más allá. Y esto es solo el comienzo.

Nos complace demostrar nuestras inversiones en funciones que proporcionan a los clientes aún más información de su seguridad. Más adelante, conectaremos los análisis de seguridad del agente de seguridad de acceso a la nube (CASB) de Cloudflare a Security Center.

Esta integración de producto proporcionará a los clientes una manera de comprender el estado de su seguridad SaaS más amplia de un solo vistazo. Descubriendo la composición de los resultados de CASB (o los problemas de seguridad identificados en populares aplicaciones SaaS) por la gravedad, el estado de la integración SaaS y el número de problemas ocultos, los administradores de TI y de seguridad tendrán una forma de comprender el estado de su superficie de seguridad más amplia desde una única fuente.

Sigue atento a más noticias acerca de CASB en el Centro de seguridad. Mientras tanto, puedes unirte hoy mismo, de forma gratuita, a la lista de espera del programa beta de DMARC Management. Si no lo has hecho aún, te recomendamos que también eches un vistazo a Cloudflare Area 1 y que solicites una evaluación del riesgo de phishing para impedir que los correos electrónicos de phishing, suplantación y no deseados accedan a tu entorno.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente , aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS , mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a utilizar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión de ayudar a mejorar Internet, empieza aquí . Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.

Security Week (ES)Security (ES)Email Security (ES)DMARC (ES)Español

Síguenos en X

João Sousa Botto|@jsbotto
Cloudflare|@cloudflare

Publicaciones relacionadas

18 de marzo de 2023, 15:00

Implementación de Regional Services con certificación ISO 27001 en la UE, con solo un clic

Cloudflare anuncia la implementación de una nueva región con certificación ISO en un solo clic, una forma muy fácil para que los clientes limiten la inspección del tráfico a los centros de datos con certificación ISO 27001 dentro de la Unión Europea...