Expertos de ciberseguridad de Proofpoint han analizado las diez principales universidades españolas, de acuerdo al octavo U-Ranking elaborado por la Fundación BBVA y el Ivie, a fin de conocer si están adecuadamente preparadas frente a cualquier amenaza entrante por correo electrónico.
Para ello, la compañía se ha fijado en si desde estas instituciones se ha llevado a cabo la adopción del protocolo de seguridad DMARC*, que permite la autenticación fiable de los remitentes de un email y el bloqueo de mensajes fraudulentos. Actualmente se considera este protocolo como la mejor defensa tecnológica contra los ataques de phishing y la suplantación de dominios o spoofing.
La implementación de DMARC ayuda a definir qué tratamiento debe darse a los correos electrónicos que hacen un uso indebido de un nombre de dominio, así como la política que tiene que aplicarse en caso de fallo en la verificación: modo bloqueo (el usuario no recibiría el email), cuarentena (el correo pasa a la carpeta de spam) o none (se reporta a la organización, pero el mensaje queda entregado igualmente).
Los principales datos que arroja este análisis
- Cinco de las diez principales universidades españolas no cuentan con una política de DMARC, por lo que corren el riesgo de que los ciberdelincuentes usurpen el nombre de sus dominios y sufran ataques de phishing.
- La otra mitad (50%) ha adoptado este protocolo de seguridad, pero de forma incompleta y poco estricta, sin protegerse proactivamente contra correos electrónicos fraudulentos.
- Ninguna de ellas bloquea el envío de estos mensajes antes de que lleguen a su destinatario.
Desde Proofpoint avisan de que este vacío en medidas de seguridad allana el camino a los atacantes para cometer distintas infracciones.
Entre las más comunes destacan aquellos emails que, a simple vista, pueden parecer muy convincentes al usuario por utilizar el logo, la tipografía o los colores distintivos de una organización, y que además han sido enviados desde direcciones con dominios de confianza, saltándose incluso los filtros de spam.
Esto consigue aumentar el número de víctimas potenciales que finalmente entrega sus credenciales, información bancaria y otros datos sensibles sin que haya casi atisbo de duda. Si todo este caché de información cae en las manos equivocadas, podría venderse con fines lucrativos, emplearse para defraudar a más gente o suplantar identidades.
Los ciberdelincuentes están adaptando constantemente su tácticas de ataque para sacar el máximo beneficio con el mínimo esfuerzo, y ahí es donde entran las amenazas por correo electrónico. Ya sea en incidentes a escala o muy dirigidos, estos ataques de ingeniería social son simples, pero tremendamente efectivos, ya que se aprovechan de la vulnerabilidad humana: siempre hay alguien que hará clic en un enlace o archivo adjunto malicioso.