Las compañías y los proveedores de correo electrónico tendrán pronto en sus manos una nueva arma para luchar contra el phishing y el spam, y proteger así de mejor manera a sus usuarios.
El pasado lunes, un grupo de compañías líderes en este sector anunciaron que están trabajando en una nueva propuesta, un nuevo estándar, (una especificación informática que permite desempeñar una tarea) para hacer más difícil al correo fraudulento y a los correos no deseados tener acceso a la bandeja de entrada.
Según informa Newsfactor, las compañías han formado ya DMARC.org, un grupo de trabajo técnico ubicado en San José, California. DMARC, cuyas siglas significan Autentificación, Cobertura y Conformidad de Mensajes basado en el Dominio, ha tomado forma tras un año y medio de esfuerzo colaborador conjunto de estas compañías.
Mensajes autentificados
Los proveedores de correo electrónico que han participado en el diseño del mismo son AOL, Gmail, Hotmail y Yahoo, aunque también otros miembros de sectores convergentes se han interesado: el Banco de América, Fidelity Investments, PayPal, Facebook, Cloudmark, eCert y Return Path.
Este grupo de compañías había observado que los sistemas de correo actualmente adolecen de una forma eficaz de averiguar si un remitente de correo electrónico se protege por sistemas como el SPF, y el DKIM para autentificar mensajes.
Como resultado, el grupo se percató de que están siendo usadas una serie de medidas complejas e imperfectas que no diferencian con éxito los mensajes legítimos de los que no lo son, de aquéllos que tienen un contenido fraudulento o no deseado.
Así, aunque SPF y DKM fueron creados hace más de diez años para ayudar a identificar la identidad de los remitentes de correo electrónico, la puesta en práctica de estas tecnologías de autentificación se han cruzado por el camino con no pocos obstáculos.
Una propuesta con respuesta
DMARC tiene la intención de proveer una forma más comprensiva e integrada de incluir las tecnologías de autentificación en los sistemas de correo electrónico. Para ello, una vez finalice la creación de esta herramienta de seguridad y calidad del servicio de esta especificación para correo electrónico, la pasará al Equipo de Ingeniería de Internet, el cual será el encargado de dar el visto bueno y conceder a esta especificación la categoría de estándar que permitirá su uso.
Mediante la activación de DMARC, el remitente mostrará que sus correos están protegidos por los sistemas de autentificación SPF o DKM informando de esta manera al receptor de si tienen las suficientes garantías para depositarse en su bandeja de entrada.
DMARC, además, ofrecerá también un procedimiento por el cual el remitente del correo tendrá constancia de si la entrada en bandeja de su mensaje se produjo o no con éxito. De esta manera, si se trata de un correo con spam o phishing, aquél que lo envió, voluntariamente o no, recibirá la respuesta de que la entrega no se produjo.
Hay que tener en cuenta que muchos remitentes de estos correos electrónicos inadecuados o fraudulentos albergan sistemas de correo electrónico complejos, algunas veces incluyendo proveedores del software libre en los que los procesos de autentificación –son sistemas frecuentemente cambiantes– pueden ser difíciles de identificar. Pero una vez hecho, los remitentes, mediante estas herramientas, podrán recibir una respuesta acerca de la autentificación de los mensajes enviados.
El coste de los correos fraudulentos
Charles King, analista de Pund-IT, afirma que los correos con spam y phishing que entran en las bandejas de entrada de los usuarios, además de ser molestos para ellos, son en la actualidad “verdaderamente costosos” para los proveedores del servicio de correo electrónico por el volumen que actualmente sobrecarga las cuentas de estos usuarios y del servicio que ofrecen.
Por todo, el especialista afirma que, en general, el sector estará probablemente abierto a esta nueva propuesta, pero el grado en el que las compañías se podrán beneficiar de la misma dependerá también del grado de control que se ejerza sobre ella.