Si alguna vez te han advertido contra los ciberataques basados en phishing, uno de los consejos que habrás recibido habrá sido, sin duda, comprobar con detenimiento la procedencia de los emails, para evitar hacer clic en los enlaces incluidos en algún e-mail fraudulento.
Esto tiene como objetivo evitar que un correo procedente de direcciones falsas como haciendaespana@gmail.com o info@minsanidad2021.io 'te la cuele' enviándote a alguna web donde podrían animarte a descargar malware o a compartir tus datos personales.
Pero, ¿qué ocurre cuando el phising te llega —aparentemente— desde una cuenta de e-mail absolutamente legítima (procedente de @correos.es, por ejemplo)… porque la institución correspondiente no ha tomado todas las medidas necesarias para evitar sufrir un ataque de spoofing o de suplantación de identidad?
Es decir, el problema es el siguiente:
Un problema ignorado por todos menos por los 'hacktivistas'
Este problema, que parece habérsele pasado por alto a cientos de administradores y de responsables políticos de toda España, está siendo visibilizado por el Observatorio de la Seguridad Web, una iniciativa del grupo hacktivista PucelaBits, con sede en Valladolid.
La idea empezó cuando decidieron analizar la web de la empresa de autobuses municipal de su ciudad, y luego empezaron a sumar instituciones de todos los niveles administrativos.
El portavoz de PucelaBits, Rubén Martín (antiguo desarrollador de la Fundación Mozilla y actual líder de estrategia y estudios comunitarios del Equipo Humanitario de OpenStreetMap) nos aclara que
"Ninguna administración se ha puesto nunca en contacto y eso que llevamos meses avisando por redes. Inicialmente en enero alguna de Valladolid respondió diciendo que iban a arreglar los problemas de la web, pero nunca lo hicieron".
Posteriormente, el Observatorio de la Seguridad Web empezó a recopilar también datos sobre la seguridad de los emails de las instituciones públicas españolas, y recientemente ha publicado los resultados de su análisis. Y sus conclusiones resultan descorazonadoras: de los 772 emails estudiados, sólo uno (¡1!) cuenta con medidas de seguridad que los protegen de las suplantaciones de identidad.
Las conclusiones iniciales fueron algo (solo 'algo') menos dramáticas, pues contabilizaban hasta 25 dominios seguros. Sin embargo, rápidamente comprobaron que algunos dominios implementaban protección DMARC… pero no rechazaban los correos falsos, lo cual al final éstos terminaban llegando a su destino y DMARC "no protegía a nadie". Así que tuvieron que actualizar los datos del estudio.
En resumen: que hasta 771 dominios de las administraciones públicas españolas son susceptibles de ser usadas en ciberataques y estafas contra los ciudadanos españoles… o contra la propia administración. Y esto ocurre incluso con Moncloa o con el Instituto Nacional de Ciberseguridad (enlace).
Es decir, piensa por un momento en las posibles consecuencias de que un funcionario reciba instrucciones por email para enviar determinada información o de instalar determinado software, y él las cumpla porque todo indica que el mensaje procede de un superior o del departamento de Informática.
Los mecanismos de verificación que deberían conocer las instituciones españolas
Pero, ¿qué clase de medidas deberían tomar las instituciones afectadas? Fácil: cumplir con los dos principales mecanismos de autenticación de e-mails disponibles actualmente: SPF y DMARC.
SPF (Sender Policy Framework): Siglas en inglés de "Convenio de Remitentes", un protocolo anti-falsificación de direcciones que permite recurrir a las DNS para comprobar si la IP del remitente del mensaje coincide con la de su servidor correo. Adoptado por primera vez en 2004, se ha convertido con el paso de los años en una gran herramienta contra el spam.
DMARC (Domain-based Message Authentication, Reporting and Conformance): Siglas en inglés de "Autenticación de Mensajes Basada en Dominios, Informes y Conformidad". Basado en el anterior, DMARC indica a los servidores de correo qué hacer si reciben un mensaje aparentemente procedente de tu dominio, pero que no supera las comprobaciones de autenticación.
Ver 7 comentarios