Cada día se envían más de 200.000 millones de mensajes de correo electrónico en todo el mundo, un número enorme, sin embargo, muchos de ellos nunca llegan a su destinatario debido a que el proveedor de servicios de Internet (ISP) los identifica como spam o correos electrónicos de phishing y la entrega no se lleva a cabo. Por otro lado, es muy común que emails en los que se preguntan datos personales o de pago pasen los filtros de spam del ISP o del destinatario, cuando claramente se trata de emails de phishing. En el tercer trimestre de 2016, el número de correos no deseados con datos adjuntos maliciosos aumentó a más de 70 millones, de acuerdo con los datos de Kaspersky Security Network (KSN).
Esta situación no solo resulta molesta porque emails de gran importancia no llegan a sus destinatarios, sino que las empresas y marcas que son suplantadas, ven dañada su reputación y se produce una pérdida de confianza por parte de los usuarios.
La cooperación produce seguridad
A los remitentes de envíos de mensajes masivos que cuentan con el permiso del destinatario para hacerle llegar su publicidad (Marketing de Permiso), también les interesa asegurarse de que sus mensajes lleguen a tantos destinatarios como sea posible. Debido a los filtros de correo electrónico gran parte de estos mensajes no llegan a su destino, sino que son interceptados por los ISPs. La forma que estos remitentes utilizan para escapar los filtros son las listas positivas de las empresas proveedoras de filtrado, que están experimentando un repunte en la actualidad. Esta tarea resulta bastante costosa tanto para los remitentes, que tienen que tratar con muchos proveedores diferentes, como para los ISPs, que necesitan comprobar un número ingente de remitentes para asegurar el cumplimiento de sus criterios, lo cual es muy complicado.
Para centralizar este proceso y reducir al mínimo los costes al remitente y al destinatario, mientras que se sigue garantizando un alto nivel de calidad, la Asociación de la Economía de Internet eco e.V. (Verband der Internetwirtschaft eco e.V.) y la Asociación Alemana de Marketing de Diálogo e.V. (Deutsche Dialogmarketing Verband e.V.) han puesto en marcha el proyecto de cooperación ‘Alianza de Remitentes Certificados’, o Certified Senders Alliance, por sus siglas en inglés, CSA. (véase recuadro).
Cada marca es un objetivo
Por lo general, los cibercriminales suelen enviar emails de phishing falsos que son descaradamente similares a los de los proveedores reales. Los mayores afectados por estos ataques aparte de los bancos, son tiendas online y sistemas de pago electrónico de empresas de reparto, tales como DHL. Además de los sectores antes mencionados, cualquier marca que cuente con una reputación sólida basada en la confianza de sus consumidores es un objetivo potencial. Las empresas que han invertido en el desarrollo de su marca, se enfrentan al reto de que sus clientes reciban mensajes de correo electrónico en los que que se les pida desde información personal hasta información de pago.
Protección contra el abuso
Sin embargo, existe una manera de que los remitentes de envíos masivos se protejan contra el uso indebido de su propia dirección de correo electrónico. Domain-based Message Authentification, Reporting and Conformance (DMARC) es una especificación que, cuando es utilizada tanto por el remitente como por el destinatario de un correo electrónico, asegura una verificación continua de la autenticidad del remitente. Con la ayuda de DMARC, las empresas tienen la oportunidad de hacer que sus mensajes de correo sean claramente reconocibles para los ISPs. De esta forma, los correos electrónicos de phishing se detectan y se filtran por los ISPs antes de llegar al destinatario.
Dos mejor que uno
Los emails de los remitentes de correos masivos están doblemente protegidos. Por una parte, la entrada en la lista blanca de la CSA garantiza que el remitente de correo se adhiera a las estrictas normas de la CSA y envíe solamente correos legítimamente deseados. Por otra parte, la especificación DMARC asegura que un correo electrónico procede en realidad del remitente en cuestión. Todo esto protege a los remitentes de correos electrónicos masivos de la pérdida de imagen de marca y el destinatario puede estar seguro de que los emails recibidos no se tratan de intentos de phishing.
Lo que dicen los proveedores
Los Proveedores de Servicios de Internet (ISPs) son conscientes de este escenario, y recomiendan a los expertos en marketing implementar la práctica del DMARC. “DMARC ofrece una mayor seguridad, lo cual constituye una gran ventaja para reducir el phishing. El phishing todavía representa una gran proporción de los mensajes que son distribuidos a los usuarios. Con el uso del DMARC y una política y sistema de denuncias adecuado, el número de emails fraudulentos puede reducirse casi a cero.” Comenta Marcel Becker, Director de Gestión de Productos, AOL Mail.
Incluso Terry Zink, Program Manager en Microsoft Corporation, recomienda el uso de DMARC: "Con el creciente número de amenazas de correo electrónico y Spear Phishing, toda empresa debería implementar una autenticación de correo electrónico, especialmente DMARC, priorizando a sus clientes particulares, sus empleados y su marca. La autenticación de correo electrónico y una política estricta de DMARC pueden protegerle de un redireccionamiento de su dominio (Domain spoofing) además de la pérdida de reputación que esto conlleva. Cada vez más grandes destinatarios de correo electrónico confían en la reputación basada en el dominio, por lo que la implementación de este tipo de autenticación se ha convertido en algo crítico si quieren que sus emails sigan siendo entregados".
Sri Somanchi, de Google, ve el uso de DMARC como una ventaja para los remitentes: "Mientras que la capacidad de entrega de correo electrónico y DMARC no están directamente relacionadas, la protección de identidad ofrecida por DMARC incrementa la confianza del destinatario en el remitente y evita que el destinatario marque erróneamente el email como spam. DMARC también asegura que la reputación del remitente no se vea afectada por el envío de emails falsos".
CSA Summit 2017
La protección contra el phishing y otros métodos para el tráfico seguro de correos también son temas que se tratarán en el CSA Summit 2017 del 10 al 12 de mayo en Colonia, Alemania. Expertos en marketing y en tecnología así como ejecutivos discutirán no sólo aspectos técnicos, sino también legales del marketing por correo electrónico. El evento, que transcurre durante tres días en los que tienen lugar diversas conferencias, workshops y una amplia oportunidad para el networking, contó el año pasado, con más de 120 participantes de 11 naciones.
Puede consultar información actual sobre el CSA Summit 2017 aquí: https://de.certified-senders.eu/events/