Internet es un gran recurso para encontrar información sobre una variedad de temas; sin embargo, es importante ser consciente de que no toda la información en Internet es exacta. Hay muchos mitos e información falsa en Internet sobre DMARC. Puede ser difícil saber qué es verdad y qué es mentira. Este artículo desmentirá algunos de los mitos sobre DMARC.

Error nº 1: DMARC es fácil de implantar 

Hemos implantado DMARC en numerosos espacios y conocemos los entresijos de este sistema. Así que permítanos decirle que no es algo que pueda manejar por su cuenta. Muchos sitios le dirán lo contrario. 

Le dirán que, para empezar, lo único que necesita es publicar un registro DMARC. Parece fácil. Después de todo, DMARC es una especificación pública que todo el mundo puede implementar sin coste alguno. Pero la verdad es que la seguridad del correo electrónico no es ninguna broma, y herramientas técnicas como DMARC requieren experiencia.

Cree una cuenta Skysnag para generar su registro DMARC.

Los informes DMARC son difíciles de analizar y correlacionar. Le sorprenderá descubrir que incluso los sistemas de correo electrónico individuales son complejos de manejar. Así que imagínese lo engorroso que será gestionar y supervisar el ecosistema de comunicación de una organización completa. No sólo agotará a los empleados, sino que le costará más si intenta abordarlo internamente.

Por lo tanto, se recomienda mantenerse alejado de los proyectos DIY DMARC, ya que no llegan a DMARC enforcement. Esto significa que aunque crea que ha aplicado correctamente DMARC, no le protege de ningún ataque de suplantación de identidad o phishing. Este es uno de los mitos más extendidos sobre DMARC.

Error nº 2. Un historial establecido es todo lo que necesita para la protección 

Sí, el establecimiento del registro DMARC ha ayudado a 5.000 millones de bandejas de entrada en todo el mundo a detectar ataques de correo electrónico. Así que podría pensar que estableciendo un registro DMARC también estará a salvo del spam.

Pero no. La cuestión es que limitarse a configurar un DMARC no sirve de nada. Es sólo el primer paso para mitigar el riesgo de ser atacado. Aunque la creación de un registro DMARC ayuda a los remitentes y receptores a detectar correos electrónicos falsos, no puede imponer nada por sí sola. Para ser plenamente eficaz, requiere tanto la presentación de informes como la aplicación de políticas. 

A menos que el registro cuente con políticas adecuadas, será inútil. Así que las organizaciones no sólo tienen que establecer registros, sino también configurarlos. Por ejemplo, tienen que decidir si ponen en cuarentena o rechazan el correo no solicitado. Establecer registros es excelente, pero hay que aplicarlos más a fondo para proteger en última instancia el entorno de envío de correo electrónico.

Por desgracia, muchas empresas no saben cómo hacerlo, y muchas organizaciones siguen teniendo configurada la política DMARC de p=none. Esta es la razón por la que solo el 34% de las organizaciones de renombre en EE.UU. están totalmente protegidas, ya que tienen implantada una política de p=reject. 

Error nº 3: SPF y DKIM son suficientes

Como la mayoría de los propietarios de correo electrónico no son gente de tecnología, no saben lo vital que es DMARC. Piensan que SPF y DKIM son suficientes para la protección. Pero a decir verdad, DMARC (Domain-based Message Authentication, Reporting, and Conformance) lo supera todo. 

Es un moderno sistema de autenticación de correo electrónico que complementa a SPF y DKIM, y juntos refuerzan la seguridad de tu correo electrónico. Hoy en día, la mayoría de los servidores de correo electrónico, como Office 365 y Google Workspace, utilizan DMARC y otros sistemas de autenticación. 

 La mayoría de las pasarelas de correo electrónico utilizan DMARC porque SPF y DKIM no proporcionan suficiente información a la hora de tomar decisiones de entrega. No son suficientes por sí solos y requieren DMARC y otros detalles de compromiso para funcionar correctamente.

Error nº 4: Office 365 ya admite DMARC 

El hecho de que utilices Office 365 y este admita DMARC no te libera de tu responsabilidad de seguridad. Recuerda que la autenticación DMARC que proporcionan estos servidores de correo electrónico comprueba la autenticación de los correos entrantes, pero no proporciona DMARC enforcement para tu dominio. Por lo tanto, no te ofrecerán visibilidad como tu propio DMARC enforcement, ni pueden autenticar otros servicios on-prem que utilices para enviar correos electrónicos.

La diferencia crítica es que Office 365 soporta DMARC pero no lo implementa. Así que lo mejor sería que implementaras DMARC contratando a un experto. 

Error nº 5: DMARC dificultará la configuración de mi correo y el marketing por correo electrónico

DMARC sólo refuerza su seguridad. No supone ningún obstáculo porque es totalmente compatible con todas las pasarelas de correo electrónico. Ya sea on-prem o basado en la nube, DMARC no detiene ningún flujo de correo. 

Además, DMARC hace que sus esfuerzos de marketing sean más eficaces. Mejora sus correos electrónicos de marketing, ya que se autentican correctamente. El único reto es que necesita implementarlo correctamente identificando primero todos los correos de marketing y autenticándolos después para que no sean puestos en cuarentena o rechazados. Puede hacerlo permitiendo que un experto configure la autentificación de los correos electrónicos de marketing con un solo clic. 

Error nº 6: DMARC es un tedioso proyecto de seguridad

En primer lugar, DMARC no es sólo un proyecto de seguridad. Es un proyecto interfuncional de TI, cumplimiento, marketing y seguridad. Por tanto, no solo sirve para detener los correos maliciosos, sino que también ayuda a mejorar la distribución del correo electrónico y a aumentar las impresiones de marca.

Además, DMARC no es tedioso si dejas de intentar aplicarlo por tu cuenta. Sí, es técnico, y los informes que produce no son legibles, pero el hecho es que no necesitas leerlos. Así que en lugar de analizarlo manualmente, es mejor dejarlo en manos de expertos.

Si abandona los proyectos DMARC sólo porque requieren mucho tiempo y son complejos, le costará mucho a su organización. Con las herramientas y la ayuda adecuadas, puedes configurar DMARC y sacarle el máximo partido.

Error nº 7: DMARC no funciona para demasiados dominios, 

Este es uno de los mitos más extendidos sobre DMARC que dificultan su implantación. Mucha gente piensa que tener dominios significa que una configuración DM ARC no es posible o que sería demasiado compleja. Por el contrario, DMARC, si se implementa adecuadamente, puede proteger miles de dominios sin ningún problema.  

El hecho de que una organización tenga miles de dominios en todo el mundo no significa que no deba emplear DMARC. De hecho, DMARC es aún más esencial para este tipo de empresas, ya que sus probabilidades de caer presa son mayores debido a la gran cantidad de dominios desprotegidos. Esto significa que son un blanco fácil y necesitan DMARC enforcement inmediatamente. 

 Así que ignorar DMARC simplemente porque se tienen varios dominios no es la solución. Muchas empresas que poseen amplias carteras de dominios y se comunican con innumerables proveedores mantienen una visibilidad segura y la aplicación de políticas a través de DMARC. No deje que este mito socave los esfuerzos de DMARC por frustrar los ataques. Funciona y funciona bastante bien con muchos dominios. Y punto.

Error nº 8: DMARC es costoso 

Puede que piense que los servicios DMARC cuestan mucho. Pero no implementarlo cuesta aún más. Sí, por ahorrarse unos dólares, estaría poniendo en peligro la seguridad de su organización. Además, el precio de los paquetes DMARC varía de un servicio a otro. Puede encontrar herramientas que ofrecen tarifas razonables junto con un servicio excelente.

Además, el coste de DMARC también varía en función del tamaño de su organización. Puede encontrar soluciones que se adapten a cualquier tamaño de empresa, organismo sin ánimo de lucro u organización gubernamental en función de su presupuesto. El precio no importará una vez que empiece a cosechar las eficiencias y la protección que aporta DMARC. Las ventajas compensarán el coste.

Error nº 9: DMARC siempre funciona

Si cree que DMARC puede evitar todos los ataques, se equivoca. Sí, es una herramienta muy sofisticada que proporciona una capa sólida para las tecnologías de autenticación ya en uso, como SPF y DKIM. Sin embargo, DMARC sólo puede ofrecerle pasarelas de correo electrónico seguras si se configura correctamente.

DMARC es ideal para la protección contra el phishing saliente sólo si lo implementan expertos. . Además, DMARC es sólo el principio. Debe aplicarlo continuamente y supervisar su ecosistema de correo electrónico para lograr una seguridad del 100%.

Por último, aunque se configure correctamente, no podrá evitar ataques como el spear-phishing, ya que estos utilizan impostores de nombres de usuario para los que DMARC no tiene defensa. Así que, aunque DMARC es muy beneficioso, es un mito que tenga éxito en todo momento.

Error nº 10: ¿No envía correos electrónicos? No necesita DMARC

Si cree que está a salvo de los estafadores sólo porque no utiliza su dominio para enviar correos electrónicos, se equivoca. Incluso los dominios que no envían correos electrónicos son objetivo de los ciberdelincuentes, especialmente si utilizan marcas o personas conocidas.  

Si no envías correos electrónicos desde tu dominio, aun así debes protegerlo para que otros no lo utilicen para atraer a los usuarios. El phishing y la suplantación de identidad se han vuelto tan comunes, que los receptores de correo electrónico ni siquiera pueden identificar cuando un correo malicioso se envía a través de un dominio no configurado para enviar correos electrónicos. Si sus usuarios creen que es usted, puede poner en peligro su reputación.

Conclusión 

No hemos enumerado estos conceptos erróneos para asustarle. En lugar de eso, queremos aclarar las cosas para que sepas lo que estás adquiriendo y saques el máximo provecho de ello. Una vez que hayas desmentido todos los mitos del DMARC, podrás entenderlo y aplicarlo mejor.

Así que no renuncie a DMARC sólo porque algunas personas con menos conocimientos difundan mitos sobre DMARC. Es una herramienta útil que puede ayudar a proteger su organización en estos tiempos de prueba en los que los riesgos de seguridad están en aumento. Así que pruébelo con Skysnag y experimente su protección usted mismo.