En un momento en el que aficionados de todo el mundo se preparan para reservar sus viajes por internet y buscar una entrada para asistir a las distintas competiciones deportivas, la mayoría de las autoridades locales que acogen este evento (70%), las principales plataformas de venta de entradas online (90%) y las páginas web de de viajes (40%) no bloquean de forma proactiva los emails fraudulentos que podrían llegar a los usuarios.
Los ciberdelincuentes tratan de aprovechar los grandes acontecimientos deportivos, culturales o de cualquier otra índole para engañar a personas y hacerles caer en trampas de ingeniería social, haciéndose pasar por un colaborador oficial, una infraestructura, una plataforma de venta de entradas o un sitio de reserva de viajes legítimos. En vísperas de los Juegos de París este verano, todo el ecosistema debe reforzarse para hacer frente a la ciberamenaza ya generalizada del fraude por correo electrónico como principal vector de ataque, según los expertos en ciberseguridad.
Para determinar el estado actual de las defensas contra el riesgo de suplantación de identidad, Proofpoint analizó los niveles de adopción de DMARC (Autenticación de Mensajes Basada en Dominios, Informes y Conformidad) —una medida fundamental de protección del correo electrónico— de los partners oficiales de los Juegos Olímpicos de París, las autoridades francesas, así como de plataformas de venta de entradas y viajes, arrojando unos resultados preocupantes.
DMARC, la primera línea de defensa contra estafas por email
En los últimos años, Proofpoint ha observado que los ciberdelincuentes utilizan cada vez más tácticas de suplantación de organizaciones legítimas para llegar a su objetivo, en lugar de hackear o infiltrarse en las redes e infraestructuras técnicas de sus víctimas.
DMARC es un protocolo de autenticación de correo electrónico diseñado para proteger los nombres de dominio del uso indebido por parte de los ciberdelincuentes. Autentica la identidad del remitente antes de permitir que un mensaje llegue a su destino. DMARC tiene tres niveles de protección: monitorización, cuarentena y rechazo, siendo este último la forma más segura de evitar que los mensajes sospechosos lleguen a la bandeja de entrada.
La implementación de DMARC permite a una organización definir qué tratamiento debe aplicarse a los mensajes de correo electrónico que utilicen su nombre de dominio, así como la política que debe aplicarse en caso de fallo durante la verificación: aceptar el mensaje de correo electrónico (política “ninguno”), categorizarlo como spam (política de cuarentena) o eliminarlo (política de rechazar).
Principales resultados de la investigación
Proofpoint analizó en total 143 nombres de dominio que conforman el ecosistema de los Juegos Olímpicos de París 2024. Estas son las conclusiones generales:
- Entre los 77 colaboradores oficiales de este gran evento deportivo, 66 de ellos (86%) han adoptado DMARC en su nivel básico y sólo 26 (34%) protegen activamente su nombre de dominio con el registro DMARC más alto de “rechazo”. Esto significa que dos tercios (66%) exponen al público al riesgo de fraude por correo electrónico.
- De las 20 ciudades que acogen los Juegos Olímpicos de este verano, únicamente 6 (30%) protegen activamente el nombre de dominio de su sitio web oficial con el registro DMARC más estricto, mientras que 5 (25%) no tienen implantado ninguna política DMARC.
- De las 10 plataformas de reventa de billetes analizadas, 8 (80%) disponen de un registro DMARC y nada más que una (10%) protege activamente su dominio en modo “rechazo”.
- Por último, las 10 plataformas de viajes analizadas son las más maduras en cuanto a defensas contra el riesgo de suplantación de dominio: 6 (60%) protegen activamente su nombre de dominio de manera estricta y el 90% ha implementado al menos un registro DMARC básico.
En palabras de Loïc Guézo, director de estrategia de ciberseguridad de Proofpoint: “Resulta preocupante ver que la mayoría de los actores del ecosistema de los Juegos Olímpicos siguen rezagados en lo que respecta a la protección de sus correos electrónicos, a pocos meses del inicio de la ceremonia de apertura. DMARC es una medida sencilla de implementar y muy eficaz contra la suplantación de nombres de dominio, que sustenta el fraude por correo electrónico. El hecho de que muchas organizaciones aún no tengan implantado este protocolo hace temer el advenimiento de una ciberamenaza de proporciones sin precedentes”. “Además, es importante que los posibles espectadores de este evento recuerden que las entradas sólo pueden adquirirse a través de la web oficial de los Juegos, que es totalmente compatible con DMARC y bloquea proactivamente los correos electrónicos fraudulentos para que no lleguen a los usuarios”, prosigue Guézo.
Aunque las organizaciones deben poner en marcha medidas contundentes para proteger a las personas, estas también deben extremar la vigilancia —especialmente en vísperas de los Juegos— y tener en cuenta las siguientes recomendaciones:
- Desconfiar de correos electrónicos, mensajes de texto o llamadas no solicitados, sobre todo si sugieren tomar medidas “urgentes” o piden algún pago.
- No facilitar nunca información financiera o contraseñas por correo electrónico o mensaje de texto. Llamar siempre directamente al banco si una solicitud parece sospechosa.
- Crear una contraseña única para cada cuenta online. Emplear tres palabras aleatorias para generar una clave sólida y memorable, además de activar la autenticación multifactor (MFA) cuando sea posible.