Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021Guido Luciani
Reporte anual de exposición del sistema financiero argentino segunda edición. Foco en ciberseguridad y prevención de suplantación de identidad. Publicado por Sendmarc.
El año pasado será recordado como el año de la violación de la seguridad.
Los informes sobre ataques y violaciones que aparecieron en los titulares de todo el mundo son testigos de que muchas empresas aprendieran de primera mano el daño que una infracción de alto nivel puede infligir a una marca. De las varias lecciones aprendidas, la más grande puede ser que la seguridad tiene que estar como primera prioridad para cualquier negocio online - independientemente de su tamaño.
De hecho, las pequeñas empresas suelen ser las que más pierden puesto que normalmente carecen del personal dedicado a seguridad y de la experiencia de las grandes empresas. Si bien los ataques a las empresas más pequeñas no suelen aparecer en los titulares – pues no suelen ser detectados - el gran número de pequeños sitios de comercio electrónico que operan actualmente es demasiado tentador para que los hackers lo ignoren.
Reporte de seguridad de dominio Sendmarc - Bancos Argentinos 2021Guido Luciani
Reporte anual de exposición del sistema financiero argentino segunda edición. Foco en ciberseguridad y prevención de suplantación de identidad. Publicado por Sendmarc.
El año pasado será recordado como el año de la violación de la seguridad.
Los informes sobre ataques y violaciones que aparecieron en los titulares de todo el mundo son testigos de que muchas empresas aprendieran de primera mano el daño que una infracción de alto nivel puede infligir a una marca. De las varias lecciones aprendidas, la más grande puede ser que la seguridad tiene que estar como primera prioridad para cualquier negocio online - independientemente de su tamaño.
De hecho, las pequeñas empresas suelen ser las que más pierden puesto que normalmente carecen del personal dedicado a seguridad y de la experiencia de las grandes empresas. Si bien los ataques a las empresas más pequeñas no suelen aparecer en los titulares – pues no suelen ser detectados - el gran número de pequeños sitios de comercio electrónico que operan actualmente es demasiado tentador para que los hackers lo ignoren.
“La teoría de la producción sostiene que en un proceso productivo que se caracteriza por tener factores fijos (corto plazo), al aumentar el uso del factor variable, a partir de cierta tasa de producción
EL MERCADO LABORAL EN EL SEMESTRE EUROPEO. COMPARATIVA.ManfredNolte
Hoy repasaremos a uña de caballo otro reciente documento de la Comisión (SWD-2024) que lleva por título ‘Análisis de países sobre la convergencia social en línea con las características del Marco de Convergencia Social (SCF)’.
Antes de iniciar el contenido técnico de lo acontecido en materia tributaria estos últimos días de mayo; quisiera referirme a la importancia de una expresión tan sabia aplicable a tantas situaciones de la vida, y hoy, meritoria de considerar en el prefacio del presente análisis -
"no se extraña lo que nunca se ha tenido".
Con esta frase me quiero referir a las empresas que funcionan en las zonas de Iquique y Punta Arenas, acogidas a los beneficios de las zonas francas, y que, por ende, no pagan impuesto de primera categoría. En palabras técnicas estas empresas no mantienen saldos en sus registros SAC, y por ello, este nuevo Impuesto Sustitutivo, sin duda, es una tremenda y gran noticia.
Lo mismo se puede extender a las empresas que por haber aplicado beneficios de reinversión sumado a las ventajas transitorias de la menor tasa de primera categoría pagada; me refiero a las pymes en su mayoría. Han acumulado un monto de créditos menor en su registro SAC.
En estos casos, no es mucho lo que se tiene que perder.
Lo interesante, es que este ISRAI nace desde un pago efectivo de recursos, lo que exigirá a las empresas evaluar muy bien desde su posición financiera actual, y la planificación de esta, en un horizonte de corto plazo, considerar las alternativas que se disponen.
El 15 de mayo de 2024, el Congreso aprobó el proyecto de ley que “crea un Fondo de Emergencia Transitorio por incendios y establece otras medidas para la reconstrucción”, el cual se encuentra en las últimas etapas previo a su publicación y posterior entrada en vigencia.
Este proyecto tiene por objetivo establecer un marco institucional para organizar los esfuerzos públicos, con miras a solventar los gastos de reconstrucción y otras medidas de recuperación que se implementarán en la Región de Valparaíso a raíz de los incendios ocurridos en febrero de 2024.
Dentro del marco de “otras medidas de reconstrucción”, el proyecto crea un régimen opcional de impuesto sustitutivo de los impuestos finales (denominado también ISRAI), con distintas modalidades para sociedades bajo el régimen general de tributación (artículo 14 A de la ley sobre Impuesto a la Renta) y bajo el Régimen Pyme (artículo 14 D N° 3 de la ley sobre Impuesto a la Renta).
Para conocer detalles revisa nuestro artículo completo aquí BBSC® Impuesto Sustitutivo 2024.
Por Claudia Valdés Muñoz cvaldes@bbsc.cl +56981393599
2. TABLA DE CONTENIDOS
Introducción
¿Qué és la seguridad de dominio?
Metodología de análisis
Análisis de bancos (BCRA)
Análisis a Fintech
Problemática
1
2
3
4
5
6
Factor cultural. El lugar del cliente6.1
7
Factor técnico6.2
02
02
03
04
04
05
06Conclusión
3. Seguridad del dominio
1 INTRODUCCIÓN
Cuando presentamos nuestra solución de
seguridad de dominio a un potencial cliente,
lo primero que leerá en la propuesta es que
nuestra misión es: “Ayudar a las empresas
a protegerse a sí mismas, a sus clientes y a
su marca de ataques de phishing y suplan-
tación de identidad por correo electrónico”.
Creemos que una parte fundamental de
esta tarea es brindar visibilidad al problema
que estamos enfrentando.
La mayoría de las grandes empresas de
seguridad informática del mundo, se ocupan
de elaborar informes y estadísticas sobre
estas problemáticas. Entendemos que es un
valor fundamental contribuir al intercambio
de ideas y a la posibilidad de abrir debates
sobre estos temas y comprender el alcance
Ayudamos a las empresas
a protegerse a sí mismas,
a sus clientes y a su marca
de ataques de phishing y
suplantación de identidad
por correo electrónico.
de este problema en el ecosistema digital.
Por esta razón, hemos decidido conducir
nuestra propia investigación sobre la segu-
ridad de los dominios en Argentina. Toma-
mos como muestra un sector estrella para
todo tipo de ciberestafas, que es el finan-
ciero. Puntualmente analizamos Bancos
(tradicionales y digitales) y Fintech.
2 ¿QUÉ ES LA SEGURIDAD
DE DOMINIO?
Se refiere a contar con los protocolos nece-
sarios para impedir que un tercero suplante
la identidad de una empresa o marca. Para
las comunicaciones por correo electrónico
son 3: SPF, DKIM & DMARC.
Cuando las reglas están bien configuradas,
se aplican las políticas del protocolo DMARC
y cualquier intento de suplantar el domi-
nio corporativo se traducirá en un recha-
zo de la comunicación por el servidor de
destino.
El correo electrónico rebota.
Servidor
remitente
Servidor
de destino
Busca
DNS
Aplica política
DMARC
Pass
Quarantine
Consulta
DKIM
Consulta
SPF
REPORTE SEGURIDAD DE DOMINIO02
Reject
4. 3 METODOLOGÍA DE ANÁLISIS
Se ha confeccionado una escala numérica
entre 0 y 5 para calificar la seguridad de
los dominios. Donde 0 es nada seguro y 5
es totalmente seguro.
Para medir el riesgo y la vulnerabilidad, se
analizan los registros DNS en buscar de los
protocolos mencionados en el punto ante-
rior. De acuerdo con los hallazgos se puede
determinar dentro de qué valor de nuestra
escala de referencia se encuentra. A con-
tinuación, se explica sintéticamente a qué
equivale cada puntaje:
Consideramos como seguro solo si se
califica con 5. Es decir que se aplica una
política de rechazo ante intentos de phi-
shing con el dominio corporativo.
No podemos incluír aquellos que califican
con 4 ya que, con la política de cuarentena,
el correo termina siendo entregado al des-
tinatario, más allá de que lo haga a correo
no deseado.
El bloqueo total de la comunicación sos-
pechosa es la única vía para erradicar de
forma definitiva al Phishing.
El bloqueo total de
la comunicación
sospechosa es la única
vía para erradicar
de forma definitiva
al Phishing.
REPORTE SEGURIDAD DE DOMINIO03
5. 4 ANÁLISIS DE BANCOS (BCRA)
Se ha tomado una muestra de 71 entidades
financieras autorizadas por el BCRA. Se ha
analizado el dominio principal de cada una
de ellas. En la figura 2 podemos observar la
cantidad de casos para cada puntuación.
Figura 2: Resultado del análisis Bancos
En la figura 3 comprobamos que solo un 3%
de los Bancos Argentinos tiene protección
total. El 97% restante no tiene una política de
rechazo ante la suplantación
de su identidad.
Figura 3: Proporción de dominios seguros vs. inseguros en Bancos
5 ANÁLISIS A FINTECH
Para las denominadas Fintech, el grupo de
muestra son 20. En la República Argentina
hay más de 133 empresas de este tipo. To-
mamos aquellas que ocupan mayor porción
del mercado.
En la figura 4 se aprecia que los resultados
se concentran entre las escalas de 0 y 3
puntos.
Figura 4: Resultado del análisis Fintech
En la figura 5 observamos que la mayoría
de las empresas tienen una calificación de 2,
misma tendencia que vimos con los Bancos.
Lo llamativo es que un 30% de las Fintech
están totalmente desprotegidas.
Figura 5: Proporción de dominios inseguros en Fintech
Puntuación
Casos según puntuación Calificación de seguridad
Fintech
Calificación de seguridad
REPORTE SEGURIDAD DE DOMINIO04
6. 6 PROBLEMÁTICA
Vamos a dividir este punto en dos, ya que creemos que existen limitaciones tanto
culturales como técnicas a la hora de tener un dominio seguro.
6.1 Factor cultural. El lugar del cliente
Sabemos, no solo por estar estudiando
este tema, sino por el hecho de que tam-
bién somos clientes, que cuando se habla
de erradicar el phishing, principalmente
se plantea que hay que hacer “aware-
ness y educar al cliente”.
Los clientes han
aprendido a tomar
decisiones vinculadas a
su patrimonio o datos
sensibles en cuestión
de segundos.
Para ello se lanzan campañas en los si-
tios de los bancos, por email y ahora inclu-
so radio y TV.
Los clientes han aprendido a tomar
decisiones vinculadas a su patrimonio o
datos sensibles en cuestión de segundos;
y estas acciones se ejecutan desde panta-
llas cada vez más pequeñas y en entornos
que favorecen la distracción y el multitas-
king. Se produce una gran contradicción
entre los entornos que se le proponen a
los usuarios de servicios y la necesidad de
hacer una pausa y prestar atención.
6.2 Factor técnico
El desafío tecnológico es más simple de
entender, ya que la correcta aplicación del
protocolo DMARC puede resultar abruma-
dor para los profesionales de seguridad.
Sin contar con la tecnología apropiada,
esta tarea involucraría a varios recursos del
equipo de trabajo y por consiguiente quita-
ría el foco de atención a otros temas del día
a día.
Lograr aplicar DMARC con éxito implica
conocer en detalle todas las fuentes de
correo electrónico legítimas. En una gran
empresa esto se traduce a: Servidores
propios de correo, servidores externos de
correo, servidores utilizados en los canales
electrónicos (tienda online, sitio web, apli-
caciones móviles, etc.), servidores contra-
tados por las sucursales del interior, servi-
dores de la plataforma de email marketing
contratada y así la lista continúa.
El trabajo de investigación deber ser
preciso, porque si quedara afuera algún
REPORTE SEGURIDAD DE DOMINIO05
7. remitente, todas sus comunicaciones
comenzarían a rebotar de forma masiva.
Semejante complicación puede ser difícil de
administrar si no se detecta a tiempo. In-
cluso, aún si se hubieran identificado todas
las fuentes legítimas de correo, el problema
puede surgir a futuro al agregarse nuevos
servidores. Sin un monitoreo permanente
no puede existir una política de rechazo y
por consiguiente un dominio seguro.
Por fortuna, son muchas las compañías
que aplican DMARC. Lo hacen de la mano
de plataformas que, tan solo con incluir
un registro en sus DNS, recaban auto-
máticamente los datos de todos aquellos
servidores que envían emails en nuestro
nombre. Tanto legítimos como fraudu-
lentos. La información recopilada permite
cerrar el dominio a estos intrusos con solo
unos cuantos clics.
Pasando luego a quedar monitoreando
activamente el dominio.
Gracias a la tecnología, adoptar
DMARC sin complicaciones es posible
para muchas empresas.
Gracias a la tecnología, adoptar DMARC sin complicaciones
es posible para muchas empresas.
REPORTE SEGURIDAD DE DOMINIO7
7 CONCLUSIÓN
Según los datos recabados en nuestro
relevamiento de seguridad de dominio del
sistema financiero, hay varios aspectos que
creemos céntrales para destacar.
Si bien el protocolo de seguridad más
novedoso es el DMARC, encontramos que,
el 17% de los bancos y el 40% en las
Fintech, es decir, los que se encuentran
entre los rangos 0 y 1, solo trabajan con
protocolo SPF, el cual es insuficiente.
Incluso el mismo, está en muchos casos
configurado de forma errónea para poder
desarrollar algún tipo de acción. Por lo
tanto, no aporta valor en el grado de segu-
ridad del dominio de dicha institución.
El 73% de los Bancos y 60% de las
Fintech, representados por los valores 2
y 3, solo muestran tener una política de
SPF y/o DMARC, entendiendo que los que
tienen activo el último protocolo, lo tienen
hecho de una forma donde el mismo, no
actúa sobre la posibilidad de intento de
suplantación de identidad de dominio.
Por último, aquellos con un puntaje de 4,
el 7% de los Bancos, han desarrollado
una política de DMARC de cuarentena,
sin rechazar definitivamente la comunica-
ción recibida y, por lo tanto, sigue mostran-
do riesgo de que el correo portador de la
estrategia de estafa llegue a la casilla del
usuario.
El estudio concluye que solo 3% de los
Bancos funcionan con una política de
SPF y DMARC sólidas de rechazo, que
Solo 3% de los Bancos
funcionan con una
política de SPF y DMARC
sólidas de rechazo, que
dejan fuera de lugar
cualquier posibilidad de
phishing con sus dominios
legítimos.
REPORTE SEGURIDAD DE DOMINIO06
8. dejan fuera de lugar cualquier posibilidad
de phishing con sus dominios legítimos. Es
decir que, el correo nunca alcanza la casilla
del usuario, ni siquiera la de spam.
En el caso de las llamadas Fintech, como
hemos observado, ninguna institución
está trabajando correctamente con po-
líticas de rechazo definitivas al intento
de suplantación de identidad. En estos
casos, creemos que estas políticas son de
vital importancia para estas empresas,
porque son ellas mismas las que alientan y
proveen un servicio remoto. El contacto se
da fundamentalmente a través de canales
digitales, siendo el correo electrónico la vía
de comunicaciones personal más utilizada.
En los dos sectores analizados, podemos
concluir que:
Los equipos de seguridad informática de
las instituciones financieras no ven en su
totalidad, los beneficios reales de trabajar
con protocolos que puedan dejan sin efec-
to, de forma definitiva, cualquier intento de
estafa mediante el uso de los dominios de
las empresas analizadas.
Entendiendo que el phishing por correo
electrónico es la segunda estrategia más
usada por los estafadores, creemos que se
produce una contradicción entre las cam-
pañas de educación y la tecnología que se
podrían usar para proteger activamente y
de raíz al cliente del banco.
En base a los resultados descriptos más
arriba, entendemos que para los equipos
de seguridad no es prioritaria la apli-
Entendemos que para los
equipos de seguridad no es
prioritaria la aplicación de
protocolos de seguridad en
sus dominios.
De esta forma, la carga en
el combate concreto contra
el phishing queda del lado
de la información que pueda
recordar o reconocer el
cliente, generando así, una
desigualdad muy grande
entre las capacidades de
aquellos que pretenden
cometer estafas masivas y
sus posibles víctimas.
cación de protocolos de seguridad en sus
dominios.
De esta forma, la carga en el combate
concreto contra el phishing queda del lado
de la información que pueda recordar o
reconocer el cliente, generando así, una
desigualdad muy grande entre las capaci-
dades de aquellos que pretenden cometer
estafas masivas y sus posibles víctimas.
REPORTE SEGURIDAD DE DOMINIO07
9. S E N D M A R C
REPORTE DE SEGURIDAD DE DOMINIO
SECTOR FINANCIERO ARGENTINO
04/2020
ariel@cloudmarketing.com.ar
+54 11 5199 3396
+54 9 11 5561 9739
www.cloudmarketing.com.ar
Informe realizado por Ariel Glazer y
Guido Luciani con la herramienta de
evaluación de dominio de SENDMARC
ARGENTINA
www.sendmarc.com.ar
CONTACTO COMERCIAL