Proofpoint, compañía de ciberseguridad y cumplimiento normativo,  detecta que el 25% de los 20 principales comercios online que operan en España no ha implementado ningún protocolo de seguridad DMARC (Domain-based Message Authentication, Reporting and Conformance) lo que les pone en riesgo de suplantación de identidad en fraudes por correo electrónico por parte de cibercriminales.

Solo el 20% ha implementado el nivel más estricto y recomendable de protección DMARC, denominado “Reject”, el cual bloquea realmente los emails fraudulentos para que no lleguen a su destino. Esto deja a los clientes del otro 80% expuesto a posibles fraudes por correo electrónico utilizando los dominios de las principales tiendas online.

En un año en el que la pandemia ha impulsado definitivamente el comercio electrónico como primer canal de compra y con el Black Friday a la vuelta de la esquina, se espera que el tráfico de las tiendas online alcance sus mayores cifras del año, y todo tipo de usuarios buscarán las mejores ofertas tanto en Internet como en la bandeja de entrada de sus buzones de correo.

A raíz de la pandemia, los españoles (67%) se han convertido en los europeos que más han incrementado sus compras online. Esta circunstancia puede dar pie a los cibercriminales a anticiparse al envío de comunicaciones por email de los comercios para tratar de engañar a los compradores con mensajes fraudulentos.

Los atacantes suelen emplear la técnica de suplantación de dominios para hacerse pasar por marcas conocidas por el usuario, enviando correos electrónicos desde una dirección supuestamente legítima. Estos emails están diseñados con la intención de engañar a los usuarios para que hagan clic en los enlaces que aparecen en los mensajes, o bien compartan datos personales que puedan utilizarse después para robar dinero o credenciales de forma que sea casi imposible para la víctima discernir si el remitente de dicho correo es falso o no.

«Es evidente que estos ataques dirigidos tratan de llegar siempre al mayor número posible de víctimas aprovechándose de algún evento o tema de interés popular como es el caso del Black Friday, que implica además a la industria del retail que sigue siendo un objetivo persistente por parte de los atacantes”, subraya Fernando Anaya, Country Manager de Proofpoint.

“El correo electrónico se mantiene como el vector de amenaza más empleado y la gravedad del asunto es tal que, si una tienda online no ha desplegado DMARC, no es posible garantizar al 100% que el email recibido por el usuario proceda de dicha compañía y que su identidad no haya sido suplantada”, añade.

La adopción en España del nivel de protección DMARC en el sector de ecommerce es ligeramente superior al porcentaje registrado en Europa, donde el 60% del top 20  europeo  de sitios de ecommerce tiene implementado DMARC. Únicamente el 20% de ellos cuenta con el nivel más estricto de seguridad.

“Las empresas deben implementar protocolos de autenticación de email efectivos como DMARC a fin de evitar que los ciberdelincuentes accedan a datos personales y bancarios de los usuarios”, insiste Anaya. “En el caso de los consumidores, es importante recordarles que deben adoptar medidas de seguridad básicas siempre y especialmente en estos días en los que optamos cada vez más por las compras a través de internet y en los que no es difícil bajar la guardia ante posibles fraudes”, añade.

Proofpoint recomienda a los usuarios online seguir los siguientes consejos para mantenerse a salvo mientras buscan las mejores ofertas de la temporada:

• ·        Usa contraseñas robustas. No reutilices la misma contraseña varias veces. Plantéate utilizar un gestor de contraseñas para mejorar tu experiencia online, a la vez que te mantienes seguro.
• ·        Evita las WiFis abiertas. Las redes WiFi de acceso libre o gratuito no son seguras, ya que los cibercriminales pueden hacerse con datos transferidos a través de conexiones desprotegidas, incluyendo números de tarjeta de crédito, contraseñas, información bancaria y más.
• ·        Cuidado con las “webs parecidas”. Los atacantes crean páginas web parecidas que imitan a las de marcas conocidas. Estas webs fraudulentas pueden vender productos falsificados (o inexistentes), estar infectadas con malware, o bien robar dinero o credenciales.
• ·        Evita potenciales ataques de phishing y smishing. Los correos de phishing llevan a webs no seguras que recopilan datos personales, como credenciales de acceso o datos de tarjetas de crédito. Mantente en alerta también a los intentos de phishing por SMS, también conocidos como smishing, o a posibles mensajes a través de redes sociales.
• ·        No hagas clic en enlaces. Ve directamente a la página de la oferta anunciada escribiendo su dirección web directamente en el navegador. Si se trata de códigos promocionales especiales, escríbelos y comprueba si son legítimos.
• ·        Verifica antes de comprar. Los anuncios, webs y apps fraudulentas pueden ser difíciles de identificar. Cuando descargues una nueva app o visites una web no habitual, dedica algo de tiempo a leer reseñas sobre la misma, así como cualquier queja de los usuarios.