Si alguna vez te han advertido contra los ciberataques basados en phishing, uno de los consejos que habrás recibido habrá sido, sin duda, comprobar con detenimiento la procedencia de los emails, para evitar hacer clic en los enlaces incluidos en algún e-mail fraudulento.

Esto tiene como objetivo evitar que un correo procedente de direcciones falsas como haciendaespana@gmail.com o info@minsanidad2021.io 'te la cuele' enviándote a alguna web donde podrían animarte a descargar malware o a compartir tus datos personales.

Pero, ¿qué ocurre cuando el phising te llega —aparentemente— desde una cuenta de e-mail absolutamente legítima (procedente de @correos.es, por ejemplo)… porque la institución correspondiente no ha tomado todas las medidas necesarias para evitar sufrir un ataque de spoofing o de suplantación de identidad?

Es decir, el problema es el siguiente:

Un problema ignorado por todos menos por los 'hacktivistas'

Este problema, que parece habérsele pasado por alto a cientos de administradores y de responsables políticos de toda España, está siendo visibilizado por el Observatorio de la Seguridad Web, una iniciativa del grupo hacktivista PucelaBits, con sede en Valladolid.

La idea empezó cuando decidieron analizar la web de la empresa de autobuses municipal de su ciudad, y luego empezaron a sumar instituciones de todos los niveles administrativos.

En Genbeta

Phishing: qué es y diferentes tipos que existen

El portavoz de PucelaBits, Rubén Martín (antiguo desarrollador de la Fundación Mozilla y actual líder de estrategia y estudios comunitarios del Equipo Humanitario de OpenStreetMap) nos aclara que

"Ninguna administración se ha puesto nunca en contacto y eso que llevamos meses avisando por redes. Inicialmente en enero alguna de Valladolid respondió diciendo que iban a arreglar los problemas de la web, pero nunca lo hicieron".

Posteriormente, el Observatorio de la Seguridad Web empezó a recopilar también datos sobre la seguridad de los emails de las instituciones públicas españolas, y recientemente ha publicado los resultados de su análisis. Y sus conclusiones resultan descorazonadoras: de los 772 emails estudiados, sólo uno (¡1!) cuenta con medidas de seguridad que los protegen de las suplantaciones de identidad.

Las conclusiones iniciales fueron algo (solo 'algo') menos dramáticas, pues contabilizaban hasta 25 dominios seguros. Sin embargo, rápidamente comprobaron que algunos dominios implementaban protección DMARC… pero no rechazaban los correos falsos, lo cual al final éstos terminaban llegando a su destino y DMARC "no protegía a nadie". Así que tuvieron que actualizar los datos del estudio.

En resumen: que hasta 771 dominios de las administraciones públicas españolas son susceptibles de ser usadas en ciberataques y estafas contra los ciudadanos españoles… o contra la propia administración. Y esto ocurre incluso con Moncloa o con el Instituto Nacional de Ciberseguridad (enlace).

Es decir, piensa por un momento en las posibles consecuencias de que un funcionario reciba instrucciones por email para enviar determinada información o de instalar determinado software, y él las cumpla porque todo indica que el mensaje procede de un superior o del departamento de Informática.

Los mecanismos de verificación que deberían conocer las instituciones españolas

Pero, ¿qué clase de medidas deberían tomar las instituciones afectadas? Fácil: cumplir con los dos principales mecanismos de autenticación de e-mails disponibles actualmente: SPF y DMARC.

• SPF (Sender Policy Framework): Siglas en inglés de "Convenio de Remitentes", un protocolo anti-falsificación de direcciones que permite recurrir a las DNS para comprobar si la IP del remitente del mensaje coincide con la de su servidor correo. Adoptado por primera vez en 2004, se ha convertido con el paso de los años en una gran herramienta contra el spam.

• DMARC (Domain-based Message Authentication, Reporting and Conformance): Siglas en inglés de "Autenticación de Mensajes Basada en Dominios, Informes y Conformidad". Basado en el anterior, DMARC indica a los servidores de correo qué hacer si reciben un mensaje aparentemente procedente de tu dominio, pero que no supera las comprobaciones de autenticación.

Uno de los aspectos en los que ha trabajado Microsoft este año ha sido renovar y mejorar sus servicios online. El correo electrónico ha sido uno de los que ha sufrido un lavado de cara más importante. Pero no quieren para aquí y buscan seguir mejorando el servicio para hacerlo más seguro. Según ha anunciado en su blog, Microsoft mejora la seguridad de Outlook.com para evitar ataques de phishing y añade soporte para los certificados EV (Extended Validation Certificates).

Los ataques de phishing nos llegan al correo para que el usuario enlace a una página falsa, por ejemplo de un banco, que en apariencia será idéntica a la de su propio banco, pero cuyo objetivo es que introduzcamos las credenciales de nuestras tarjetas de crédito en las mismas para poder hacerse con dichos datos. Para evitar que no lleguen a la bandeja de entrada estos correos Outlook.com incorpora soporte para DMARC, que se basa en SPF y DKIM para tratar de proporcionar mejores resultados a la hora de evaluar mensajes cuya identificación ha fallado y poder, de esta manera, evitar que lleguen a nuestra bandeja de correo.

Otro aspecto que pretenden mejorar es el de los certificados SSL, para ello han incorporado el soporte para certificados EV, que incorporan un cifrado de 2048-bit, mucho más seguro que otras opciones y más complicado de romper que el estándar más extendido SSL. De esta forma se evita que los sitios web que estamos visitando puedan utilizar un certificado falso. El soporte de los certificados EV de Outlook.com está comenzando su despliegue ahora y pronto estará disponible también disponible en otros servicios como SkyDrive.

Lo cierto es que en mi uso de Outlook.com hasta el momento no he tenido quejas en lo que a correo spam se refiere. No me llegan correos de este tipo y automáticamente se van a la carpeta habilitada para ellos. Por lo general pecan más por exceso de celo que por defecto. De todas formas en lo que a seguridad se refiere todas estas mejoras seguro que son bienvenidas, sobre todo si se extienden la resto de servicios online de la compañía, tal y como han prometido.

Más información | Blog Outlook.com
En Genbeta | Outlook.com ha conseguido 25 millones de usuarios activos y añade nuevas funcionalidades