Ahora que los ataques de phishing son comunes, los programas de seguridad de la información corporativa se entrenan de manera rutinaria sobre cómo evitar el compromiso del correo electrónico. Sin embargo, la frecuencia de los ataques por correo electrónico se ha acelerado drásticamente en los últimos años.
Un total de 2,09 millones de dólares, lo que alude a un incremento del 15% respecto al registrado el año pasado, es el coste medio de una fuga de datos de una empresa. Así lo confirmó la corporación de tecnología IBM. Sin embargo, esta no es la única variación que se registra. En el informe Perspectivas de América Latina se indicó que el 60% de las empresas aumentaron el precio de sus servicios tras una fuga de datos. Asimismo, los ciberdelincuentes utilizan la modalidad de phishing. Perú, México y Brasil son las naciones con mayor número de ciberataques en la región, según la información obtenida por la empresa tecnológica. Con el objetivo de convencer a los usuarios de que entreguen voluntariamente datos privados, el método se enfoca en infiltrarse en los dispositivos haciéndose pasar por personas o corporaciones creíbles.
Para Dean Coclin, director senior de Desarrollo de Negocios en DigiCert, una estrategia de confianza digital bien pensada puede inyectar esta importante capa de seguridad en las comunicaciones por correo electrónico, lo que facilita que los destinatarios de correo electrónico diferencien fácilmente entre comunicaciones confiables y sospechosas.
Para DigiCert existen 3 focos fundamentales de la confianza digital en el correo electrónico:
Paso 1: Establecer confianza
La base de la confianza en la seguridad del correo electrónico es el certificado digital S/MIME. S/MIME significa Secure/Multipurpose Internet Mail Extension, un estándar de la industria para la firma y el cifrado de correo electrónico admitido por la mayoría de los clientes de correo electrónico corporativos. Los certificados S/MIME permiten a los usuarios firmar correos electrónicos digitalmente, verificando la autenticidad del remitente e indicando que el contenido del correo electrónico no ha sido alterado. Los certificados digitales S/MIME también se pueden usar para cifrar correos electrónicos, protegiendo las comunicaciones por correo electrónico que contienen información confidencial de la interceptación de datos.
Paso 2: Gestión de la confianza
El siguiente paso a considerar es la gestión de certificados S/MIME dentro de una organización. Los líderes de TI señalan que cuando las medidas que mejoran la seguridad son opcionales o dependen de las acciones realizadas por un usuario corporativo no técnico, la adopción puede ser un desafío. Las empresas pueden resolver este problema automatizando el suministro de certificados digitales como S/MIME. Para lograr esto, las empresas pueden aprovechar las soluciones de administración de PKI que se integran directamente con los servicios de directorio corporativo para automatizar la instalación, renovación y revocación de certificados. Esto reduce la carga del soporte técnico de TI, garantiza el cumplimiento de las medidas de seguridad preferidas o la política corporativa y elimina cualquier brecha de aprovisionamiento o revocación que pueda afectar la productividad o la seguridad.
Cuando se usa S/MIME para el cifrado, se necesitan medidas adicionales que se beneficien de las capacidades de automatización e integración de las soluciones de administración de PKI. Por ejemplo, cuando se usa S/MIME para el cifrado, los usuarios deben tener la misma clave privada en los múltiples dispositivos en los que reciben correo electrónico para descifrar las comunicaciones. Las soluciones de administración de PKI que pueden integrarse con soluciones de administración unificada de puntos finales (UEM) como Microsoft Endpoint Manager y administrar automáticamente la custodia de claves simplifican estos aspectos de la administración del ciclo de vida de los certificados.
«El cifrado puede ser necesario en industrias en las que se transmiten datos confidenciales por correo electrónico, como empresas de servicios financieros que comunican datos financieros personales o empresas de atención médica que comunican información de salud personal. También puede ser requerido por la política corporativa para tipos específicos de comunicaciones internas o externas para proteger confidencialidad de datos o propiedad intelectual«, explica Dean Coclin.
Las mejores prácticas en la administración de S/MIME sugieren que, cuando se requiere el cifrado, se utilicen certificados separados para las firmas digitales y el cifrado. Esto se debe a que los requisitos de custodia de claves del cifrado pueden comprometer las características de no repudio de un correo electrónico firmado digitalmente. Las empresas también pueden decidir si sus necesidades comerciales requieren cifrado a nivel de usuario individual o si es preferible cifrar las comunicaciones en el punto de una puerta de enlace de correo electrónico.
Paso 3: Ampliar la confianza
A continuación, los arquitectos de confianza digital pueden considerar si necesitan proteger el correo electrónico dentro de una organización o entre organizaciones. Si la comunicación por correo electrónico se mantiene dentro del dominio corporativo, los profesionales de TI pueden usar certificados S/MIME privados encadenados a una CA privada o intermedia.
Si las empresas protegen el correo electrónico enviado fuera de los límites corporativos, entonces se deben usar certificados S/MIME públicos que se encadenen a una raíz de confianza pública como DigiCert. Las empresas también pueden considerar la creación de una CA intermedia pública dedicada que se pueda marcar con el nombre de su organización. El ICA puede conectarse a la raíz de confianza pública, pero permitirá que los certificados hereden la marca ICA de la organización.
¿Qué pasa con DMARC y VMC?
Las empresas también pueden adoptar otras medidas para combatir el phishing dentro de una organización, como la implementación de Autenticación, informes y conformidad de mensajes basados en dominios (DMARC). DMARC es un protocolo de informes, políticas y autenticación de correo electrónico que ayuda a las organizaciones a prevenir el phishing.
Las empresas que han adoptado DMARC pueden usar Certificados de marca verificada (VMC) para mostrar un logotipo de organización verificada junto con los correos electrónicos. Los VMC validan que una empresa ha implementado DMARC y que el logotipo que se muestra es una entidad de marca registrada de la organización. Los mensajes de correo electrónico con logotipos de marcas indican que el remitente ha cumplido con los estrictos requisitos de seguridad y autenticación de DMARC y VMC.
La presencia de un logotipo de marca aumenta la confianza del consumidor en el correo electrónico que se envía y lo diferencia de los correos electrónicos enviados sin un indicador de logotipo de marca. Algunos clientes de correo electrónico, como Apple, van un paso más allá e incluyen «certificado digitalmente» en los encabezados de correo electrónico relacionados con VMC.
Monitoreo de tráfico de DNS
Finalmente, las empresas pueden considerar su servicio de DNS como otro componente clave de sus iniciativas de confianza de correo electrónico. El tráfico de DNS es una rica fuente de datos que se puede analizar mediante el aprendizaje automático para mostrar qué es y qué no es normal para un dominio. La detección de anomalías de tráfico puede detectar y predecir actividades sospechosas o inusuales, lo que permite a los profesionales de TI frustrar los ataques dirigidos.
Con los ataques por correo electrónico en aumento, los programas de capacitación corporativos pueden ser insuficientes por sí solos para permitir que los empleados protejan adecuadamente los datos confidenciales o sensibles de su organización o sus credenciales personales. Y con las estrategias de phishing cada vez más sofisticadas, puede ser cada vez más difícil para los consumidores saber cuándo están interactuando con una marca confiable o un impostor de correo electrónico. La implementación de una base sólida de confianza digital en la comunicación por correo electrónico puede ayudar a prevenir credenciales, datos confidenciales o compromisos financieros. Ahí es donde la confianza digital se encuentra con el mundo real.