2. TABLA DE CONTENIDOS
Introducción
¿Qué és la seguridad de dominio?
Metodología de análisis
Análisis de bancos (BCRA)
Análisis a Fintech
Problemática
1
2
3
4
5
6
Factor cultural. El lugar del cliente6.1
7
Factor técnico6.2
02
02
03
04
04
05
06Conclusión
3. Seguridad del dominio
1 INTRODUCCIÓN
Cuando presentamos nuestra solución de
seguridad de dominio a un potencial cliente,
lo primero que leerá en la propuesta es que
nuestra misión es: “Ayudar a las empresas
a protegerse a sí mismas, a sus clientes y a
su marca de ataques de phishing y suplan-
tación de identidad por correo electrónico”.
Creemos que una parte fundamental de
esta tarea es brindar visibilidad al problema
que estamos enfrentando.
La mayoría de las grandes empresas de
seguridad informática del mundo, se ocupan
de elaborar informes y estadísticas sobre
estas problemáticas. Entendemos que es un
valor fundamental contribuir al intercambio
de ideas y a la posibilidad de abrir debates
sobre estos temas y comprender el alcance
Ayudamos a las empresas
a protegerse a sí mismas,
a sus clientes y a su marca
de ataques de phishing y
suplantación de identidad
por correo electrónico.
de este problema en el ecosistema digital.
Por esta razón, hemos decidido conducir
nuestra propia investigación sobre la segu-
ridad de los dominios en Argentina. Toma-
mos como muestra un sector estrella para
todo tipo de ciberestafas, que es el finan-
ciero. Puntualmente analizamos Bancos
(tradicionales y digitales) y Fintech.
2 ¿QUÉ ES LA SEGURIDAD
DE DOMINIO?
Se refiere a contar con los protocolos nece-
sarios para impedir que un tercero suplante
la identidad de una empresa o marca. Para
las comunicaciones por correo electrónico
son 3: SPF, DKIM & DMARC.
Cuando las reglas están bien configuradas,
se aplican las políticas del protocolo DMARC
y cualquier intento de suplantar el domi-
nio corporativo se traducirá en un recha-
zo de la comunicación por el servidor de
destino.
El correo electrónico rebota.
Servidor
remitente
Servidor
de destino
Busca
DNS
Aplica política
DMARC
Pass
Quarantine
Consulta
DKIM
Consulta
SPF
REPORTE SEGURIDAD DE DOMINIO02
Reject
4. 3 METODOLOGÍA DE ANÁLISIS
Se ha confeccionado una escala numérica
entre 0 y 5 para calificar la seguridad de
los dominios. Donde 0 es nada seguro y 5
es totalmente seguro.
Para medir el riesgo y la vulnerabilidad, se
analizan los registros DNS en buscar de los
protocolos mencionados en el punto ante-
rior. De acuerdo con los hallazgos se puede
determinar dentro de qué valor de nuestra
escala de referencia se encuentra. A con-
tinuación, se explica sintéticamente a qué
equivale cada puntaje:
Consideramos como seguro solo si se
califica con 5. Es decir que se aplica una
política de rechazo ante intentos de phi-
shing con el dominio corporativo.
No podemos incluír aquellos que califican
con 4 ya que, con la política de cuarentena,
el correo termina siendo entregado al des-
tinatario, más allá de que lo haga a correo
no deseado.
El bloqueo total de la comunicación sos-
pechosa es la única vía para erradicar de
forma definitiva al Phishing.
El bloqueo total de
la comunicación
sospechosa es la única
vía para erradicar
de forma definitiva
al Phishing.
REPORTE SEGURIDAD DE DOMINIO03
5. 4 ANÁLISIS DE BANCOS (BCRA)
Se ha tomado una muestra de 71 entidades
financieras autorizadas por el BCRA. Se ha
analizado el dominio principal de cada una
de ellas. En la figura 2 podemos observar la
cantidad de casos para cada puntuación.
Figura 2: Resultado del análisis Bancos
En la figura 3 comprobamos que solo un 3%
de los Bancos Argentinos tiene protección
total. El 97% restante no tiene una política de
rechazo ante la suplantación
de su identidad.
Figura 3: Proporción de dominios seguros vs. inseguros en Bancos
5 ANÁLISIS A FINTECH
Para las denominadas Fintech, el grupo de
muestra son 20. En la República Argentina
hay más de 133 empresas de este tipo. To-
mamos aquellas que ocupan mayor porción
del mercado.
En la figura 4 se aprecia que los resultados
se concentran entre las escalas de 0 y 3
puntos.
Figura 4: Resultado del análisis Fintech
En la figura 5 observamos que la mayoría
de las empresas tienen una calificación de 2,
misma tendencia que vimos con los Bancos.
Lo llamativo es que un 30% de las Fintech
están totalmente desprotegidas.
Figura 5: Proporción de dominios inseguros en Fintech
Puntuación
Casos según puntuación Calificación de seguridad
Fintech
Calificación de seguridad
REPORTE SEGURIDAD DE DOMINIO04
6. 6 PROBLEMÁTICA
Vamos a dividir este punto en dos, ya que creemos que existen limitaciones tanto
culturales como técnicas a la hora de tener un dominio seguro.
6.1 Factor cultural. El lugar del cliente
Sabemos, no solo por estar estudiando
este tema, sino por el hecho de que tam-
bién somos clientes, que cuando se habla
de erradicar el phishing, principalmente
se plantea que hay que hacer “aware-
ness y educar al cliente”.
Los clientes han
aprendido a tomar
decisiones vinculadas a
su patrimonio o datos
sensibles en cuestión
de segundos.
Para ello se lanzan campañas en los si-
tios de los bancos, por email y ahora inclu-
so radio y TV.
Los clientes han aprendido a tomar
decisiones vinculadas a su patrimonio o
datos sensibles en cuestión de segundos;
y estas acciones se ejecutan desde panta-
llas cada vez más pequeñas y en entornos
que favorecen la distracción y el multitas-
king. Se produce una gran contradicción
entre los entornos que se le proponen a
los usuarios de servicios y la necesidad de
hacer una pausa y prestar atención.
6.2 Factor técnico
El desafío tecnológico es más simple de
entender, ya que la correcta aplicación del
protocolo DMARC puede resultar abruma-
dor para los profesionales de seguridad.
Sin contar con la tecnología apropiada,
esta tarea involucraría a varios recursos del
equipo de trabajo y por consiguiente quita-
ría el foco de atención a otros temas del día
a día.
Lograr aplicar DMARC con éxito implica
conocer en detalle todas las fuentes de
correo electrónico legítimas. En una gran
empresa esto se traduce a: Servidores
propios de correo, servidores externos de
correo, servidores utilizados en los canales
electrónicos (tienda online, sitio web, apli-
caciones móviles, etc.), servidores contra-
tados por las sucursales del interior, servi-
dores de la plataforma de email marketing
contratada y así la lista continúa.
El trabajo de investigación deber ser
preciso, porque si quedara afuera algún
REPORTE SEGURIDAD DE DOMINIO05
7. remitente, todas sus comunicaciones
comenzarían a rebotar de forma masiva.
Semejante complicación puede ser difícil de
administrar si no se detecta a tiempo. In-
cluso, aún si se hubieran identificado todas
las fuentes legítimas de correo, el problema
puede surgir a futuro al agregarse nuevos
servidores. Sin un monitoreo permanente
no puede existir una política de rechazo y
por consiguiente un dominio seguro.
Por fortuna, son muchas las compañías
que aplican DMARC. Lo hacen de la mano
de plataformas que, tan solo con incluir
un registro en sus DNS, recaban auto-
máticamente los datos de todos aquellos
servidores que envían emails en nuestro
nombre. Tanto legítimos como fraudu-
lentos. La información recopilada permite
cerrar el dominio a estos intrusos con solo
unos cuantos clics.
Pasando luego a quedar monitoreando
activamente el dominio.
Gracias a la tecnología, adoptar
DMARC sin complicaciones es posible
para muchas empresas.
Gracias a la tecnología, adoptar DMARC sin complicaciones
es posible para muchas empresas.
REPORTE SEGURIDAD DE DOMINIO7
7 CONCLUSIÓN
Según los datos recabados en nuestro
relevamiento de seguridad de dominio del
sistema financiero, hay varios aspectos que
creemos céntrales para destacar.
Si bien el protocolo de seguridad más
novedoso es el DMARC, encontramos que,
el 17% de los bancos y el 40% en las
Fintech, es decir, los que se encuentran
entre los rangos 0 y 1, solo trabajan con
protocolo SPF, el cual es insuficiente.
Incluso el mismo, está en muchos casos
configurado de forma errónea para poder
desarrollar algún tipo de acción. Por lo
tanto, no aporta valor en el grado de segu-
ridad del dominio de dicha institución.
El 73% de los Bancos y 60% de las
Fintech, representados por los valores 2
y 3, solo muestran tener una política de
SPF y/o DMARC, entendiendo que los que
tienen activo el último protocolo, lo tienen
hecho de una forma donde el mismo, no
actúa sobre la posibilidad de intento de
suplantación de identidad de dominio.
Por último, aquellos con un puntaje de 4,
el 7% de los Bancos, han desarrollado
una política de DMARC de cuarentena,
sin rechazar definitivamente la comunica-
ción recibida y, por lo tanto, sigue mostran-
do riesgo de que el correo portador de la
estrategia de estafa llegue a la casilla del
usuario.
El estudio concluye que solo 3% de los
Bancos funcionan con una política de
SPF y DMARC sólidas de rechazo, que
Solo 3% de los Bancos
funcionan con una
política de SPF y DMARC
sólidas de rechazo, que
dejan fuera de lugar
cualquier posibilidad de
phishing con sus dominios
legítimos.
REPORTE SEGURIDAD DE DOMINIO06
8. dejan fuera de lugar cualquier posibilidad
de phishing con sus dominios legítimos. Es
decir que, el correo nunca alcanza la casilla
del usuario, ni siquiera la de spam.
En el caso de las llamadas Fintech, como
hemos observado, ninguna institución
está trabajando correctamente con po-
líticas de rechazo definitivas al intento
de suplantación de identidad. En estos
casos, creemos que estas políticas son de
vital importancia para estas empresas,
porque son ellas mismas las que alientan y
proveen un servicio remoto. El contacto se
da fundamentalmente a través de canales
digitales, siendo el correo electrónico la vía
de comunicaciones personal más utilizada.
En los dos sectores analizados, podemos
concluir que:
Los equipos de seguridad informática de
las instituciones financieras no ven en su
totalidad, los beneficios reales de trabajar
con protocolos que puedan dejan sin efec-
to, de forma definitiva, cualquier intento de
estafa mediante el uso de los dominios de
las empresas analizadas.
Entendiendo que el phishing por correo
electrónico es la segunda estrategia más
usada por los estafadores, creemos que se
produce una contradicción entre las cam-
pañas de educación y la tecnología que se
podrían usar para proteger activamente y
de raíz al cliente del banco.
En base a los resultados descriptos más
arriba, entendemos que para los equipos
de seguridad no es prioritaria la apli-
Entendemos que para los
equipos de seguridad no es
prioritaria la aplicación de
protocolos de seguridad en
sus dominios.
De esta forma, la carga en
el combate concreto contra
el phishing queda del lado
de la información que pueda
recordar o reconocer el
cliente, generando así, una
desigualdad muy grande
entre las capacidades de
aquellos que pretenden
cometer estafas masivas y
sus posibles víctimas.
cación de protocolos de seguridad en sus
dominios.
De esta forma, la carga en el combate
concreto contra el phishing queda del lado
de la información que pueda recordar o
reconocer el cliente, generando así, una
desigualdad muy grande entre las capaci-
dades de aquellos que pretenden cometer
estafas masivas y sus posibles víctimas.
REPORTE SEGURIDAD DE DOMINIO07
9. S E N D M A R C
REPORTE DE SEGURIDAD DE DOMINIO
SECTOR FINANCIERO ARGENTINO
04/2020
ariel@cloudmarketing.com.ar
+54 11 5199 3396
+54 9 11 5561 9739
www.cloudmarketing.com.ar
Informe realizado por Ariel Glazer y
Guido Luciani con la herramienta de
evaluación de dominio de SENDMARC
ARGENTINA
www.sendmarc.com.ar
CONTACTO COMERCIAL