Google puede bloquear por protección ciertos correos de autónomos y pequeños negocios que usan Gmail
Al introducir nuevos requisitos de autentificación del correo electrónico, Google ha empezado a marcar como spam los mensajes que nos los cumplen. Su objetivo es la protección de datos para evitar las suplantaciones de identidad y los fraudes asociados.
Google se ha propuesto abanderar la seguridad del correo electrónico y convertirse en un elemento fundamental de la protección de datos y la prevención de fraudes en el entorno digital. Y en la lucha contra el ciberdelito, el eslabón más débil, según los expertos, es el profesional autónomo y el pequeño negocio; más vulnerables, al no disponer de profesionales que se ocupen ex professo de estas tareas.
De hecho, como explicó a este diario Fernando Anaya, director regional de la empresa de ciberseguridad Proofpoint para Iberia, “en el último año han aumentado los casos de suplantación de identidad o de compromiso de dominios pertenecientes a pequeñas y medianas empresas, y prevemos que lo sigan haciendo”.
De hecho, según el Informe de Ciberpreparación de Hiscox 2023, el correo electrónico corporativo es el principal punto de entrada de los ciberataques que reciben las pymes en nuestro país. No solo eso, la mayoría de los mismos viene ocasionada por un error humano; es decir, por un mal uso del correo, lo que facilita la entrada de los atacantes y convierte a los pequeños negocios en víctimas de técnicas como el phishing (la suplantación de identidad ganándose la confianza al hacerse pasar por un cliente o un proveedor) o el spoofing (la usurpación de identidad electrónica para ocultar la propia del ciberdelincuente y así cometer delitos en Internet).
“Ninguna pyme o autónomo debe pensar que, por ser pequeño o poco conocido, está a salvo”, señala un experto
En este sentido, dos gigantes tecnológicos como Google y Yahoo han anunciado la puesta en marcha de varias medidas que buscan reducir los riesgos asociados al phishing, el spam y otras formas de fraude digital. En concreto, a finales del pasado mes de febrero se aumentaron los requisitos en la autenticación del correo electrónico de todos aquellos que escriban a una cuenta de Gmail o de Correo Yahoo!.
Y de no cumplirse, los mensajes enviados a una dirección de cualquiera de estas plataformas (lo que incluye aquellas que, no teniendo la terminación ‘.gmail’ o ‘.yahoo’, se reciban a través de ellas) pueden ser bloqueados directamente, y devueltos por el servidor o marcados como “correo no deseado”.
“Ninguna pyme o autónomo debe pensar que, por ser pequeño o poco conocido, está a salvo de un ciberataque”, añadió Fernando Anaya, “pues basta con tener una cuenta bancaria o información sensible sobre clientes susceptible de ser robada para estar en riesgo”. Incluso, apuntó este experto, pueden ser objetivos más rentables para los ataques, ya que tienen “menos margen de maniobra que las organizaciones más grandes y estructuradas, en términos de tiempo de inactividad de los empleados y de la red, así como menos fondos para reparar y recuperarse de un incidente”.
Este cambio supone una oportunidad para los autónomos y los pequeños negocios de protegerse
Los requisitos recién establecidos por Google y Yahoo incluyen la implementación de dos protocolos de autenticación (SPF y DKIM), así como la configuración adecuada de una política DMARC en el caso de quienes realicen campañas de email marketing con envíos de más de 5.000 correos. También en este caso es necesario que los mensajes promocionales incluyan un enlace directo para que el destinatario pueda darse de baja de la lista de distribución con un solo clic. Además, es imprescindible mantener una tasa de spam inferior al 0,3% para el dominio y emplear una conexión segura para el envío.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance) actúa como un control de identidad similar al utilizado en los aeropuertos, verificando la legitimidad del dominio del remitente antes de que el mensaje llegue al destinatario.
• SPF (Sender Policy Framework) establece una lista de servidores autorizados para enviar mensajes en nombre de ese dominio, lo que ayuda a prevenir la falsificación.
• DKIM (DomainKeys Identified Mail) añade una firma digital a los correos electrónicos enviados desde un dominio, permitiendo a los receptores verificar la integridad del mensaje y confirmar que no ha sido alterado durante la transmisión.
Puede parecer que estas medidas se hayan producido de repente, pero lo cierto es que estos sistemas para la autenticación del correo electrónico no son nuevos, y forman parte de las prácticas recomendadas desde hace ya tiempo. Lo que ocurre es que, ahora, ya no queda más remedio que adaptarse; lo cual es una oportunidad para los autónomos y pequeños negocios de protegerse. No en vano, los ciberdelincuentes se han dado cuenta de que atacar a los emprendedores “tiene ciertas ventajas, tanto por la valiosa información que pueden proporcionar como por ser los eslabones más débiles de la cadena de suministro”, como explica Fernando Anaya.
Según los datos recopilados por Proofpoint, se observa que un porcentaje significativo de las mayores empresas españolas han adoptado ya estos requisitos. Sin embargo, aún queda trabajo por hacer, ya que no todas las organizaciones han implementado el nivel más estricto de protección, lo que podría dejarlas vulnerables a posibles ataques de phishing y suplantación de identidad.
Para cumplir los nuevos requisitos de Gmail y Correo Yahoo! lo mejor puede ser recurrir un experto
No hay que asustarse. El primer paso para cumplir con las normas de Google y Yahoo en la autenticación del correo electrónico es la implementación de SPF y DKIM en la configuración del servidor de correo; algo para lo que no es necesario grandes conocimientos informáticos, pero sí alguien que se ocupe. Además, es necesario configurar DMARC para una política de autenticación adecuada, lo que pasa por añadir los registros DNS adecuados (que solicita cualquier programa de correo, tipo Outlook de Microsoft) y solicitar al propio alojamiento que contemple esta opción, abordando cualquier problema que pueda surgir.
En la práctica, puede ser preferible contactar con el proveedor del sistema de correo electrónico o buscar la ayuda de expertos para garantizar una implementación adecuada. También hay que tener en cuenta que, como cualquier herramienta de seguridad, todos estos protocolos “no son infalibles, pero añaden otra capa de protección y contribuye a hacer más fuertes las defensas y minimiza el riesgo de suplantación para las organizaciones”, concluye Fernando Anaya.
Tampoco hay que olvidar que los cibercriminales no descansan, y a medida que se protege una vulnerabilidad, buscan otras formas de tener éxito. Por eso, es necesario adaptarse continuamente a los cambios en el panorama de la seguridad digital, lo que requerirá cumplir con nuevos requisitos de todo tipo de proveedores, no solo Google y Yahoo. Lo que implica un compromiso constante con la mejora de la seguridad y las buenas prácticas en el entorno online.
