SlideShare una empresa de Scribd logo

Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021

Guido Luciani
Guido Luciani

Reporte anual de exposición del sistema financiero argentino segunda edición. Foco en ciberseguridad y prevención de suplantación de identidad. Publicado por Sendmarc.

Tecnología
1 de 8
Descargar para leer sin conexión
TABLA DE CONTENIDOS Introducción 02 Contexto 02 ¿Qué és DMARC? 03 Metodología de Análisis 03 Análisis de Bancos (BCRA): 2020 vs 2021 04 Conclusión 05 1 2 3 4 5 6 S E N D M A R C
Seguimiento 1 INTRODUCCIÓN El año pasado y lo que llevamos de este 2021, hemos seleccionado algunas indus- trias claves para hacer seguimiento en lo que se refiere a la seguridad de sus comunicaciones, en particular, la aplicación de los protocolos DKIM, SPF y DMARC. Teniendo en cuenta, sobre todo, el protocolo DMARC, que es el que permite aplicar políti- cas de rechazo a todos aquellos correos pro- veniente de fuentes no autorizadas (ataques de suplantación, SPAM, etc). 2 CONTEXTO REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 02 Los datos de análisis, los hemos recolec- tado con una herramienta de prospección propia. Dicha información pública, obteni- da de la zona DNS de cada compañía, nos permite trazar un puntaje de seguridad para cada dominio analizado. Si bien nuestro interés ha sido despertado por trabajar en la industria comercializando una herramienta para optimizar el uso de estos protocolos, hemos comprendido que es fundamental difundir información que ayude a la aplicación de “buenas prácticas” a la hora de trabajar con estos protocolos, ya que la información que hemos recopilado y que vamos a compartir en este breve in- forme, nos indica que hay mucho camino por recorrer para poder hacer del sector finan- ciero Argentino en particular, y de LATAM en lo general, de espacios más se- guros en lo que respecta a la utilización del correo electrónico como una herramienta válida y segura de comunicación. Hemos analizado 71 empresas del sector financiero, autorizadas para operar por el Banco Central de la República Argentina (BCRA). Establecimos un puntaje de 0 a 5 puntos, para estandarizar los resultados de seguridad alcanzados por estas compañías. Esto nos permite conocer su estado de situación, en lo referido a nuestro tema de trabajo, que indica si los dominios utiliza- dos por las entidades son seguros o no. Cuando nos referimos a que un domi- nio es vulnerable, es decir que su puntaje da 3 o menos, estamos planteando que puede ser utilizado por cualquier persona en cualquier parte del mundo con cierta facilidad, para enviar mensajes en nombre de las compañías sin haber sido autorizados por las mismas y, por lo tanto, ser utilizados con fines de phishing y/o SPAM. Puntaje establecido para estandarizar los resultados 0 1 2 3 4 5 seguridad + - PROTOCOLO DMARC: Permite aplicar políticas de rechazo a los correos provenientes de fuentes no autorizadas.
3 ¿QUÉ ÉS DMARC? DMARC (Domain based Message Authen- tication Reporting and Conformance), es un protocolo revolucionario que ha cobrado rele- vancia en los últimos años, ya que nos permite dictar políticas de acción ante comunicaciones no autorizadas. Cuando se aplica DMARC correctamente, en conjunto con los protocolos SPF y DKIM, se lo- gra el blindaje global de los dominios. Asimis- mo, obtenemos visibilidad total de las comuni- caciones y facilitamos el control del tráfico y su cumplimiento. En el siguiente gráfico podemos observar su funcionamiento: DMARC es un protocolo revolucionario que permite dictar políticas de acción ante comunicaciones no autorizadas y logra el blindaje global de los dominios. REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 03 Servidor remitente Servidor de destino Busca DNS Aplica política DMARC Pass Quarantine Block Consulta DKIM Consulta SPF Cuando las reglas están bien configuradas, se aplican las políticas del protocolo DMARC y cualquier intento de suplantar el dominio cor- porativo se traducirá en un rechazo de la comunicación por el servidor de destino. El correo electrónico rebota. 4 METODOLOGÍA DE ANÁLISIS Se ha confeccionado una escala numérica entre 0 y 5 para calificar la seguridad de los dominios. Donde 0 es nada seguro y 5 es to- talmente seguro. Para medir el riesgo y la vulnerabilidad, se analizan los registros DNS en busca de los protocolos mencionados en el punto anterior. De acuerdo con los hallazgos se puede deter- minar dentro de qué valor de nuestra escala de referencia se encuentra. A continuación, se referencia en líneas generales a qué equivale cada puntaje:
f 5 ANÁLISIS DE BANCOS (BCRA) 2020 vs 2021 No existe una política SPF o la misma tiene errores Hay política SPF tipo neutral, se interpreta como si no hubiera una. Hay política SPF Hay política SPF. Hay política DMARC tipo none, se interpreta como si no hubiera una. Hay política SPF. Hay política DMARC tipo quarentine. Puede o no incluir subdominios. Hay política SPF. Hay política DMARC tipo reject 0 2 3 4 5 Consideramos como seguro solo si se cali- fica con 5. Es decir que se aplica una política de rechazo ante intentos de phishing. No podemos incluir aquellos que califican con 4 ya que, con la política de cuarentena, el co- rreo termina siendo entregado al destinatario, más allá de que lo haga a la bandeja de correo no deseado. El bloqueo total de la comunicación sospe- chosa es la única vía para erradicar de forma definitiva al Phishing. REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 04 Como mencionamos, tomamos una muestra de 71 entidades financieras autorizadas por el BCRA. Se ha analizado el avance en la aplicación de los protocolos de seguridad de dominio en cada una de ellas. En la figura 2 podemos observar la evolución entre el análisis 2020 y 2021. AÑO 2020 AÑO 2021 Figura 2: Resultado del análisis Banco PUNTAJE 0 PUNTAJE 1 PUNTAJE 2 PUNTAJE 3 PUNTAJE 4 PUNTAJE 5 ESTADO DEL AÑO 2021 RESPECTO AL AÑO 2020 IGUALÓ MEJORÓ MEJORÓ MEJORÓ IGUALÓ MEJORÓ 40 30 20 10 0 0 1 2 3 4 5 puntaje casos
f 6 CONCLUSIÓN REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 05 En la figura 3 comprobamos que se pasó de solo el 3% de los Bancos Argentinos con protección total a un 8%. El 92% restante no tiene una política de rechazo ante la suplantación de su identidad. AÑO 2020 AÑO 2021 Figura3: Proporción de dominios seguros vs inseguros en Bancos 2020 - 2021 Observamos que solo unos pocos han al- canzado la protección total de sus dominios y comparativamente con el año pasado, incluso tomando aquellos que mejoraron su puntaje, pocos alcanzaron el blindaje completo. Vemos que sigue siendo muy minoritaria la cantidad de bancos 100% protegidos, mien- tras que la mayoría de las entidades del sistema financiero argentino siguen estando desprotegidas. Entre los motivos que explican esta situación, según nuestra experiencia creemos que: • No se cuenta con una infraestructura que pueda administrar de manera eficiente los pro- tocolos SPF, DKIM y DMARC de los dominios. • Hay falta de conocimiento sobre las bonda- des que implica tener los dominios protegidos con estos protocolos. • Hay un pensamiento equivoco sobre el al- cance de protección que pueden brindar servi- cios como Office 365, Gsuite u otros servicios SaaS popularmente utilizados. • Se advierten errores de sintaxis en la codifi- cación de los protocolos desde la zona DNS de los dominios de las empresas que generan la falsa idea de estar protegidos. • Sobrecarga de tareas en los equipos de seguridad informática de las empresas que impide poner el foco en este tipo de inconve- nientes. • Enfoque parcial sobre los alcances en el perímetro de seguridad que pueden tener las empresas para proteger a sus clientes. Pocos Bancos han alcanzado la protección total de sus dominios. 97% 3% 3 18.6% 4 7.2% 0 16.5% 1 1% 2 56.7% 92% 8% 3 25% 4 7.6% 0 17.4% 2 50% Solo el 8% de los Bancos Argentinos tienen protección total 5: seguro vulnerable 0 1 2 3 4 0 1 2 3 4 5: seguro vulnerable
Combinar el protocolo DMARC con tecnología relevante para su administración, podría cambiar radicalmente la situación de peligro en la que se pueden ver los usuarios de servicios financieros en el país. REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 06 MOTIVOS DE LA FALTA DE PROTECCIÓN • Falta de infraestructura para administrar los protocolos eficientemente. • Falta de conocimiento sobre los benefi- cios de tener los dominios protegidos. • Hay un pensamiento equivoco sobre el alcance de protección que pueden brindar servicios como Office 365, Gsuite u otros servicios SaaS popularmente utilizados. • Errores de sintaxis en la codificación de los protocolos desde la zona DNS de los dominios de las empresas que generan la falsa idea de estar protegidos. • Sobrecarga de tareas en los equipos de seguridad informática de las empresas. • Enfoque parcial sobre los alcances en el perímetro de seguridad que pueden tener las empresas para proteger a sus clientes. •Falta de versatilidad para poder imponer en la agenda de seguridad, nuevas prioridades y amenazas. • Falta de versatilidad para poder imponer en la agenda de seguridad, nuevas prioridades y amenazas. En países donde la penetración tecnológica es mayor, vemos que ya se ha generalizado el uso del protocolo DMARC. Incluso nos encon- tramos con países donde se está promoviendo de forma activa, instando a entes estatales a contar con sus dominios blindados. También las empresas que lo adoptan es- tán requiriendo de sus proveedores actuales y futuros, la implementación del protocolo DMARC, para poder generar un círculo de con- fianza entre las comunicaciones dentro de sus ecosistemas. Lo que nos interesa resaltar es que, todo este conjunto de situaciones, donde se conjugan visiones de trabajo, prioridades y el uso de tecnología adecuada, hacen que sea extre- madamente fácil para los atacantes, utilizar dominios legítimos de las empresas u organi- zaciones, para atacar a sus propios clientes. El protocolo DMARC tiene un poder enorme para revertir esta situación, ya que, muchos de los ataques que se producen, utilizan al correo electrónico como principal puerta de entrada a la hora de perpetrarse. Combinar este protocolo con tecnología rele- vante para su administración, podría cambiar radicalmente la situación de peligro en la que se pueden ver los usuarios de servicios finan- cieros en el país. Creemos firmemente que es solo cuestión de tiempo para que la adopción de este estándar sea total tanto en Argentina como en la región. Para hacer de internet un lugar más seguro.
ariel@cloudmarketing.com.ar +54 11 5199 3396 +54 9 11 5561 9739 www.cloudmarketing.com.ar Informe realizado por Ariel Glazer y Guido Luciani con la herramienta de evaluación de dominio de SENDMARC ARGENTINA www.sendmarc.com.ar CONTACTO COMERCIAL

Recomendados

Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
Itconic
 
Reporte de seguridad de dominio - sector financiero Argentino 042020
Reporte de seguridad de dominio - sector financiero Argentino 042020Reporte de seguridad de dominio - sector financiero Argentino 042020
Reporte de seguridad de dominio - sector financiero Argentino 042020
Guido Luciani
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nube
oerazo6808
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
Sena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
Sena Cedagro
 
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Steven San Martin
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
Luis Contreras Velásquez
 
Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercado
CSA Argentina
 

Recomendados

Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
Itconic
 
Reporte de seguridad de dominio - sector financiero Argentino 042020
Reporte de seguridad de dominio - sector financiero Argentino 042020Reporte de seguridad de dominio - sector financiero Argentino 042020
Reporte de seguridad de dominio - sector financiero Argentino 042020
Guido Luciani
 
Ensayo seguridad en la nube
Ensayo seguridad en la nubeEnsayo seguridad en la nube
Ensayo seguridad en la nube
oerazo6808
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
Sena Cedagro
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
Sena Cedagro
 
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Proyecto Final- Comparativa de proveedores de servicio Cloud Computing para e...
Steven San Martin
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
Luis Contreras Velásquez
 
Csa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercadoCsa summit cloud security. tendencias de mercado
Csa summit cloud security. tendencias de mercado
CSA Argentina
 
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
David Eliseo Martinez Castellanos
 
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges SpanishAnti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
drishtipuro1234
 
Empresa de auditoria en Bogotá
Empresa de auditoria en BogotáEmpresa de auditoria en Bogotá
Empresa de auditoria en Bogotá
indeson12
 
Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casa
Manuel Santander
 
Redes y seguridad Evidencias 1
Redes y seguridad Evidencias 1Redes y seguridad Evidencias 1
Redes y seguridad Evidencias 1
Carlos Andres Perez Cabrales
 
Lectura 4.2 siem fabricantes
Lectura 4.2 siem fabricantesLectura 4.2 siem fabricantes
Lectura 4.2 siem fabricantes
Sterling D
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informatica
Maestros en Linea MX
 
Evidencia 1
Evidencia 1Evidencia 1
Evidencia 1
Henry Gómez
 
redes y seguridad semana 1
redes y seguridad semana 1 redes y seguridad semana 1
redes y seguridad semana 1
Carlos Andrés Pérez Cabrales
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secure
Juan Carlos Carrillo
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
Fabián Descalzo
 
04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad
Cindy Barrera
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Cristian Garcia G.
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Cristian Garcia G.
 
Los mitos del software en las nubes (Cloud)
Los mitos del software en las nubes (Cloud)Los mitos del software en las nubes (Cloud)
Los mitos del software en las nubes (Cloud)Romina Moncalvi
 
Actividad 1 crs 1-deibis amaya pinedo
Actividad 1 crs 1-deibis amaya pinedoActividad 1 crs 1-deibis amaya pinedo
Actividad 1 crs 1-deibis amaya pinedoFarés David
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Marcelo Herrera
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Alfredo Carrascal
 
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crmLectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Centro Cultural Hanan Al-Mutawa
 
Foro kodak
Foro kodakForo kodak
Foro kodak
Mao Sierra
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 

Más contenido relacionado

Similar a Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021

CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
David Eliseo Martinez Castellanos
 
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges SpanishAnti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
drishtipuro1234
 
Empresa de auditoria en Bogotá
Empresa de auditoria en BogotáEmpresa de auditoria en Bogotá
Empresa de auditoria en Bogotá
indeson12
 
Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casa
Manuel Santander
 
Redes y seguridad Evidencias 1
Redes y seguridad Evidencias 1Redes y seguridad Evidencias 1
Redes y seguridad Evidencias 1
Carlos Andres Perez Cabrales
 
Lectura 4.2 siem fabricantes
Lectura 4.2 siem fabricantesLectura 4.2 siem fabricantes
Lectura 4.2 siem fabricantes
Sterling D
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informatica
Maestros en Linea MX
 
Evidencia 1
Evidencia 1Evidencia 1
Evidencia 1
Henry Gómez
 
redes y seguridad semana 1
redes y seguridad semana 1 redes y seguridad semana 1
redes y seguridad semana 1
Carlos Andrés Pérez Cabrales
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secure
Juan Carlos Carrillo
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
Fabián Descalzo
 
04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad
Cindy Barrera
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Cristian Garcia G.
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Cristian Garcia G.
 
Los mitos del software en las nubes (Cloud)
Los mitos del software en las nubes (Cloud)Los mitos del software en las nubes (Cloud)
Los mitos del software en las nubes (Cloud)Romina Moncalvi
 
Actividad 1 crs 1-deibis amaya pinedo
Actividad 1 crs 1-deibis amaya pinedoActividad 1 crs 1-deibis amaya pinedo
Actividad 1 crs 1-deibis amaya pinedoFarés David
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Marcelo Herrera
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Alfredo Carrascal
 
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crmLectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Centro Cultural Hanan Al-Mutawa
 
Foro kodak
Foro kodakForo kodak
Foro kodak
Mao Sierra
 

Similar a Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021 (20)

CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
 
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges SpanishAnti Money Laundering AML Market Dynamics Technology Challenges Spanish
Anti Money Laundering AML Market Dynamics Technology Challenges Spanish
 
Empresa de auditoria en Bogotá
Empresa de auditoria en BogotáEmpresa de auditoria en Bogotá
Empresa de auditoria en Bogotá
 
Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casa
 
Redes y seguridad Evidencias 1
Redes y seguridad Evidencias 1Redes y seguridad Evidencias 1
Redes y seguridad Evidencias 1
 
Lectura 4.2 siem fabricantes
Lectura 4.2 siem fabricantesLectura 4.2 siem fabricantes
Lectura 4.2 siem fabricantes
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informatica
 
Evidencia 1
Evidencia 1Evidencia 1
Evidencia 1
 
redes y seguridad semana 1
redes y seguridad semana 1 redes y seguridad semana 1
redes y seguridad semana 1
 
Privacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b securePrivacloudacy or risecurityk for b secure
Privacloudacy or risecurityk for b secure
 
REVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubesREVISTA CISALUD La salud por las nubes
REVISTA CISALUD La salud por las nubes
 
04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad04 capitulo3-politicas de seguridad
04 capitulo3-politicas de seguridad
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
Los mitos del software en las nubes (Cloud)
Los mitos del software en las nubes (Cloud)Los mitos del software en las nubes (Cloud)
Los mitos del software en las nubes (Cloud)
 
Actividad 1 crs 1-deibis amaya pinedo
Actividad 1 crs 1-deibis amaya pinedoActividad 1 crs 1-deibis amaya pinedo
Actividad 1 crs 1-deibis amaya pinedo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
 
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crmLectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
Lectur de apoyo 2 5 tecnologías que definen el crecimiento del sistema de crm
 
Foro kodak
Foro kodakForo kodak
Foro kodak
 

Último

TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
AlejandraCasallas7
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
Leidyfuentes19
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
jjfch3110
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
raquelariza02
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 

Último (20)

TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 
Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.Desarrollo de Habilidades de Pensamiento.
Desarrollo de Habilidades de Pensamiento.
 
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptxleidy fuentes - power point -expocccion -unidad 4 (1).pptx
leidy fuentes - power point -expocccion -unidad 4 (1).pptx
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
proyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmusproyecto invernadero desde el departamento de tecnología para Erasmus
proyecto invernadero desde el departamento de tecnología para Erasmus
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 

Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021

  • 1.
  • 2. TABLA DE CONTENIDOS Introducción 02 Contexto 02 ¿Qué és DMARC? 03 Metodología de Análisis 03 Análisis de Bancos (BCRA): 2020 vs 2021 04 Conclusión 05 1 2 3 4 5 6 S E N D M A R C
  • 3. Seguimiento 1 INTRODUCCIÓN El año pasado y lo que llevamos de este 2021, hemos seleccionado algunas indus- trias claves para hacer seguimiento en lo que se refiere a la seguridad de sus comunicaciones, en particular, la aplicación de los protocolos DKIM, SPF y DMARC. Teniendo en cuenta, sobre todo, el protocolo DMARC, que es el que permite aplicar políti- cas de rechazo a todos aquellos correos pro- veniente de fuentes no autorizadas (ataques de suplantación, SPAM, etc). 2 CONTEXTO REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 02 Los datos de análisis, los hemos recolec- tado con una herramienta de prospección propia. Dicha información pública, obteni- da de la zona DNS de cada compañía, nos permite trazar un puntaje de seguridad para cada dominio analizado. Si bien nuestro interés ha sido despertado por trabajar en la industria comercializando una herramienta para optimizar el uso de estos protocolos, hemos comprendido que es fundamental difundir información que ayude a la aplicación de “buenas prácticas” a la hora de trabajar con estos protocolos, ya que la información que hemos recopilado y que vamos a compartir en este breve in- forme, nos indica que hay mucho camino por recorrer para poder hacer del sector finan- ciero Argentino en particular, y de LATAM en lo general, de espacios más se- guros en lo que respecta a la utilización del correo electrónico como una herramienta válida y segura de comunicación. Hemos analizado 71 empresas del sector financiero, autorizadas para operar por el Banco Central de la República Argentina (BCRA). Establecimos un puntaje de 0 a 5 puntos, para estandarizar los resultados de seguridad alcanzados por estas compañías. Esto nos permite conocer su estado de situación, en lo referido a nuestro tema de trabajo, que indica si los dominios utiliza- dos por las entidades son seguros o no. Cuando nos referimos a que un domi- nio es vulnerable, es decir que su puntaje da 3 o menos, estamos planteando que puede ser utilizado por cualquier persona en cualquier parte del mundo con cierta facilidad, para enviar mensajes en nombre de las compañías sin haber sido autorizados por las mismas y, por lo tanto, ser utilizados con fines de phishing y/o SPAM. Puntaje establecido para estandarizar los resultados 0 1 2 3 4 5 seguridad + - PROTOCOLO DMARC: Permite aplicar políticas de rechazo a los correos provenientes de fuentes no autorizadas.
  • 4. 3 ¿QUÉ ÉS DMARC? DMARC (Domain based Message Authen- tication Reporting and Conformance), es un protocolo revolucionario que ha cobrado rele- vancia en los últimos años, ya que nos permite dictar políticas de acción ante comunicaciones no autorizadas. Cuando se aplica DMARC correctamente, en conjunto con los protocolos SPF y DKIM, se lo- gra el blindaje global de los dominios. Asimis- mo, obtenemos visibilidad total de las comuni- caciones y facilitamos el control del tráfico y su cumplimiento. En el siguiente gráfico podemos observar su funcionamiento: DMARC es un protocolo revolucionario que permite dictar políticas de acción ante comunicaciones no autorizadas y logra el blindaje global de los dominios. REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 03 Servidor remitente Servidor de destino Busca DNS Aplica política DMARC Pass Quarantine Block Consulta DKIM Consulta SPF Cuando las reglas están bien configuradas, se aplican las políticas del protocolo DMARC y cualquier intento de suplantar el dominio cor- porativo se traducirá en un rechazo de la comunicación por el servidor de destino. El correo electrónico rebota. 4 METODOLOGÍA DE ANÁLISIS Se ha confeccionado una escala numérica entre 0 y 5 para calificar la seguridad de los dominios. Donde 0 es nada seguro y 5 es to- talmente seguro. Para medir el riesgo y la vulnerabilidad, se analizan los registros DNS en busca de los protocolos mencionados en el punto anterior. De acuerdo con los hallazgos se puede deter- minar dentro de qué valor de nuestra escala de referencia se encuentra. A continuación, se referencia en líneas generales a qué equivale cada puntaje:
  • 5. f 5 ANÁLISIS DE BANCOS (BCRA) 2020 vs 2021 No existe una política SPF o la misma tiene errores Hay política SPF tipo neutral, se interpreta como si no hubiera una. Hay política SPF Hay política SPF. Hay política DMARC tipo none, se interpreta como si no hubiera una. Hay política SPF. Hay política DMARC tipo quarentine. Puede o no incluir subdominios. Hay política SPF. Hay política DMARC tipo reject 0 2 3 4 5 Consideramos como seguro solo si se cali- fica con 5. Es decir que se aplica una política de rechazo ante intentos de phishing. No podemos incluir aquellos que califican con 4 ya que, con la política de cuarentena, el co- rreo termina siendo entregado al destinatario, más allá de que lo haga a la bandeja de correo no deseado. El bloqueo total de la comunicación sospe- chosa es la única vía para erradicar de forma definitiva al Phishing. REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 04 Como mencionamos, tomamos una muestra de 71 entidades financieras autorizadas por el BCRA. Se ha analizado el avance en la aplicación de los protocolos de seguridad de dominio en cada una de ellas. En la figura 2 podemos observar la evolución entre el análisis 2020 y 2021. AÑO 2020 AÑO 2021 Figura 2: Resultado del análisis Banco PUNTAJE 0 PUNTAJE 1 PUNTAJE 2 PUNTAJE 3 PUNTAJE 4 PUNTAJE 5 ESTADO DEL AÑO 2021 RESPECTO AL AÑO 2020 IGUALÓ MEJORÓ MEJORÓ MEJORÓ IGUALÓ MEJORÓ 40 30 20 10 0 0 1 2 3 4 5 puntaje casos
  • 6. f 6 CONCLUSIÓN REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 05 En la figura 3 comprobamos que se pasó de solo el 3% de los Bancos Argentinos con protección total a un 8%. El 92% restante no tiene una política de rechazo ante la suplantación de su identidad. AÑO 2020 AÑO 2021 Figura3: Proporción de dominios seguros vs inseguros en Bancos 2020 - 2021 Observamos que solo unos pocos han al- canzado la protección total de sus dominios y comparativamente con el año pasado, incluso tomando aquellos que mejoraron su puntaje, pocos alcanzaron el blindaje completo. Vemos que sigue siendo muy minoritaria la cantidad de bancos 100% protegidos, mien- tras que la mayoría de las entidades del sistema financiero argentino siguen estando desprotegidas. Entre los motivos que explican esta situación, según nuestra experiencia creemos que: • No se cuenta con una infraestructura que pueda administrar de manera eficiente los pro- tocolos SPF, DKIM y DMARC de los dominios. • Hay falta de conocimiento sobre las bonda- des que implica tener los dominios protegidos con estos protocolos. • Hay un pensamiento equivoco sobre el al- cance de protección que pueden brindar servi- cios como Office 365, Gsuite u otros servicios SaaS popularmente utilizados. • Se advierten errores de sintaxis en la codifi- cación de los protocolos desde la zona DNS de los dominios de las empresas que generan la falsa idea de estar protegidos. • Sobrecarga de tareas en los equipos de seguridad informática de las empresas que impide poner el foco en este tipo de inconve- nientes. • Enfoque parcial sobre los alcances en el perímetro de seguridad que pueden tener las empresas para proteger a sus clientes. Pocos Bancos han alcanzado la protección total de sus dominios. 97% 3% 3 18.6% 4 7.2% 0 16.5% 1 1% 2 56.7% 92% 8% 3 25% 4 7.6% 0 17.4% 2 50% Solo el 8% de los Bancos Argentinos tienen protección total 5: seguro vulnerable 0 1 2 3 4 0 1 2 3 4 5: seguro vulnerable
  • 7. Combinar el protocolo DMARC con tecnología relevante para su administración, podría cambiar radicalmente la situación de peligro en la que se pueden ver los usuarios de servicios financieros en el país. REPORTE ANUAL DE IMPLEMENTACIÓN DMARC 06 MOTIVOS DE LA FALTA DE PROTECCIÓN • Falta de infraestructura para administrar los protocolos eficientemente. • Falta de conocimiento sobre los benefi- cios de tener los dominios protegidos. • Hay un pensamiento equivoco sobre el alcance de protección que pueden brindar servicios como Office 365, Gsuite u otros servicios SaaS popularmente utilizados. • Errores de sintaxis en la codificación de los protocolos desde la zona DNS de los dominios de las empresas que generan la falsa idea de estar protegidos. • Sobrecarga de tareas en los equipos de seguridad informática de las empresas. • Enfoque parcial sobre los alcances en el perímetro de seguridad que pueden tener las empresas para proteger a sus clientes. •Falta de versatilidad para poder imponer en la agenda de seguridad, nuevas prioridades y amenazas. • Falta de versatilidad para poder imponer en la agenda de seguridad, nuevas prioridades y amenazas. En países donde la penetración tecnológica es mayor, vemos que ya se ha generalizado el uso del protocolo DMARC. Incluso nos encon- tramos con países donde se está promoviendo de forma activa, instando a entes estatales a contar con sus dominios blindados. También las empresas que lo adoptan es- tán requiriendo de sus proveedores actuales y futuros, la implementación del protocolo DMARC, para poder generar un círculo de con- fianza entre las comunicaciones dentro de sus ecosistemas. Lo que nos interesa resaltar es que, todo este conjunto de situaciones, donde se conjugan visiones de trabajo, prioridades y el uso de tecnología adecuada, hacen que sea extre- madamente fácil para los atacantes, utilizar dominios legítimos de las empresas u organi- zaciones, para atacar a sus propios clientes. El protocolo DMARC tiene un poder enorme para revertir esta situación, ya que, muchos de los ataques que se producen, utilizan al correo electrónico como principal puerta de entrada a la hora de perpetrarse. Combinar este protocolo con tecnología rele- vante para su administración, podría cambiar radicalmente la situación de peligro en la que se pueden ver los usuarios de servicios finan- cieros en el país. Creemos firmemente que es solo cuestión de tiempo para que la adopción de este estándar sea total tanto en Argentina como en la región. Para hacer de internet un lugar más seguro.
  • 8. ariel@cloudmarketing.com.ar +54 11 5199 3396 +54 9 11 5561 9739 www.cloudmarketing.com.ar Informe realizado por Ariel Glazer y Guido Luciani con la herramienta de evaluación de dominio de SENDMARC ARGENTINA www.sendmarc.com.ar CONTACTO COMERCIAL