A todos se nos hiela la sangre cuando recibimos un correo electrónico de Hacienda. Pero puede ocurrir que quien te escriba no sea la Agencia Tributaria. O que ese mensaje de Correos no sea tal. Y así hasta más de 700 dominios de correo electrónico de la Administración Española que pueden servir a los cibercriminales para engañarte mediante técnicas de phishing o suplantación de identidad.
El phishing o suplantación de identidad puede llegarnos a través de un mensaje de WhatsApp. O al abrir una página web falsa o en un mensaje de correo electrónico. Su propósito es sonsacarnos datos personales u obtener dinero mediante engaño o extorsión. Hay maneras de desenmascarar este tipo de fraudes, pero detectar un caso de phishing es complicado cuando recibes un correo electrónico con el dominio de Correos, la Policía Nacional, Agencia Tributaria o el Ministerio de Exteriores.
Estos son solo algunos ejemplos de dominios de correo electrónico de un total de 772 dominios de la Administración Española que han sido analizados por el Observatorio de seguridad web. Este estudio amplía su proyecto Web Segura que ya vimos con anterioridad. Tras analizar la Web pública para ver si era realmente segura para el usuario, su siguiente gran estudio ha consistido en comprobar si los dominios de correo electrónico de organismos públicos españoles son seguros. O si podrían ser víctimas de un ataque de phishing o suplantación de identidad contra ciudadanos españoles.
Y es que no es lo mismo que recibas un mensaje de correo con un dominio extraño o desconocido que un correo electrónico del tipo @correos.es, @sede.sepe.gob.es o @agenciatributaria.es por citar los ejemplos más habituales en engaños de phishing.
Casi el 97% de los dominios son vulnerables
Todos hemos recibido alguna vez un mensaje de correo electrónico fraudulento. Quien lo envía dice ser Microsoft, Facebook, tu banco o la Agencia Tributaria. Pero mirando ciertos detalles, se ve que no son reales. Lo mejor, no hacerles caso y borrarlos. Pero algunos están más logrados que otros y los hay que consiguen engañar a cualquiera.
Una manera de conseguir mensajes de correo electrónico fraudulentos muy realistas es empleando el dominio oficial de la Administración española por la que se hacen pasar los cibercriminales. Pero aunque hay maneras de impedirlo, en España esto no es habitual.
Los responsables del Observatorio de seguridad web han realizado un análisis de los emails públicos de decenas de organismos e instituciones públicos de España a nivel estatal, autonómico y local. De un total de 772 dominios analizados, solo 25 de ellos son seguros frente a la suplantación de identidad. El resto, 747, son vulnerables y podrían utilizarse en ataques de phishing contra la población o contra la propia Administración.
La lista con los dominios seguros y los vulnerables se puede consultar en este enlace. Para su clasificación, el Observatorio ha tenido en cuenta cómo están configurados esos dominios. En concreto, si han implementado o no medidas de seguridad contra el phishing como SPF o DMARC.
¿Cómo prevenir la suplantación de identidad?
SPF es el acrónimo de Sender Policy Framework. En castellano, Convenio de Remitentes. Según explica Wikipedia, “es una protección contra la falsificación de direcciones en el envío de correo electrónico. Identifica, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el transporte de los mensajes. Este convenio busca ayudar para disminuir abusos como el spam y otros males del correo electrónico”.
La otra medida de prevención contra el phishing o suplantación de identidad es DMARC. Es el acrónimo de Domain-based Message Authentication, Reporting and Conformance. En castellano, Autenticación de Mensajes Basada en Dominios, Informes y Conformidad. Volviendo a la Wikipedia, “es un mecanismo de autenticación de correo electrónico. Ha sido diseñado para otorgar a los propietarios de dominios de correo electrónico la capacidad de proteger su dominio frente a su uso no autorizado”.
En definitiva, la Administración pública española tiene mucho trabajo por hacer frente a temas de seguridad online. Algo de vital importancia. En especial cuando hablamos de suplantar la identidad de entidades tan importantes como Correos, Hacienda o la propia Policía Nacional.
Encontrarás más información sobre el Observatorio de seguridad web en su página oficial. Allí podrás consultar el análisis sobre la seguridad de la Web pública española y su proyecto más reciente, el análisis de la seguridad de los emails públicos.