Hace 2 años | Por Osdransky a eldiario.es
Publicado hace 2 años por Osdransky a eldiario.es

Un nuevo análisis revela que la inmensa mayoría de los sistemas de correo de la administración pública es vulnerable a la suplantación de identidad, lo que facilita las estafas a los ciudadanos y los ciberataques a las instituciones.

Comentarios

Dramaba

#4 El informático de guardia que quería librar el finde?

D

#4 En mi anterior trabajo los de IT no enviaban correos que simulaban ser phishing para familiarizarnos y que no cayésemos en links maliciosos reales.

l

#24 Supongo que el primer no es nos.
No me parece mala idea. A los perros de busca, cada dia encuentran algo aunque sea simulado, si no se desmotivan.
Con las personas pasará lo mismo, estar atento para que nunca pase nada, al final aburre y se deja de prestar atención. Yo lo veo muy natural, que ocurra.

#20 #26 En meneame puede haber gente no tan tecnica que no sepa eso detalles de montar un servidor.
#33 No siempre es culpa dle usuario hay cagadas muy gordas de los organismos. Yo creo que deberia haber un organismo casi ministerio de informatico, que resuelva la parte informatica de los organismos de admin.
A parte de dar coherencia y reutilizar sofware entre entidades, las admins no son especilisas en informatica y puede que ni sepan que han de exigir, en cambio un organismo especializado si deberia saber los requisitos y adaptarse a los organimos.
Si no lo pueden montar con alfileres y con lo minimo que te permita trabajar, como poner la misma contraseña a todo el mundo, que lo he visto y en la tele un presentadora lo ha dicho. Me dijeron:"Como se te ocurre poner la contraseña en un pos-it en el monitor, si es la que usamos todos".

Theikand

#24 En Sanidad es habitual también, una vez los pillé haciendo un whois del dominio, era del CTTI

el-brujo

#4 La mayoría de las veces por clicar en un enlace no ocurre absolutamente nada, seguramente hizo click y luego se bajó y ejecutó algo más.....

j

#7 precisamente estas medidas que se mencionan están en el lado del servidor, el usuario se beneficiado hacer nada

eldarel

#20 Tiene usted razón.
Pensé que al estar la noticia centrada en sistemas de correo, se entendería.

Es poner las direcciones de los servidores en el registro MX correspondiente y activar en la configuración de los servidores de correo frontera (gateway) para que comprueben la dirección del servidor que origina, el correo.

avueltadetodo

#11 una vez se me ocurrió poner en el servidor de un cliente para que rechazase los correos sin SPF válido... joer, la de bancos y cajas que cayeron (esto fue hace dos años), lo tuve que desactivar porque empezaron a quejarse como que no recibían correos

eldarel

#30 Exacto. La seguridad en el correo es la gran olvidada y hay pocos administradores que sepan mantenerla en condiciones.

Hace 4 años me harté de enseñar a configurar TLS en producción.

D

¿Y lo de firmar digitalmente los mensajes?

analphabet

#2 Puede llevar a casos de suplantación de identidad a menos que haya un repositorio realmente fiable y seguro.
Lo que proponen en el artículo es más global ya que son unas reglas que se aplican a nivel de dominio y más sencillo para el usuario ya que es transparente.

Realmente es dificil de asimilar que la administración no tenga esto implementado cuando cualquier web que se precie lo más minimo y no quiera que sus correos acaben en la bandeja de spam de proveedores como gmail lo tiene.

D

#12
El Estado ya dispone de una PKI para personas jurídicas y físicas.

analphabet

#15 Ya dije en el comentario anterior que sea realmente fiable y seguro. ¿Te fiarías tu de una gente, como en este caso que presentan, que tienen los huevos negros de no haber implementado SPF/DKIM (que por otra parte ya incluye el firmado a nivel de dominio)/DMARC pese a que es algo sencillisimo y que lleva siendo usado por todo el mundo desde hace 15 años?

D

#12 El Estado ya dispone de una PKI para personas jurídicas y físicas. Existen también cosas como NitroKey o YubiKey.

SPF, DMARC emplean DNS, un protocolo que tampoco está autenticado.

La mayoría del correo basura ni tan siquiera trata de suplantar el dominio. Utilizan nombres similares que sean verosímiles.

cc #17.

el-brujo

#23 y no sé muy bien de qué va esta "noticia"
Pues que estaría muy bien que implementaran DMARC (DKIM). Así darían ejemplo de buenas prácticas. Aunque es cierto lo que comenta #16, muchas veces, por no decir todas, utilizan dominios parecidos......

m

#36 Que estaría muy bien que implementaran DMARC, bueno, vale... Por cierto, DMARC no es DKIM, DKIM es sólo una parte de una política DMARC que puede incluir SPF Y/O DKIM Puedes tener política DMARC con SPF solo. De hecho, con DKIM hay complicaciones cuando usamos manejadores externos de listas de correo, etc (newsletters y cosas de ese estilo que envían por nosotros)

Además, tú puedes publicar una política DMARC, pero los que tienen que implementarla son los destinatarios. Cuando reciben un mensaje que no concuerda con la política que has publicado deben actuar en consecuencia, si no lo hacen no sirve de nada.

m

#17 Es que primero habría que comprobar que, efectivamente, no hay SPF y DMARC. Como me escamaba un montón, ya que la mayoría lo dejan en manos de "profesionales" y es una cosa tan básica, me he ido a comprobar un par de cosillas y resulta que todos los que se mencionan tienen, al menos, SPF y algunos tienen algún otro sistema de verificación adicional, al tener delegado el email en proveedores externos, o usan sistemas como los de Proofpoint, por ejemplo.

De hecho, si no tuvieran SPF la mayoría de los sistemas de correo marcarían los recibidos de esos sitios como potencialmente sospechosos. El asunto de DMARC es completamente diferente, y ni mucho menos está generalizado su uso, no sólo entre la Administración sino en general.

Por otro lado, más importante es protegerse contra el típico ataque en el que el correo te viene de "ajenciatributaria.com" y para eso no hay SPF ni DMARC que te valga, si tu sistema no pilla el greymail tienes que pillarlo tú con sentido común.

Para mi, tienen protección suficiente dentro de lo que es razonable, y no sé muy bien de qué va esta "noticia"

E

Hemos aprobado leyes de protección de datos por encima de nuestras posibilidades...

t

#1 No te preocupes que ya llamamos a Indra para que nos lo arregle...

D

Para qué firmar digitalmente, ¿verdad?

D

Hace no mucho nos llegó a todos los funcionarios de educación dun mail pidiendo nuestros datos para ser representante de la administración en las elecciones últimas, teniendo que poner el número de cuenta para que te pudieran ingresar lo que se pagaba por ello.

El caso es que 2 días después llegó otro, esta vez sí de verdad sin pedir número de cuenta, además de un aviso de parte de la administración de obviar el primer mail por motivos de seguridad.

Todo esto hablando de cuentas institucionales y enviado desde cuentas que tienen el mismo dominio aparentemente que el resto.

Para que veamos lo fácil que es y lo inseguro que puede ser.

eldarel

Esa reunión de Gates con el presidente del Gobierno...

el-brujo

#46 jajaja ya veo, pero realmente sería mucho más lógico que el correo fuera@aeat.es o@agenciatributaria.es que no usar@correo.aeat.es

R

#27 ¿que llames IDIOTA con mayúsculas y todas las letras a todas las personas que no dominan la informática?

Si, me ha molestado bastante tu actitud, falta de empatía y prepotencia. También envidio mucho a los que sabéis de todo y todo lo hacéis bien

D

#41 Vas equivocado, pero mucho. No hace falta dominar nada para tener sentido común, la falta del cual es el principal motivo del problema del que hablamos.

Calmate un poco que te subirá la presión.

avueltadetodo

#43 ¿te enseño las cabeceras del correo de la aeat donde dice que tiene dkim y el propio gmail dice que es correcto?

el-brujo

#44 No hace falta. Si no te gustan los resultados que muestra la herramienta de Google, habla con ellos. Yo sólo he puesto un enlace y nada más.

aeat,es no tiene registros SPF , ni DMARC. Vamos de hecho AEAT.ES no tiene ni registros tipo A

agenciatributaria.es SI:
txt: v=spf1 ip4:195.77.198.96/32 ip4:195.77.198.97/32 -all
v=DMARC1; p=reject; fo=1; ri=3600; rua=mailto:informesdmarc@correo.aeat.es;

avueltadetodo

#45 pero… tu estás seguro que aeat.es manda con@aeat.es? Porque la respuesta la has puesto tu mismo

avueltadetodo

Hoy en día no es suficiente. Ahora no tengo tiempo para ponerme a mirar cosas, pero por ejemplo aeat.es sí que tiene dkim.

avueltadetodo

Esta mañana he comprobado el SPF de los dominios que comentan y si que lo tienen definido (el de policía.es es simple, el resto si que tiene más información)

el-brujo

#29 v=spf1 mx -all SPF no es suficiente, deberían implementar DMARC y DKIM. En En paneles de control tipo Plesk, CPanel la configuración es automática.

avueltadetodo

#35 Hoy en día no es suficiente. Ahora no tengo tiempo para ponerme a mirar cosas, pero por ejemplo aeat.es sí que tiene dkim.

D

noticion vaya. Hoy no pego ojo

N

#6 vamos a pegar ojo, sin duda, pero supongo que no mola saber que no se hacen las cosas bien por dejadez o por otros intereses de otra gente que se llevan el dinero y no solucionan nada. Vamos, dinero tirado sin ningún problema y subvencionado por la gente que vota esa política y también por los que no votamos corrupción pero somos minoría. Así funciona España. Así funciona alegremente España en el 2021. Esperpéntico todo, pero real. Y si se denuncia esta situación, salen por todos los lados y por todos los medios echando el grito al cielo como si denunciar la corrupción fuera algo incomprensible y de marcianos.

E

y el 99,9% de los funcionarios estan desprotegidos per se, nulo conocimiento informatico

conozco varios casos que a pesar de ser obligatorio hacrlo de forma telematica, continuan pidiendo sus vacaciones en un papel escrito a mano...

eldarel

#25 Tal vez la herramienta electrónica no cumpla con algunos requisitos de proceso.
Por ejemplo, que el empleado pueda sacar copia de su solicitud con sello de tiempo y en papel con sello de registro de entrada, sea más fácil presentar la prueba en un juzgado.

D

Ya le podéis poner protocolos y todas las implementaciones de seguridad que queráis que la gente seguirá siendo IDIOTA por mucho que se lo expliques.

Esto no tiene solución. wall

P

#18 Sin duda las personas somos el eslabón más débil de la cadena.
En mi empresa se hacen periódicamente test controlados enviando mail falsos a todos los empleados y cerca del 20% caen en la trampa, y aunque no nos dan esa información sospecho que ese 20% es recurrente.

R

#18 Menos mal que te tenemos a ti para que nos ilumines con tu sabiduría y desprecio por aquellas personas que no han tenido tu formación y tus capacidades. Por favor sigue explicándole a los IDIOTAS todo lo que sabes, no nos des por perdidos, te lo suplicamos

D

#22 Te lo estás tomando muy a pecho.

D

#18 Y gran parte de esa culpa es de la administración competente, ya que es ella la encargada de que sus empleados tengan una mínima formación relacionada con las nuevas tecnologías, seguridad en la red incluída.