Un nuevo análisis revela que la inmensa mayoría de los sistemas de correo de la administración pública es vulnerable a la suplantación de identidad, lo que facilita las estafas a los ciudadanos y los ciberataques a las instituciones.
|
etiquetas: email , funcionarios , robos de identidad
El caso es que 2 días después llegó otro, esta vez sí de verdad sin pedir número de cuenta, además de un aviso de parte de la administración de obviar el primer mail por motivos de seguridad.
Todo esto hablando de cuentas institucionales y enviado desde cuentas que tienen el mismo dominio aparentemente que el resto.
Para que veamos lo fácil que es y lo inseguro que puede ser.
Lo que proponen en el artículo es más global ya que son unas reglas que se aplican a nivel de dominio y más sencillo para el usuario ya que es transparente.
Realmente es dificil de asimilar que la administración no tenga esto implementado cuando cualquier web que se precie lo más minimo y no quiera que sus correos acaben en la bandeja de spam de proveedores como gmail lo tiene.
Esto no tiene solución.
En mi empresa se hacen periódicamente test controlados enviando mail falsos a todos los empleados y cerca del 20% caen en la trampa, y aunque no nos dan esa información sospecho que ese 20% es recurrente.
De hecho, si no tuvieran SPF la mayoría de los sistemas de correo marcarían los recibidos de esos sitios como potencialmente sospechosos. El asunto de DMARC es completamente diferente, y ni mucho menos está generalizado su uso, no sólo entre la Administración sino en general.
Por otro lado, más importante es protegerse contra el típico ataque en el que el correo te viene de "ajenciatributaria.com" y para eso no hay SPF ni DMARC que te valga, si tu sistema no pilla el greymail tienes que pillarlo tú con sentido común.
Para mi, tienen protección suficiente dentro de lo que es razonable, y no sé muy bien de qué va esta "noticia"
conozco varios casos que a pesar de ser obligatorio hacrlo de forma telematica, continuan pidiendo sus vacaciones en un papel escrito a mano...
Pensé que al estar la noticia centrada en sistemas de correo, se entendería.
Es poner las direcciones de los servidores en el registro MX correspondiente y activar en la configuración de los servidores de correo frontera (gateway) para que comprueben la dirección del servidor que origina, el correo.
Hace 4 años me harté de enseñar a configurar TLS en producción.
Por ejemplo, que el empleado pueda sacar copia de su solicitud con sello de tiempo y en papel con sello de registro de entrada, sea más fácil presentar la prueba en un juzgado.
Pues que estaría muy bien que implementaran DMARC (DKIM). Así darían ejemplo de buenas prácticas. Aunque es cierto lo que comenta #16, muchas veces, por no decir todas, utilizan dominios parecidos......
No me parece mala idea. A los perros de busca, cada dia encuentran algo aunque sea simulado, si no se desmotivan.
Con las personas pasará lo mismo, estar atento para que nunca pase nada, al final aburre y se deja de prestar atención. Yo lo veo muy natural, que ocurra.
#20 #26 En meneame puede haber gente no tan tecnica que no sepa eso detalles de montar un servidor.
#33 No siempre es culpa dle usuario hay cagadas muy gordas de los organismos. Yo creo que deberia haber un organismo casi ministerio de informatico, que resuelva la parte informatica de los organismos de admin.
A parte de dar coherencia y reutilizar sofware entre entidades, las admins no son especilisas en informatica y puede que ni sepan que han de exigir, en cambio un organismo especializado si deberia saber los requisitos y adaptarse a los organimos.
Si no lo pueden montar con alfileres y con lo minimo que te permita trabajar, como poner la misma contraseña a todo el mundo, que lo he visto y en la tele un presentadora lo ha dicho. Me dijeron:"Como se te ocurre poner la contraseña en un pos-it en el monitor, si es la que usamos todos".
Además, tú puedes publicar una política DMARC, pero los que tienen que implementarla son los destinatarios. Cuando reciben un mensaje que no concuerda con la política que has publicado deben actuar en consecuencia, si no lo hacen no sirve de nada.
Si, me ha molestado bastante tu actitud, falta de empatía y prepotencia. También envidio mucho a los que sabéis de todo y todo lo hacéis bien
Calmate un poco que te subirá la presión.
aeat,es no tiene registros SPF , ni DMARC. Vamos de hecho AEAT.ES no tiene ni registros tipo A
agenciatributaria.es SI:
txt: v=spf1 ip4:195.77.198.96/32 ip4:195.77.198.97/32 -all
v=DMARC1; p=reject; fo=1; ri=3600; rua=mailto:informesdmarc@correo.aeat.es;