El importante error que ha cometido Correos que está facilitando que cometan estafas en su nombre Historia de Miguel Terán Haughey

 

Hoy en día los ciberataques se han convertido en una amenaza a la que cualquier usuario se expone, y entre las más comúnes nos encontramos con los engaños mediante phishing o suplantación de identidad a través de correo electrónico.

Este tipo de timo destaca por su sencillez, ya que con un poco de edición, los ciberdelincuentes se pueden hacer pasar por una empresa, entidad o persona conocida para conseguir hacerse con los datos personales y bancarios de los usuarios. Este tipo de ataque es redondo para los criminales, ya que con poca inversión monetaria y poco esfuerzo consiguen realizar cientos de estafas.

En los últimos años, esta modalidad de ciberataque se ha convertido en una amenaza muy común, lo que ha hecho que las empresas y personas suplantadas se pongan las pilas para proteger a los usuarios que utilizan sus servicios.

Por ejemplo, hemos visto como en los últimos meses Google ha introducido funciones que detectan cuando un correo electrónico, página web o archivo podría ser fraudulento. Aun así es prácticamente imposible asegurar todos los flancos, y muchas veces es el error humano el que propicia un ciberataque.

Algo así es lo que ha ocurrido con Correos, una de las instituciones más suplantadas para llevar a cabo ataques de phishing debido a que todo el mundo la utiliza y está acostumbrado a recibir comunicaciones suyas mientras esperan pedidos o cartas concretas. El problema, como ha descubierto Lorenzo Martinez, director de la auditora de seguridad informática Securízame, es que Correos no había configurado el registro DMARC.

La autenticación de mensajes basada en dominios, informes y conformidad (DMARC) es un método de autenticación diseñado para evitar que cibercriminales se hagan pasar por ti. De esta manera al registrar un dominio estás evitando que otros lo puedan copiar y usar, esto es justo lo que Correos no ha hecho, y ha propiciado una enorme cantidad de estafas que le suplantaban.

Esto es porque los correos eran enviados desde el dominio noreply@correos.es, el que usa esta entidad para las comunicaciones oficiales con los usuarios, y claro al ver este nombre, los usuarios bajaban la guardia y eran estafados, por un simple error que Correos podría haber perfectamente evitado si hubieran realizado todas las medidas que tenían que hacer.

Configurar el DMARC es gratuito, pero aunque costase dinero una entidad tang grande e importante como es Correos lo tendría que haber hecho. Esta empresa fue una de las más suplantadas el año pasado, costándola a sus víctimas miles de euros en dinero robado, por no preocuparse y registrar todos los dominios que utilizan.