La adopción de dominios federales de DMARC aumentó en un 38 por ciento en un período de 30 días, pero ¿es suficiente para proteger a las agencias gubernamentales del fraude de correo electrónico? El fundador de Agari, Patrick Peterson, explica cómo funciona el sistema.

    Cómo el Departamento de Seguridad Nacional está tomando medidas enérgicas contra el phishingLa adopción de dominios federales de DMARC aumentó un 38 por ciento en un período de 30 días, pero ¿es suficiente para proteger a las agencias gubernamentales del fraude por correo electrónico? El fundador de Agari, Patrick Peterson, explica cómo funciona el sistema.

    A finales del año pasado, en el cuarto trimestre de 2019, el Departamento de Seguridad Nacional de los Estados Unidos emitió un mandato llamado BD18-01, más conocido como DMARC. La intención de DMARC es fortalecer las ciberprotecciones del correo electrónico y tomar medidas enérgicas contra cosas como la suplantación de identidad (phishing) y otras formas de cibervulnerabilidad. Para ConsejoTecnologico.com y ZDNet, soy Dan Patterson. Y es un placer hablar hoy con el fundador y presidente ejecutivo de Agari, Patrick Peterson. Patrick, muchas gracias por tu tiempo hoy. Empecemos con el acrónimo. ¿Qué es DMARC? ¿Y cuál es la intención de esta nueva regulación, o de esta nueva ley?

    Peterson: Gracias. Es un placer hablar con usted y sus espectadores. Me has golpeado con una difícil para empezar. Pero voy a hacer lo mejor que pueda. Este es un acrónimo nombrado por los geeks, yo era uno de ellos, que claramente no tienen una pulgada o una onza, o un milímetro de conocimiento de marketing, porque DMARC es sinónimo de autenticación de mensajería basada en dominio y conformidad. Y te contaré una historia rápida. Estaba informando a unas 90 personas, tres grupos de 30 cada 10 minutos. Le pregunté a todo el mundo cuál era el acrónimo. Todos conocían la tecnología, pero sólo una persona conocía el acrónimo. Te daré el acrónimo. Pero no nuestros mejores momentos de técnicos con un nombre para ello.

    Patterson: A menudo la tecnología desafortunadamente en este caso es mucho más importante que los acrónimos. ¿Cuál es la tecnología detrás de DMARC? ¿Y cuál es el propósito de esta política?

    Peterson: Ya lo creo que sí. Como usted y sus espectadores pueden saber, tristemente el correo electrónico en Internet se construyó en 1982. En ese momento, no existía un modelo de seguridad. No se pensó en la seguridad. Apenas había alguien que estuviera en la red de ARCOM. Entonces, ¿por qué lo harías seguro? Como resultado, cuando inventaron esta tecnología, no había autenticación en el correo electrónico. Eso significa que puedo enviar un correo electrónico como Dan Patterson a ConsejoTecnologico.com. Puedo enviar un correo electrónico como Donald Trump a whitehouse.gov. Puedo hacerme pasar por quien quiera en el correo electrónico. Es absolutamente trivial hacerlo. La razón por la que DMARC existe es que, durante muchos años, los Estados nacionales, los hackers y los ciberdelincuentes han estado haciendo esto a diario. Les encanta decir que son PayPal, Apple, el gobierno de los Estados Unidos, asesores de confianza del presidente de los Estados Unidos. Y cuando lo hacen, los sistemas informáticos miran esos mensajes, y toman en serio que usted es quien dice ser. Y esta vulnerabilidad ha llevado al phishing, ataques dirigidos, ciberespionaje utilizando el correo electrónico como el método más común que se nos hace daño.

    Y así, hace una década, tal vez un poco menos, PayPal, yo mismo en Agari, Google, Microsoft, Yahoo, un grupo de nosotros nos reunimos y dijimos: «Volvamos a poner al genio en la botella». Tomemos la tecnología no segura y no autenticada que ha estado alimentando a los malos durante años, y construyamos un estándar para que ConsejoTecnologico.com, o Agari, o el Departamento de Salud y Servicios Humanos puedan recuperar su identidad».

    Pueden decir: «Somos Servicios de Salud y Servicios Humanos. Somos los únicos que decimos ser nosotros».

    Y los criminales, no más enviar estos correos electrónicos falsos de inscripción abierta o decir que, «Tu Obamacare ha sido cancelado.» O, «Necesitamos obtener una nueva información de pago para ti.»

    Y para eso fue diseñado DMARC. Eso es en lo que ha sido increíblemente exitoso.

    Patterson: ¿Cómo se asegura entonces, sin algunas técnicas de encriptación más complicadas que hacen cosas como las huellas dactilares? PGP tiene formas de autentificar de quién proviene un correo electrónico. ¿Cómo funciona su tecnología sin utilizar algunas de las soluciones más confusas o, al menos, técnicamente desafiantes?

    Peterson: Esa es una gran pregunta. Si usted toma PGP y S/MIME por ejemplo, y hay otras tecnologías también, esas son formas maravillosas para que un usuario final encripte los mensajes que envía a otra persona, y viceversa. Y nosotros los apoyamos. Creemos que son geniales. Por otro lado, mi mamá recibe correos electrónicos de Wells Fargo, la Administración del Seguro Social, Salud y Servicios Humanos, y de otras 50 organizaciones. Lo siento, pero incluso sus queridos hijos, que son personal de TI, no van a configurar todas esas tecnologías para que ella envíe correos electrónicos de ida y vuelta.

    Y así, esto fue diseñado realmente, para complementar las tecnologías de encriptación de mensajes individuales. Lo que sucede es que, una vez más, usaremos a Servicios Humanos y de Salud como nuestro hijo de afiche, ellos autentican todo su correo electrónico cuando sale de sus puertas de enlace, o cuando sale de sus proveedores externos. Esto no está sucediendo en cada uno de los escritorios de Servicios Humanos y de Salud. No está ocurriendo dentro de cada correo electrónico. En cambio, está sucediendo a medida que sale de su organización. Y luego, cuando llega a un Google, o un Yahoo, o un Microsoft, o un AOL, también verifican la autenticidad en la guarida de su puerta de enlace. Y cuando llega a tu bandeja de entrada, a mi bandeja de entrada o a la de mi madre, ya está arreglado. Al no tener que poner software y hacer cosas en el ordenador de todos, no podemos llegar de un extremo al otro. Pero haz esto mucho más escalable. Y ahora mismo, estamos procesando 10.000 millones de mensajes al día de esta manera. Nunca hubiéramos podido hacer eso si requiriera que todos hicieran algo como PGP, que requiere mucho software cliente de usuario final.

    Patterson: Me alegro de que hayas mencionado al usuario final, porque a menudo, por muy seguros que sean los mensajes salientes, todo termina en la bandeja de entrada de alguien que puede estar encima de un correo electrónico ofuscado o algo así, un ataque de phishing que parece bastante legítimo. ¿Qué hacemos con el usuario final? ¿Cómo informamos a la gente? ¿Cómo los protegemos con la tecnología?

    VER: Infografía: Casi la mitad de las empresas afirman que la preparación para la ciberseguridad ha mejorado en el último año (Tech Pro Research)

    Peterson: Esa es una gran pregunta. En primer lugar, creemos que el usuario final debe ser educado. Al igual que cuando estaba sacando mi licencia de conducir, me hablaron sobre la conducción defensiva y la conducción en carreteras resbaladizas. Ese es el tipo de cosas que deberíamos decirle a nuestros usuarios finales. Por otro lado, cuando subo al auto, no abro el capó y reviso el aceite. Yo no reviso el motor. Y si no entiendo exactamente cómo funcionan los frenos antibloqueo, puedo usarlos muy bien. Ese es nuestro modelo de seguridad. Aunque deberíamos tener algún tipo de entrenamiento de sentido común para los que están en Internet, la tecnología debería funcionar y mantenerte a salvo. Y si alguien le roba el lado, esa jaula antivuelco, esa bolsa de aire debería mantenerlo a salvo, ya sea que haya recibido o no la capacitación más reciente en seguridad automotriz.

    Eso es lo bueno de DMARC, es que todo el phishing se elimina, al menos de las marcas que lo adoptan. El usuario final no tiene que pensar en este problema, no tiene que preocuparse por ello. Simplemente reciben menos servicios sanitarios y humanos y phish de PayPal. Y ese es nuestro modelo de cómo se debe servir mejor a los usuarios finales. No creemos que sea conseguir que todos ellos tengan un doctorado en seguridad informática, aunque unos cuantos más no perjudicarían en absoluto a nuestro mercado laboral.

    Patterson: Si hay algo de lo que podemos estar seguros, es de que los ataques de phishing como éste continuarán ocurriendo, así que cualquier cosa que pueda acabar con el correo electrónico ilegítimo y aumentar la confianza del usuario final y del remitente va a ser más importante a medida que avanza el año. Patrick Peterson, fundador y presidente ejecutivo de Agari, gracias por su tiempo hoy. Me pregunto si podría dejarnos con un pronóstico mientras miramos hacia 2019 y más allá. Sabemos que es de esperar que se produzcan ataques de phishing. Pero, ¿cómo se están volviendo más sofisticados y evolucionando? Y unido a eso, ¿cómo podemos nosotros, como usuarios finales, como propietarios de empresas o como empleados, ayudar a protegernos?

    VER: Guía del líder de TI para reducir las amenazas de seguridad internas (Tech Pro Research)

    Peterson: Esa es una gran pregunta. Permítanme darles un ejemplo de esto, y luego hablar un poco sobre por qué el mandato del DHS es tan importante. El ejemplo de los ataques que vimos en las últimas elecciones presidenciales son los niños del cartel de lo que tenemos que temer. Dirigido a John Pedesta y muchos otros, increíble ingeniería social, y se hicieron con mucha sofisticación. Por ejemplo, cada destinatario obtuvo una URL única que era un enlace acortado. Y nunca más se volvieron a usar. Ese es el tipo de ataques que vemos donde el elemento de ingeniería social, la personalización de la misma, la creación de la misma, es increíblemente sofisticada. Esa es, creo, una de las razones, porque esto ha sido tan perturbador para nuestro gobierno, que el Departamento de Seguridad Nacional emitió esa directiva que usted mencionó, la de 1801 que decía: «El gobierno federal debe asegurar sus identidades». Ya no será responsable de hacerse pasar por una agencia federal, lo que hará a nuestras agencias y a nuestros ciudadanos mucho más seguros».

    Hemos estado increíblemente entusiasmados con la publicación de algunas investigaciones que muestran que en un breve período de dos meses, el 47% del gobierno federal ya ha comenzado a adoptar DMARC, y va a hacer que esos tipos de ingeniería social sofisticada, los ciberataques, sean cosa del pasado. Y de hecho, el gobierno incluso ha eclipsado a la fortuna 500 en términos de su adopción. Y así, el último pensamiento que les dejo es que hoy Alex Azar va a ser el nuevo secretario de Salud y Servicios Humanos a la espera, estoy seguro, de unas interesantes parrilladas del congreso. Al presentarse ante el Congreso, debe estar orgulloso de que su equipo de Salud y Servicios Humanos, y el resto del gobierno, puedan tener algunos desafíos ante ellos, pero definitivamente están ayudando a que nuestra ciudadanía esté más segura. Y esa es una de las cosas más emocionantes que tenemos para combatir esos ataques avanzados de ingeniería social que vamos a ver en 2019.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves

    mismo

    Véase también