¿Qué es DMARC y por qué lo necesitas?

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

Antes de esta propuesta había dos protocolos para la autenticación del email: SPC, o Sender Policy Framework, y DKIM, o Domain Keys Identified Mail. El primero utiliza DNS para especificar qué servidores de email están autorizados para enviar correos electrónicos, pero no hace nada para autenticar al remitente que figura en el encabezado del mensaje. Es decir, que SPF se identifica con el proveedor de email que está enviando el email, lo que impide que otras personas envíen emails en tu nombre.

Este contenido forma parte del número de marzo de IT Digital Security. Puedes descargarte la revista desde este enlace.

DKIM, es un sistema de autenticación cifrada del emisor que aumenta la integridad del email para ser entregados a su destino. Se utiliza una clave que evita las falsificaciones y que asegura la integridad del contenido del email.

Cada email enviado incluye una especie de firma digital en el encabezado del email , y cada firma es única y cifrada para que no puedan ser falsificado. El servidor recibe el email, hace una búsqueda en el DNS del remitente y cuando se configura la clave DKIM, este servidor puede recibir la clave pública de ese dominio que envió el email y luego descifrar la firma y la identificación del remitente y el email es auténtico.

Durante mucho tiempo estas validaciones fueron una forma más de mejorar la entrega de los emails, hasta convertirse en algo esencial y fundamental de cualquier estrategia de seguridad de correo electrónico. Claro que, como suele ocurrir, los ciberdelincuentes evolucionaron, los spammers se actualizaron, y encontraron la manera de utilizar estas validaciones en su provecho.  El hecho, además, de que SPF y DKIM no fueran universalmente implementado llevó a la aparición de DMARC.

El protocolo DMARC (Domain-based Message Authentication, Reporting & Conformance, o Autenticación de mensajes, informes y conformidad basada en dominios) es el último gran avance en autenticación de correos electrónicos y busca avanzar estos estándares previos comparando el remitente del sobre autenticado por la verificación SPF y la entidad firmada autenticada por la firma DKIM con el remitente que figura en el campo “De: Encabezado”. Es decir, DMARC garantiza que un correo electrónico legítimo sea autenticado correctamente en función de estándares DKIM y SPF establecidos y que se bloquee la actividad fraudulenta que pareciera provenir de dominios bajo el control de la organización (dominios de envío activos, dominios que no envían emails y dominios registrados en forma defensiva). Los dos valores clave de DMARC son la alineación de dominios y la generación de informes.

La función de alineación de dominio de DMARC es lo que permite a este protocolo autenticar el "De: encabezado" de un mensaje de correo electrónico, impidiendo la suplantación de identidad.

Llegado a este punto, se vio que el piloto de PayPal y Yahoo! funcionaba y con el objetivo de que cualquiera en Internet pudiera controlar el uso de su dominio en el encabezado “De:” de los mensajes de correo electrónico se creó un grupo conocido como MOOCOW, o Messaging Operational Overlay Coalition Of The Willing.

Meses de trabajo dieron como resultado, en enero de 2012, la primera implementación de lo que sería conocido como DMARC. Desde entonces muchos proveedores de correo han implementado el estándar, y la mayoría de los proveedores de Secure Email Gateway han incorporado parte del mismo en sus servicios y appliances.

SPF, DKIM y DMARC, todos juntos

Tanto el phishing como el spam son grandes oportunidades para que los hackers puedan entrar en la red. Tan sólo hace falta que un usuario pinche sobre algún enlace o se descargue un adjunto malicioso para poner a toda une empresa en peligro con un ransomware, un spyware, una filtración de datos o que se explote alguna vulnerabilidad que lleve al desastre

Los protocolos de seguridad del email buscan reducir las oportunidades de los ciberdelincuentes, y ya que los tres granes protocolos se complementan unos con otros, implementarlos todos juntos es lo que proporciona la mejor protección. Sender Policy Framework, SPF, vigila quién envía los emails desde tu dominio; DomainKeys Identified Mail (DKIM), es el que asegura que el contenido del email no ha sido manipulado o comprometido, y Domain-based Message Authentication, Reporting and Conformance (DMARC), es el que vincula los dos anteriores con un conjunto coherente de políticas.

Es decir que cada uno de estos estándares soluciona una parte diferente de la ecuación para impedir el phishing y el spam, reduciendo así la superficie de ataque. Y esto se logra mediante una combinación de herramientas estándar de autenticación y cifrado, como la firma de claves públicas y privadas, y la adición de registros DNS especiales.

Si la infraestructura de correo electrónico implementa los tres protocolos correctamente, es más fácil asegurarse de que los mensajes no se pueden falsificar fácilmente.

Los tres protocolos han recibido más atención últimamente porque no parece que el spam y el spear phishing hayan dejado de ser un problema a pesar de los muchos años que llevamos soportando esta lacra. Esto hace que los responsables de TI busquen herramientas que les ayuden a cambiar la situación. A nivel gubernamental tanto el Departamento de Seguridad Nacional de Estados Unidos como las agencias de seguridad de Reino Unidos y Australia han emitido órdenes para hacer que las agencias elaboren planes que lleven a la implementación de estos protocolos.

Camino por recorrer

A pesar de todo lo dicho, de los avances técnicos, una mayor facilidad en la implantación de estos protocolos de seguridad del email, incluso del empuje por parte de las administraciones, queda un largo camino por recorrer

Según datos de un informe publicado por la empresa de seguridad Agari, el 99% de los dominios no están protegidos por DMARC. Eso significa que, esencialmente, todos los dominios son vulnerables a la suplantación de identidad (phishing) y la suplantación de nombres de dominio (spoofing). Y significa también que menos del 1% están autenticados y protegidos por DMARC.

Otro estudio, en este caso de 250ok, un especialista en analítica de email, recoge que el 90% de los principales e-retailer tanto de Estados Unidos como de Europa no están adoptando DMARC para proteger adecuadamente a sus clientes. Es más, la mayoría no están desplegando SPF.

En su estudio, 250ok comparó más de tres mil dominios de retailers online (mil de Estados Unidos y 500 europeos) y descubrió que el 87,6% de los dominios raíz administrados están poniendo en riesgo los datos de sus clientes. Sólo el 11,2% han aplicado SPF y DMARC de manera adecuada, y un 85,2% ni siquiera tiene una política para este protocolo. La política más estricta de DMARC, conocida como la política del rechazo, sólo está disponible en el 1,3% de todas las compañías.