Seguridad del correo electrónico: cómo los marcos básicos ayudan a los propietarios de sitios de WordPress

En todas las naciones e industrias, una tecnología ha estado compartiendo innumerables secretos durante más de dos décadas. Sí, a pesar del auge de las redes sociales, las aplicaciones de mensajería y las herramientas de gestión de proyectos, el correo electrónico sigue siendo el canal de comunicación en línea número uno de facto , pero también es una fuente de gran preocupación en lo que respecta a la seguridad.

Cuando se tiene en cuenta la edad de la tecnología y el incentivo para que los piratas informáticos intenten cometer fraude, es fácil ver por qué sigue molestando tanto a las empresas como a las personas. En realidad, es más preocupante ahora que nunca, porque el advenimiento de la autenticación de múltiples factores, el almacenamiento en la nube, los ecosistemas digitales y los inicios de sesión sociales han dejado a muchos de nosotros confiando en la seguridad de nuestras direcciones de correo electrónico simplemente para pasar el día.

Lamentablemente, no es suficiente simplemente tener una contraseña compleja y mantenerla protegida, porque el correo electrónico puede ser atacado de otras formas: suplantado, falsificado y utilizado para manipular a personas de todo tipo. Aquí es donde los marcos de seguridad del correo electrónico se vuelven de vital importancia: hacen que sea mucho más fácil tener confianza en la legitimidad de sus correos electrónicos.

Pero, ¿por qué el fraude es una amenaza tan grande? ¿Qué son estos marcos y cómo ayudan a los propietarios de sitios web a proceder de forma segura? ¿Realmente puedes confiar en ellos para protegerte? Vamos a ver.

Por qué el fraude por correo electrónico es un problema tan preocupante

Nos estamos moviendo cada vez más hacia el pago sin efectivo, la banca en línea y el trabajo remoto que requiere comunicaciones digitales extensas y profundas (a menudo sobre temas delicados). Cuanto más confiamos en los correos electrónicos, más atractivos se vuelven para los piratas informáticos, más aún cuando los correos electrónicos involucran a personas que no saben lo suficiente sobre tecnología para saber cuándo están siendo estafados.

Si alguien que solo sabe cómo usar el correo electrónico pero no tiene idea de que la suplantación de correo electrónico es posible recibe un correo electrónico fraudulento, no sabrá que tiene dudas. Y el rendimiento para los estafadores es aún más rico en perspectiva de lo que podrían haber logrado a través de estafas telefónicas, porque pueden automatizar sus correos electrónicos fraudulentos y evitar conversaciones telefónicas prolongadas que pueden exponer agujeros en sus historias de portada.

Para los dominios legítimos, el fraude por correo electrónico es una gran preocupación porque los hace quedar mal. Incluso si las personas eventualmente se enteran de que usted no fue responsable, aún asociarán su marca con el fraude hasta cierto punto. Entonces, si desea que se confíe en su dominio (y que las personas estén a salvo de los intentos de explotarlos en su nombre), deberá proteger sus correos electrónicos. Así es cómo:

Presentamos los marcos de seguridad de correo electrónico más comunes

Los dos marcos de correo electrónico más utilizados son SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail), y funcionan de manera similar pero de formas ligeramente diferentes: SPF requiere un nombre de host o una dirección IP admitidos, mientras que DKIM requiere un cifrado correcto. mensaje de cabecera. Veamos una explicación más detallada:

Cómo funciona el SPF

Cuando habilita SPF en el dominio de su sitio web, establece una lista de nombres de host y direcciones IP que se consideran fuentes legítimas de correo electrónico de ese dominio, una lista que se agrega al registro DNS del sitio (el registro que vincula su URL a su dirección IP).

Cada sistema de correo electrónico que parece recibir un correo electrónico de una dirección en ese dominio tomará la dirección IP utilizada para enviarlo y lo comparará con la lista en el registro DNS. Si coincide, el correo electrónico se considerará legítimo; si no coincide, el sistema sabrá que el correo electrónico es fraudulento (o que salió terriblemente mal de alguna manera).

Cómo funciona DKIM

Cuando habilita DKIM, toma el enfoque distinto de usar el cifrado para la verificación. El dominio tendrá una clave privada que se mantiene en secreto y se utiliza para cifrar un mensaje oculto en el encabezado de cada correo electrónico, así como una clave de descifrado pública que se agrega al registro DNS.

Cada sistema de correo electrónico que recoge un correo electrónico supuestamente de ese dominio tomará la clave pública del registro DNS e intentará descifrar el mensaje oculto. Si tiene éxito, sabrá que el correo electrónico proviene del lugar correcto. Si falla, sabrá que el remitente ha sido falsificado.

Qué implica DMARC

DMARC, que significa "Autenticación, informes y conformidad de mensajes basados ​​en dominios", es un sistema que abarca SPF y DKIM mientras desarrolla algunas opciones, establece políticas e informa según sea necesario.

Cuando configure DMARC, esencialmente especificará cuál de los métodos mencionados se usa para los correos electrónicos de su dominio (posiblemente ambos), así como qué se debe hacer cuando se detectan correos electrónicos que no cumplen con el estándar elegido. También puede configurar una notificación para que se active, de modo que sepa sobre los intentos de suplantar su dirección de correo electrónico (de la misma manera que puede recibir notificaciones de cambios en un sitio de WordPress).

Cómo tomar medidas para mantener su correo electrónico seguro

Si desea que sus correos electrónicos sean confiables y que los destinatarios se sientan seguros al acceder a ellos, debe asegurarse de hacer todo lo posible para protegerse contra el fraude. Por lo menos, siga los siguientes tres pasos:

• Proteja cuidadosamente su lista de correo electrónico. Incluso si se asegura de que se revisen todos los correos electrónicos que afirmen ser de su dominio, sigue siendo peligroso que los estafadores se apoderen de su lista de direcciones, porque muchas personas (a menudo de generaciones anteriores) en realidad no revisarán al remitente muy de cerca si los contenidos se asemejan claramente a algo que reconocen. Proteja su lista de correo electrónico para que las personas tengan menos motivos para dirigirse a su audiencia (de todos modos, debería estar haciendo esto después de GDPR).
• Configure un marco de seguridad. Puede usar SPF, DKIM o DMARC, pero haga lo que haga, asegúrese de seguir las mejores prácticas para cualquier sistema que esté usando y confirme que funciona. Si utiliza un software de automatización de correo electrónico para su comercialización, asegúrese de configurarlo como una fuente confiable para que los correos electrónicos que distribuye no se rechacen como ilegítimos en el momento de la entrega.
• Advierta a sus suscriptores que tengan cuidado. Habiendo hecho todo lo posible en su lado de la ecuación, aún vale la pena comunicarse con su audiencia (especialmente si no es muy experta en tecnología) para advertirles sobre la posibilidad de fraude. Hágales saber qué tipos de mensajes les enviará, y cuáles nunca , e invítelos a comunicarse con usted directamente si alguna vez no están seguros acerca de un mensaje que supuestamente les envió.

Haga todo esto y podrá proceder con un grado de certeza mucho mayor de que sus correos electrónicos estarán seguros y su audiencia estará protegida de la enorme amenaza del fraude por correo electrónico.