El 51,3% de las compañías del Ibex 35 y el 83,3% de las Administraciones Públicas de España no están bien protegidas contra suplantación de identidad y ataques de phishing, según un estudio de Interbel. Tampoco están protegidos el 50% de los bancos, el 74,1% de las empresas del sector energético, el 60% de los comercios online y el 40% de los medios de comunicación. Recordemos que el phishing es la técnica usada por ciberdelincuentes para obtener información confidencial.
Índice de temas
Un escudo contra la suplantación de identidad
El estudio se ha hecho público en coincidencia con el Día internacional de la seguridad informática. Ha evaluado cerca de 340 dominios de sectores clave, incluyendo Administración Pública y el sector bancario. Se analizó si cada dominio cuenta con una protección adecuada o carece de políticas de seguridad pertinentes. También se verificó si estas políticas no están configuradas correctamente. Se consideran protegidos los dominios con políticas de seguridad que reducen el riesgo de suplantación de identidad.
Estas políticas incluyen la correcta implementación de medidas como SPF, DKIM y DMARC. SPF (Sender Policy Framework) verifica si el servidor que envía un correo está autorizado por el dominio. DKIM (DomainKeys Identified Mail) añade una firma digital al correo para confirmar que no fue modificado y proviene del dominio autorizado. DMARC (Domain-based Message Authentication, Reporting & Conformance) proporciona un método estándar de autenticación de correo. Permite a los administradores evitar la suplantación de identidad y falsificación de dominios. DMARC combina SPF y DKIM para manejar correos sospechosos y genera reportes de intentos de suplantación.
El informe muestra que muchos sectores aún no han adoptado plenamente las políticas DKIM, SPF y DMARC. Destaca la necesidad urgente de implementar medidas robustas de ciberseguridad para proteger comunicaciones electrónicas e información de los usuarios. Esto ayudaría a evitar que sean víctimas de phishing. En el sector bancario español, un 17% de las entidades analizadas no aplica ninguna política DMARC. Esto deja a sus clientes expuestos a suplantaciones de identidad y fraudes financieros. Un 25% de estas entidades ha implementado DMARC en modo reporte, lo que permite monitorear, pero no prevenir ataques. Un 42,9% ha implementado DMARC completamente, lo que bloquea correos no autenticados y protege a los usuarios.
Dos grandes amenazas: phishing y ransomware
El fundador de Interbel, Román Martín, advierte sobre un “tsunami de ciberataques” por lo lucrativo de este negocio para mafias y nuevos actores del cibercrimen. Asegurar el dominio de correo es primordial para evitar fraudes contra clientes y ciudadanos. Martín resalta que esto no es solo un tema de reputación, sino de responsabilidad. Desde Interbel se señalan dos grandes factores de vulnerabilidad en las empresas:
- El phishing: se realiza mediante suplantación de identidad, robo de contraseñas, links fraudulentos, software malicioso y técnicas más sofisticadas. Es la principal causa de fuga de datos, facturas falsas, transferencias fraudulentas, pérdida de dinero y daños reputacionales.
- El ransomware: es una epidemia que encripta los datos de la empresa, dejándola inoperativa a menos que se pague un rescate. Más del 90% de estos ataques inician con un email donde el usuario hace clic en un enlace o descarga un archivo adjunto.
Según el Instituto Nacional de Ciberseguridad (Incibe), en 2023 los ciberataques aumentaron un 24% respecto al año anterior. De los más de 83.500 incidentes gestionados, 58.000 afectaron a la ciudadanía y más de 22.000 a empresas privadas.